Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas membocorkan kata sandi untuk 500.000 akun Fortinet VPN

by

Seorang aktor ancaman telah membocorkan daftar hampir 500.000 nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dapat dieksploitasi musim panas lalu.

Sementara aktor ancaman menyatakan bahwa kerentanan Fortinet yang dieksploitasi telah ditambal, mereka mengklaim bahwa banyak kredensial VPN masih valid.

Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.

Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai ‘Orange,’ yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari operasi Babuk Ransomware.

Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.

Pada tanggal 7 September, pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet.

Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.

Kedua posting mengarah ke file yang dihosting di server penyimpanan Tor yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.

Selengkapnya: Bleeping Computer

Pemadaman internet Selandia Baru disebabkan oleh serangan DDoS pada penyedia internet terbesar ketiga di negara itu

by

Beberapa bagian dari Selandia Baru terputus dari dunia digital pada tanggal 3 September setelah ISP lokal utama terkena serangan DDoS yang agresif.

Vocus – operator internet terbesar ketiga di negara itu yang berada di belakang merek termasuk Orcon, Slingshot dan Stuff Fiber – mengkonfirmasi bahwa serangan siber berasal dari salah satu pelanggannya.

Menurut pembaruan status jaringan, perusahaan mengatakan: “Sore ini pelanggan Vocus berada di bawah serangan DDoS… Aturan mitigasi DDoS telah diperbarui ke platform Arbor DDoS kami untuk memblokir serangan bagi pelanggan.”

Detailnya masih samar, tetapi pemadaman telah menyebabkan gangguan signifikan di seluruh negeri dengan banyak orang bekerja dari rumah karena pembatasan COVID-19.

Sebuah laporan oleh Reuters menunjukkan bahwa tanggapan Vocus terhadap serangan cyber mungkin memiliki efek knock-on yang mengakibatkan pemadaman 30 menit di seluruh negeri, termasuk kota-kota besar Auckland, Wellington dan Christchurch. Kami telah meminta komentar dari vendor perlindungan Arbor DDoS Netscout.

Selengkapnya: The Register

Netgear memperbaiki bug keamanan yang parah di lebih dari selusin sakelar pintar

by

Netgear telah merilis pembaruan firmware untuk lebih dari selusin sakelar pintar yang digunakan pada jaringan perusahaan untuk mengatasi kerentanan dengan tingkat keparahan tinggi.

Perusahaan memperbaiki tiga kelemahan keamanan yang memengaruhi 20 produk Netgear, sebagian besar smart switch. Detail teknis dan kode eksploitasi proof-of-concept (PoC) untuk dua bug tersedia untuk umum.

Sebuah advisory dari Netgear pada hari Jumat menginformasikan bahwa versi firmware baru tersedia untuk beberapa sakelarnya yang dipengaruhi oleh tiga kerentanan keamanan yang menerima skor keparahan antara 7,4 dan 8,8 pada skala 10.

Netgear mengidentifikasi bug sebagai PSV-2021-0140, PSV-2021-0144, PSV-2021-0145, karena nomor pelacakan belum ditetapkan. Banyak produk yang terpengaruh adalah sakelar pintar, beberapa di antaranya dengan kemampuan manajemen cloud yang memungkinkan konfigurasi dan pemantauannya melalui web.

Advisory Netgear tidak menulis detail teknis apa pun tentang bug tersebut tetapi “sangat menyarankan Anda mengunduh firmware terbaru sesegera mungkin.”

Peneliti keamanan Gynvael Coldwind, yang menemukan dan melaporkan kerentanan, menjelaskan dua masalah dan memberikan kode eksploitasi demo untuk mereka.

Coldwind mengatakan dalam laporan keamanannya bahwa salah satu kelemahan, yang oleh peneliti disebut Demon’s Cries, adalah bypass otentikasi yang dapat, dalam kondisi tertentu, memungkinkan penyerang untuk mengendalikan perangkat yang rentan.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

by

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

  1. Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
  2. Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
  3. Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Mengapa peretas ransomware menyukai liburan akhir pekan

by

Pada hari Jumat menjelang akhir pekan Memorial Day tahun ini, ada raksasa pengolahan daging JBS. Pada hari Jumat sebelum Empat Juli, itu adalah perusahaan perangkat lunak manajemen TI Kaseya dan, dengan perluasan, lebih dari seribu bisnis dengan berbagai ukuran. Masih harus dilihat apakah Hari Buruh akan melihat kehancuran ransomware tingkat tinggi juga, tetapi satu hal yang jelas: peretas menyukai liburan.

Dan meskipun ini bukan hal baru, peringatan bersama yang dikeluarkan minggu ini oleh FBI dan Badan Keamanan Cybersecurity dan Infrastruktur menggarisbawahi betapa seriusnya ancaman itu.

Daya tarik bagi penyerang cukup mudah. Ransomware dapat membutuhkan waktu untuk menyebar ke seluruh jaringan, karena peretas bekerja untuk meningkatkan hak istimewa untuk kontrol maksimum atas sebagian besar sistem. Semakin lama bagi siapa pun untuk memperhatikan gerak gerik mereka, semakin banyak kerusakan yang dapat mereka lakukan.

“Secara intuitif, masuk akal bahwa para defender mungkin kurang perhatian selama liburan, sebagian besar karena pengurangan staf,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Jika insiden besar terjadi selama liburan, mungkin lebih sulit bagi para defender untuk membawa personel yang diperlukan untuk merespons dengan cepat.”

Insiden besar itulah yang kemungkinan menarik perhatian FBI dan CISA; selain insiden JBS dan Kaseya, serangan Colonial Pipeline juga terjadi selama akhir pekan Hari Ibu.

Ada beberapa langkah yang dapat diambil perusahaan dan individu untuk melindungi diri mereka dari peretasan dengan lebih baik, baik menjelang akhir pekan yang panjang dan seterusnya. Rekomendasi FBI dan CISA menggemakan praktik terbaik untuk sebagian besar situasi keamanan siber: jangan klik tautan yang mencurigakan.

Selengkapnya: Ars Technica

Geng Ransomware menargetkan perusahaan menggunakan kriteria ini

by

Geng Ransomware semakin banyak membeli akses ke jaringan korban di pasar dark web dan dari pelaku ancaman lainnya. Menganalisis iklan keinginan mereka memungkinkan untuk melihat ke dalam pada jenis perusahaan yang ditargetkan operasi ransomware.

Setelah memeriksa “iklan keinginan” geng ransomware, perusahaan intelijen keamanan siber KELA telah menyusun daftar kriteria yang dicari oleh operasi penargetan perusahaan yang lebih besar di sebuah perusahaan untuk serangan mereka.

Dengan menganalisis iklan yang diinginkan dari hampir dua puluh pos yang dibuat oleh pelaku ancaman yang terkait dengan geng ransomware, peneliti KELA dapat menemukan karakteristik perusahaan berikut yang menjadi sasaran:

  • Geografi: Geng Ransomware lebih memilih korban yang berlokasi di AS, Kanada, Australia, dan Eropa.
  • Pendapatan: KELA menyatakan bahwa pendapatan minimum rata-rata yang diinginkan oleh geng ransomware adalah $100 juta. Namun, ini bisa berbeda tergantung pada lokasi geografis korban.
  • Daftar blokir sektor: Sementara beberapa geng mengatakan mereka menghindari industri kesehatan, mereka kurang pilih-pilih tentang industri lain dari perusahaan yang mereka serang. Namun, setelah serangan Colonial Pipeline, Metropolitan Police Department, dan JBS, banyak geng ransomware mulai menghindari sektor tertentu.
  • Daftar blokir negara: Sebagian besar operasi ransomware besar secara khusus menghindari menyerang perusahaan yang berlokasi di Commonwealth of Independent States (CIS) karena mereka yakin jika mereka tidak menargetkan negara-negara tersebut, otoritas lokal tidak akan menargetkan mereka.

    Negara-negara yang diblokir ini termasuk Rusia, Ukraina, Moldova, Belarus, Kirgistan, Kazakhstan, Armenia, Tajikistan, Turkmenistan, dan Uzbekistan.

Sayangnya, meskipun sebuah perusahaan tidak memenuhi kriteria di atas, bukan berarti mereka aman.

Banyak geng ransomware, seperti Dharma, STOP, Globe, dan lainnya, kurang pilih-pilih, dan Anda bisa menjadi sasaran operasi ransomware.

Selengkapnya: Bleeping Computer

Microsoft Mengatakan Peretas China Berada di Balik Serangan Zero Day SolarWinds Serv-U SSH

by

Microsoft telah membagikan detail teknis tentang kerentanan keamanan kritis yang sekarang telah diperbaiki dan dieksploitasi secara aktif yang memengaruhi layanan transfer file terkelola SolarWinds Serv-U yang telah dikaitkan dengan “kepercayaan tinggi” kepada aktor ancaman yang beroperasi di luar China.

Pada pertengahan Juli, perusahaan yang berbasis di Texas memperbaiki kelemahan eksekusi kode jarak jauh (CVE-2021-35211) yang berakar pada implementasi Serv-U dari protokol Secure Shell (SSH), yang dapat disalahgunakan oleh penyerang untuk menjalankan kode apapun. pada sistem yang terinfeksi, termasuk kemampuan untuk menginstal program jahat dan melihat, mengubah, atau menghapus data sensitif.

Sementara Microsoft menautkan serangan ke DEV-0322, sebuah kolektif berbasis di China yang mengutip “viktimologi, taktik, dan prosedur yang diamati,” perusahaan tersebut kini telah mengungkapkan bahwa kerentanan pra-otentikasi jarak jauh berasal dari cara proses Serv-U menangani akses pelanggaran tanpa menghentikan proses, sehingga memudahkan untuk melakukan upaya eksploitasi yang tersembunyi dan andal.

“Kerentanan yang dieksploitasi disebabkan oleh cara Serv-U awalnya membuat konteks OpenSSL AES128-CTR,” kata para peneliti. “Ini, pada gilirannya, dapat memungkinkan penggunaan data yang tidak diinisialisasi sebagai penunjuk fungsi selama dekripsi pesan SSH yang berurutan.”

“Oleh karena itu, penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke port SSH terbuka dan mengirimkan permintaan koneksi pra-auth yang salah. Kami juga menemukan bahwa penyerang kemungkinan menggunakan DLL yang dikompilasi tanpa pengacakan tata letak ruang alamat (ASLR) yang dimuat oleh Server. Prosesnya untuk memfasilitasi eksploitasi,” tambah para peneliti.

Microsoft, yang mengungkapkan serangan tersebut kepada SolarWinds, mengatakan bahwa pihaknya merekomendasikan untuk mengaktifkan kompatibilitas ASLR untuk semua binari yang dimuat dalam proses Serv-U.

Selengkapnya: The Hacker News

Cisco Menambal Bug Otentikasi Kritis Dengan Bukti Eksploitasi Publik

by

Cisco telah menambal bug kritis yang hampir maksimal dalam perangkat lunak NFVIS-nya yang memiliki eksploitasi proof-of-concept (PoC) yang tersedia untuk umum.

Pada hari Rabu, Cisco merilis tambalan untuk cacat – kerentanan bypass otentikasi di Enterprise NFV Infrastructure Software (NFVIS) yang dilacak sebagai CVE-2021-34746.

Cisco Enterprise NFVIS adalah perangkat lunak infrastruktur berbasis Linux yang membantu penyedia layanan dan pelanggan lain untuk menerapkan fungsi jaringan virtual, seperti router virtual dan firewall, serta akselerasi WAN, pada perangkat Cisco yang didukung. Ini juga menyediakan penyediaan otomatis dan manajemen terpusat.

Kerentanan dengan skor dasar CVSS 9,8 ini, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi dan masuk ke perangkat yang rentan sebagai admin.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menyuntikkan parameter ke dalam permintaan otentikasi,” jelas Cisco dalam penasihat keamanannya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melewati otentikasi dan masuk sebagai administrator ke perangkat yang terpengaruh.”

Kerentanan ini disebabkan oleh validasi yang tidak lengkap dari input yang diberikan pengguna yang diteruskan ke skrip autentikasi selama proses masuk. Cacat ditemukan di Cisco Enterprise NFVIS Rilis 4.5.1 jika metode otentikasi eksternal TACACS – fitur otentikasi, otorisasi dan akuntansi (AAA) dari perangkat lunak – dikonfigurasi.

Tidak ada solusi untuk memitigasi kerentanan ini. Patch untuk mengatasi bug tersedia di Enterprise NFVIS rilis 4.6.1 dan yang lebih baru.

Cisco mengatakan bahwa mereka mengetahui kode eksploitasi PoC yang tersedia untuk umum tetapi belum melihat eksploitasi berbahaya yang berhasil pada saat ini.

Eksploitasi itu ditemukan oleh peneliti keamanan Orange Group Cyrille Chatras, yang Cisco berterima kasih atas nasihatnya.

Selengkapnya: The Threat Post