Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas dapat melewati produk keamanan Cisco dalam serangan pencurian data

by

Cisco mengatakan bahwa penyerang yang tidak diautentikasi dapat melewati teknologi penyaringan inspeksi TLS di beberapa produk untuk mengekstrak data dari server yang sebelumnya dikompromikan di dalam jaringan pelanggan.

Dalam serangan tersebut, pelaku ancaman dapat mengeksploitasi kerentanan dalam pemfilteran permintaan Server Name Identification (SNI) yang memengaruhi produk 3000 Series Industrial Security Appliances (ISA), Firepower Threat Defense (FTD), dan Web Security Appliance (WSA).

Sejauh ini, Cisco Product Security Incident Response Team (PSIRT) tidak mengetahui adanya penyerang atau malware yang mengeksploitasi kelemahan keamanan ini.

SNIcat (Server Name Indication Concatenator) adalah metode eksfiltrasi tersembunyi yang ditemukan oleh peneliti keamanan mnemonic Labs yang melewati solusi perimeter keamanan dan perangkat inspeksi TLS (mis., web proxies, next-gen firewalls (NGFW) melalui TLS Client Hello packets.

“Dengan menggunakan metode eksfiltrasi SNIcat, kami menemukan bahwa kami dapat melewati solusi keamanan yang melakukan pemeriksaan TLS, bahkan ketika domain Command & Control (C2) yang kami gunakan diblokir oleh reputasi umum dan fitur pencegahan ancaman yang ada di dalam solusi keamanan itu sendiri,” kata para peneliti.

“Singkatnya, kami menemukan bahwa solusi yang dirancang untuk melindungi pengguna, memperkenalkan mereka pada kerentanan baru.”

Selain Cisco, mnemonic Labs telah berhasil menguji SNIcat terhadap produk dari F5 Networks (F5 BIG-IP yang menjalankan TMOS 14.1.2, dengan SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW yang menjalankan PAN-OS 9.1.1), dan Fortinet (Fortigate NGFW menjalankan FortiOS 6.2.3).

Para peneliti juga mengembangkan alat bukti konsep yang membantu mengekstrak data dari server yang sebelumnya diretas melalui saluran rahasia SNI, menggunakan agen pada host yang disusupi dan server perintah-dan-kontrol yang mengumpulkan data yang dieksfiltrasi.

Selengkapnya: Bleeping Computer

Patch Windows tidak resmi baru memperbaiki lebih banyak vektor serangan PetitPotam

by

Patch tidak resmi kedua untuk serangan relai Windows PetitPotam NTLM telah dirilis untuk memperbaiki masalah lebih lanjut yang tidak ditangani oleh pembaruan keamanan resmi Microsoft.

Serangan relai NTLM adalah ketika aktor ancaman dapat memaksa server atau pengontrol domain untuk mengautentikasi terhadap server relai NTLM di bawah kendali aktor ancaman.

Relai NTLM ini kemudian akan meneruskan permintaan ke Layanan Active Directory Certificate korban yang ditargetkan melalui HTTP untuk menerima Kerberos ticket-granting ticket (TGT), yang memungkinkan penyerang untuk mengasumsikan identitas pengontrol domain dan mengambil alih domain Windows.

Karena sifat kritis dari serangan ini, Microsoft merilis pembaruan keamanan sebagai bagian dari Patch Tuesday Agustus 2021 yang berusaha untuk memperbaiki kerentanan PetitPotam, dilacak sebagai CVE-2021-36942.

Sayangnya, pembaruan Microsoft tidak lengkap, dan masih mungkin untuk menyalahgunakan PetitPotam.

Untuk menyediakan tambalan yang lebih lengkap, layanan micropatch 0patch telah merilis tambalan tidak resmi yang diperbarui yang dapat digunakan untuk memblokir semua serangan relai PetitPotam NTLM yang diketahui pada versi Windows berikut:

  • Windows Server 2019 (updated with July 2021 Updates)
  • Windows Server 2016 (updated with July 2021 Updates)
  • Windows Server 2012 R2 (updated with July 2021 Updates)
  • Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)

Dengan micropatch ini, fungsi diblokir di pipa bernama LSARPC dan EFSRPC dan tidak dapat lagi dieksploitasi sebagai bagian dari serangan relai NTLM.

Bagi mereka yang ingin menunggu kemungkinan patch resmi dari Microsoft, Anda juga dapat bertahan melawan serangan PetitPotam menggunakan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API.

Selengkapnya: Bleeping Computer

Berhenti menggunakan Zoom, DPA Hamburg memperingatkan pemerintah negara bagian

by

Pemerintah negara bagian Hamburg telah secara resmi diperingatkan agar tidak menggunakan Zoom karena masalah perlindungan data.

Badan perlindungan data (DPA) negara bagian Jerman mengambil langkah mengeluarkan peringatan publik kemarin, menulis dalam siaran pers bahwa penggunaan alat konferensi video populer oleh Kanselir Senat melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa sejak data pengguna ditransfer ke AS untuk diproses.

Kekhawatiran DPA mengikuti keputusan penting (Schrems II) oleh pengadilan tinggi Eropa musim panas lalu yang membatalkan pengaturan transfer data utama antara UE dan AS (Perisai Privasi), menemukan undang-undang pengawasan AS tidak sesuai dengan hak privasi UE.

Dampak dari Schrems II lambat terwujud — di luar selimut ketidakpastian hukum. Namun, sejumlah DPA Eropa sekarang sedang menyelidiki penggunaan layanan digital yang berbasis di AS karena masalah transfer data, dalam beberapa kasus memperingatkan publik terhadap penggunaan alat utama AS seperti Facebook dan Zoom karena data pengguna tidak dapat dilindungi secara memadai saat diambil alih.

Beberapa badan di Jerman termasuk yang paling proaktif dalam hal ini. Tetapi pengawas perlindungan data UE juga sedang menyelidiki penggunaan layanan cloud dari raksasa AS Amazon dan Microsoft atas masalah transfer data yang sama.

Dalam kasus Hamburg, DPA mengatakan pihaknya mengambil langkah dengan mengeluarkan peringatan publik kepada Kanselir Senat setelah badan tersebut tidak memberikan tanggapan yang memadai atas kekhawatiran yang diangkat sebelumnya.

Selengkapnya: Tech Crunch

T-Mobile mengatakan peretas mencuri catatan dokumen milik 48,6 juta orang

by

T-Mobile telah mengkonfirmasi bahwa penyerang yang baru-baru ini mengakses servernya mencuri file yang berisi informasi pribadi dari puluhan juta individu.

Pelanggaran besar-besaran berdampak pada sekitar 7,8 juta pelanggan pascabayar T-Mobile, 850.000 pengguna prabayar T-Mobile, dan sekitar 40 juta mantan atau calon pelanggan.

Jika dijumlah, penyerang mencuri catatan milik 48,6 juta orang, termasuk pelanggan T-Mobile saat ini, mantan, atau calon pelanggan.

Untungnya, menurut operator seluler AS tersebut, file yang dicuri selama insiden itu tidak berisi nomor telepon, nomor rekening, PIN, kata sandi, atau informasi keuangan milik pelanggan T-Mobile saat ini atau calon pelanggan.

T-Mobile telah mengatur ulang semua PIN untuk akun ini untuk melindungi mereka dari upaya pengambilalihan dan sedang dalam proses memberi tahu semua pengguna yang terkena dampak.

Perusahaan sekarang mengambil langkah-langkah untuk melindungi pelanggan yang berpotensi berisiko karena pelanggaran besar-besaran ini dengan:

  • Segera menawarkan layanan perlindungan identitas gratis selama 2 tahun dengan Layanan ID Theft Protection dari McAfee.
  • Merekomendasikan semua pelanggan pascabayar T-Mobile secara proaktif mengubah PIN mereka dengan online ke akun T-Mobile mereka atau menghubungi tim Layanan Pelanggan mereka dengan menghubungi 611 di ponsel pengguna. Tindakan pencegahan ini terlepas dari kenyataan bahwa mereka tidak mengetahui bahwa PIN akun pascabayar telah disusupi.
  • Menawarkan langkah ekstra untuk melindungi akun seluler pelanggan dengan kemampuan Perlindungan Pengambilalihan Akun kami untuk pelanggan pascabayar, yang mempersulit akun pelanggan untuk dipindahkan dan dicuri secara curang.
  • Menerbitkan halaman web unik pada hari Rabu untuk informasi dan solusi satu atap guna membantu pelanggan mengambil langkah untuk lebih melindungi diri mereka sendiri.

Selengkapnya: Bleeping Computer

Raksasa pendidikan Pearson didenda $1 juta karena meremehkan pelanggaran data

by

The US Securities and Exchange Commission (SEC) hari ini mengumumkan bahwa Pearson, perusahaan penerbitan dan layanan pendidikan multinasional Inggris, telah menyelesaikan tuduhan kesalahan penanganan proses pengungkapan untuk pelanggaran data 2018 yang ditemukan pada Maret 2019.

Pearson setuju untuk membayar denda uang perdata $ 1 juta untuk menyelesaikan tuduhan “tanpa mengakui atau menyangkal temuan” bahwa ia mencoba untuk menyembunyikan dan mengecilkan pelanggaran data 2018 yang menyebabkan pencurian “data siswa dan kredensial login administrator dari 13.000 sekolah, akun pelanggan distrik dan universitas” di Amerika Serikat.

Selain mengekstrak data termasuk nama siswa, tanggal lahir, dan alamat email setelah mengeksploitasi kelemahan kritis yang mempengaruhi perangkat lunak berbasis web AIMSweb1.0 yang digunakan oleh Pearson untuk melacak kinerja akademik siswa, peretas China juga mencuri jutaan baris data siswa dan kredensial yang mudah dipecahkan yang “diacak” menggunakan algoritme yang sudah ketinggalan zaman.

Perusahaan berbagi dengan SEC pada Juli 2019 bahwa mereka dapat menghadapi risiko insiden privasi data. Namun, perusahaan tidak mengungkapkan bahwa mereka mengalami pelanggaran data satu tahun sebelumnya meskipun pengungkapan faktor risiko yang dikirim ke SEC diajukan setelah memberi tahu pelanggan yang terkena dampak insiden tersebut.

Beberapa hari kemudian, Pearson juga mengeluarkan pernyataan media yang disiapkan sebelumnya hanya setelah outlet media meminta perincian, yang mencoba mengecilkan tingkat pelanggaran data yang sebenarnya.

Selengkapnya: Bleeping Computer

Bug XSS di Plugin WordPress SEOPress Memungkinkan Pengambilalihan Situs

by

Kerentanan cross-site scripting (XSS) yang tersimpan di plugin SEOPress WordPress dapat memungkinkan penyerang untuk menyuntikkan skrip ke situs web, kata para peneliti.

SEOPress adalah alat pengoptimalan mesin pencari (SEO) yang memungkinkan pemilik situs mengelola metadata SEO, kartu media sosial, pengaturan Iklan Google, dan banyak lagi. Ini diinstal di lebih dari 100.000 situs.

Bug ini (CVE-2021-34641) memungkinkan setiap pengguna yang diautentikasi, seperti pelanggan, untuk memanggil rute REST dengan nonce yang valid, dan untuk memperbarui judul dan deskripsi SEO untuk setiap posting.

“Permissions_callback untuk titik akhir hanya diverifikasi jika pengguna tidak memiliki REST-API yang valid dalam permintaan,” menurut postingan tersebut. “Nonce REST-API yang valid dapat dibuat oleh setiap pengguna yang diautentikasi menggunakan rest-nonce WordPress core AJAX action.”

Bergantung pada apa yang judul dan deskripsi yang diperbarui oleh penyerang, itu akan memungkinkan sejumlah tindakan jahat, hingga dan termasuk pengambilalihan situs secara penuh, kata para peneliti.

Untuk melindungi situs web mereka, pengguna harus meningkatkan ke versi 5.0.4 dari SEOPress.

Kerentanan dalam plugin WordPress tetap cukup umum. Misalnya, pada bulan Juli enam kelemahan kritis diungkapkan yang memengaruhi plugin WordPress Front File Manager versi 17.1 dan 18.2, aktif di lebih dari 2.000 situs web.

Pada bulan Februari, bug keamanan XSS yang belum ditambal dan disimpan ditemukan berpotensi mempengaruhi 50.000 pengguna plugin Contact Form 7 Style.

Selengkapnya: The Threat Post

Pengembang malware menginfeksi PC sendiri dan data berakhir di platform intel

by

Seorang pengembang malware melepaskan kreasi mereka di sistem mereka untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan dunia maya, memperlihatkan sekilas upaya kejahatan dunia maya.

Pelaku ancaman adalah pengembang Raccoon, pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan semakin populer selama dua tahun terakhir.

Saat menguji varian stealer, pengembang Raccoon menginfeksi sistem mereka sendiri, sebuah langkah yang segera memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.

Sistem pengujian yang terinfeksi oleh pengembang Raccoon ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan dunia maya yang memantau mesin yang disusupi.

Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi yang dilacak melalui Cavalier.

Peneliti mengatakan kepada BleepingComputer bahwa pengembang infostealer Raccoon menginfeksi mesin mereka pada bulan Februari tetapi tidak diketahui karena tidak menarik karena itu bukan mesin milik klien perusahaan.

Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.

Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan malware.

Sayangnya, detailnya tidak cukup untuk menentukan identitas pengembang Raccoon. Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka sebelum meluncurkan malware.

Selengkapnya: Bleeping Computer

Peretas Terlihat Menggunakan Kode Morse dalam Serangan Phishing untuk Menghindari Deteksi

by

Microsoft telah mengungkapkan rincian kampanye rekayasa sosial selama setahun di mana operator terus mengubah mekanisme penyamaran dan enkripsi mereka rata-rata setiap 37 hari, termasuk mengandalkan kode Morse, dalam upaya untuk menutupi jejak mereka dan secara diam-diam mengumpulkan kredensial pengguna.

Serangan phishing berbentuk umpan bertema faktur yang meniru transaksi bisnis terkait keuangan, dengan email yang berisi file HTML (“XLS.HTML”). Tujuan utamanya adalah untuk mengumpulkan nama pengguna dan kata sandi, yang kemudian digunakan sebagai titik masuk awal untuk upaya penyusupan selanjutnya.

Microsoft menyamakan lampiran dengan “teka-teki jigsaw”, mencatat bahwa setiap bagian dari file HTML dirancang untuk tampak tidak berbahaya dan lolos dari perangkat lunak keamanan endpoint, hanya untuk mengungkapkan niat sebenarnya ketika segmen ini didekodekan dan dirakit bersama. Perusahaan tidak mengidentifikasi peretas di balik operasi tersebut.

“Kampanye phishing ini menunjukkan ancaman email modern: canggih, mengelak, dan terus berkembang,” kata Tim Microsoft 365 Defender Threat Intelligence dalam sebuah analisis.

Kampanye ini dikatakan telah mengalami 10 iterasi sejak ditemukan pada Juli 2020, dengan musuh secara berkala mengganti metode pengkodeannya untuk menutupi sifat jahat dari lampiran HTML dan segmen serangan berbeda yang terkandung dalam file.

Microsoft mengatakan telah mendeteksi penggunaan kode Morse dalam serangan gelombang Februari dan Mei 2021, sementara varian kit phishing kemudian ditemukan untuk mengarahkan korban ke halaman Office 365 yang sah alih-alih menampilkan pesan kesalahan palsu setelah kata sandi dimasukkan.

Selengkapnya: The Hacker News