Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

OpenSSL memperbaiki DoS yang parah, kerentanan validasi sertifikat

by

Proyek OpenSSL telah mengeluarkan peringatan untuk dua kerentanan tingkat keparahan tinggi CVE-2021-3449 dan CVE-2021-3450 yang bersembunyi di produk OpenSSL.

OpenSSL adalah library perangkat lunak yang umum digunakan untuk membangun aplikasi jaringan dan server yang perlu membangun komunikasi yang aman.

Kerentanan ini meliputi:

  • CVE-2021-3449: Cacat Denial of Service (DoS) karena dereferensi penunjuk NULL yang hanya memengaruhi instance server OpenSSL, bukan klien.
  • CVE-2021-3450: Kerentanan validasi sertifikat Certificate Authority (CA) yang tidak tepat yang memengaruhi instance server dan klien.

Kerentanan DoS (CVE-2021-3449) di server OpenSSL TLS dapat menyebabkan server macet jika selama negosiasi ulang klien mengirim pesan ClientHello berbahaya.

Kerentanan hanya memengaruhi server OpenSSL yang menjalankan versi antara 1.1.1 dan 1.1.1j (keduanya inklusif) yang memiliki TLSv1.2 dan negosiasi ulang yang diaktifkan.

Namun, karena ini adalah konfigurasi default pada versi server OpenSSL ini, banyak server aktif yang berpotensi rentan. Klien OpenSSL tidak terpengaruh.

Untungnya, semua yang diperlukan untuk memperbaiki bug DoS ini adalah perbaikan satu baris, yang terdiri dari pengaturan peer_sigalgslen ke nol.

Kedua kerentanan diperbaiki di OpenSSL 1.1.1k dan pengguna disarankan untuk meningkatkan ke versi ini untuk melindungi instance mereka.

Sumber: Bleeping Computer

Cloudflare meluncurkan Page Shield untuk menggagalkan serangan skimming kartu Magecart

by

Cloudflare telah meluncurkan penawaran keamanan web baru untuk mencegah serangan Magecart.

Perusahaan yang tak terhitung jumlahnya telah, dan terus, menjadi mangsa serangan Magecart. Korban di masa lalu termasuk British Airways, Ticketmaster, Newegg, dan Boom! Mobile.

Untuk mengatasi masalah ini, pada hari Kamis, Cloudflare meluncurkan Page Shield, solusi keamanan klien.

Fitur Script Monitor, termasuk dalam Page Shield, memeriksa dependensi JavaScript pihak ketiga dan mencatat setiap tambahan baru dari waktu ke waktu.

Script Monitor, saat ini dalam Beta dan ditemukan di bawah bagian Firewall dasbor pelanggan, mereka juga menambahkan header Content-Security-Policy-Report-Only ke konten yang melewati jaringan Cloudflare.

Ketika JavaScript mencoba untuk mengeksekusi, browser akan mengirim laporan kembali ke perusahaan yang diperiksa untuk melihat apakah ada perubahan baru – dan kemudian pelanggan diberi tahu sehingga pelanggan dapat “menyelidiki dan menentukan apakah perubahan itu diharapkan,” kata Cloudflare.

Perusahaan juga bekerja sama dengan mitra keamanan siber untuk mendapatkan sampel JavaScript Magecart. Pada akhirnya, diharapkan Page Shield akan cukup akurat untuk memberi tahu klien saat dependensi tampak berbahaya.

Sumber: ZDNet

Sumber: ZDNet

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

by

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Facebook Menghancurkan Kampanye Mata-mata Berbahaya yang Dilakukan oleh Peretas Tiongkok

by

Tim spionase siber Facebook mengklaim telah memecahkan kampanye jahat yang terjadi di platformnya, yang ditargetkan pada sekitar 500 pengguna.

Kampanye tersebut dikatakan dioperasikan oleh peretas Tiongkok, yang bertujuan untuk menginfeksi beberapa jurnalis, aktivis, dan pembangkang Uighur terpilih yang tinggal di berbagai negara, dan memata-matai mereka.

China diyakini melacak tidak hanya warganya sendiri dengan penuh semangat, tetapi juga orang-orang yang dicari lainnya dari seluruh dunia melalui metode terlarang. Sekarang, kampanye serupa dikatakan telah dipecah oleh tim spionase siber Facebook, setelah melacaknya beberapa saat.

Sesuai laporan mereka, mereka telah mengaitkan penulis kampanye jahat ini ke grup Earth Empusa atau Evil Eye, yang merupakan grup peretas China yang menargetkan jurnalis, aktivis, dan pembangkang.

Kampanye ini ditujukan untuk melacak semua individu dari kategori di atas yang tinggal di negara lain seperti Turki, Kazakhstan, Suriah, Australia, Kanada, dan AS. Basis target kira-kira sekitar 500 orang dan dimulai dengan memikat mereka untuk mengunjungi berbagai situs web dan aplikasi melalui Facebook dengan tujuan untuk mengumpulkan informasi sebanyak mungkin tentang orang-orang ini, dan menginfeksi perangkat mereka dengan kode pelacakan berbahaya untuk memata-matai mereka.

Sumber: Techdator

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

by

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Cisco mengatasi bug kritis di klien Jabber untuk Windows, macOS dan beberapa OS lain

by

Cisco telah mengatasi kerentanan eksekusi program arbitrer kritis yang berdampak pada beberapa versi perangkat lunak klien Cisco Jabber untuk Windows, macOS, Android, dan iOS.

Cisco Jabber adalah aplikasi konferensi web dan pesan instan yang memungkinkan pengguna mengirim pesan melalui Extensible Messaging and Presence Protocol (XMPP).

Kerentanan tersebut dilaporkan oleh Olav Sortland Thoresen dari Watchcom. Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa cacat tersebut saat ini tidak dieksploitasi di alam liar.

Cacat keamanan yang dilacak sebagai CVE-2021-1411 dinilai oleh Cisco dengan skor keparahan 9,9 / 10, dan itu disebabkan oleh validasi input yang tidak tepat dari konten pesan masuk.

Untungnya, untuk mengeksploitasi bug kritis ini, penyerang perlu diautentikasi ke server XMPP yang digunakan oleh perangkat lunak yang rentan untuk mengirim pesan XMPP perusak yang berbahaya ke perangkat target mereka.

Selain itu, kerentanan tidak memengaruhi perangkat lunak klien Cisco Jabber yang dikonfigurasi untuk mode Pesan Tim atau Hanya Telepon.

Namun, eksploitasi CVE-2021-1411 yang berhasil — yang tidak memerlukan interaksi pengguna — dapat mengaktifkan penyerang jarak jauh yang diautentikasi untuk mengeksekusi program sewenang-wenang di perangkat Windows, macOS, Android, atau iOS yang menjalankan perangkat lunak klien Jabber yang belum ditambal.

Selengkapnya: Bleeping Computer

Pembobolan data dan pemadaman jaringan: Biaya yang nyata dan terus meningkat untuk industri perawatan kesehatan

by

Satu tahun setelah pandemi COVID-19, laporan Infoblox mengungkapkan tantangan utama yang dihadapi industri perawatan kesehatan saat pekerja TI bergegas untuk mengamankan informasi kesehatan yang dilindungi (PHI) dan infrastruktur melawan keamanan siber kompleks dan tantangan jaringan pandemi.

Berdasarkan tanggapan dari hampir 800 pembuat keputusan TI perawatan kesehatan di Amerika Utara, Amerika Latin, Eropa dan kawasan Asia-Pasifik, temuan survei utama meliputi:

Pembobolan data dan pemadaman jaringan adalah biaya yang nyata dan terus meningkat untuk industri: 43% responden memperkirakan biaya pelanggaran data akan melebihi $ 2 juta dan 34% mengatakan hal yang sama untuk pemadaman jaringan.
Industri perawatan kesehatan adalah targetnya: 52% responden mengalami pelanggaran data dalam setahun terakhir.
Penyerang berfokus pada cloud: Kerentanan dan kesalahan konfigurasi cloud, serangan IoT, dan manipulasi data adalah ancaman dunia maya yang paling diharapkan yang dihadapi industri dalam 12 bulan ke depan, masing-masing dikutip oleh hampir 20% responden.
Jaringan cloud tetap rentan: 53% responden mengalami pelanggaran data di jaringan cloud, vektor serangan terbesar dari tahun lalu.
Pengetahuan adalah setengah dari pertempuran: Responden mengutip pemantauan jaringan (71% responden) dan intelijen ancaman (61%) sebagai taktik mitigasi paling efektif terhadap ancaman yang mereka hadapi pada tahun 2020.

selengkapnya : www.helpnetsecurity.com

Aplikasi Fleeceware telah menghasilkan lebih dari $ 400 juta di App Store dan Play Store, kata penelitian baru

by

Peneliti di Avast menemukan total 204 aplikasi perangkat lunak dengan lebih dari satu miliar unduhan dan pendapatan lebih dari $ 400 juta di Apple App Store dan Google Play Store. Ini terjadi ketika Apple menghadapi peningkatan pengawasan atas aplikasi scam di App Store.

Pertama-tama, penting untuk menjelaskan apa itu fleeceware: ini adalah istilah yang merujuk pada aplikasi seluler yang disertai dengan biaya langganan yang berlebihan.

Misalnya, sebagian besar aplikasi menyertakan uji coba gratis singkat, tetapi aplikasi fleeceware ini memanfaatkan pengguna yang tidak terbiasa dengan cara kerja langganan di iPhone atau perangkat Android lainnya dan mengenakan biaya yang lebih tinggi.

Dalam postingan blognya, Avast menjelaskan bagaimana penipuan fleeceware menjanjikan uji coba langganan gratis, tetapi memberikan biaya yang mahal kepada para korban.

Riset Avast menunjukkan kategori aplikasi berikut sebagai aplikasi yang paling rentan terhadap perangkat lunak Fleeceware:

  • Aplikasi alat musik
  • Pembaca telapak tangan
  • Editor gambar
  • Filter kamera
  • Peramal
  • Kode QR dan pembaca PDF
  • Simulator Slim

    • e

Avast memberikan beberapa solusi yang harus diikuti oleh Apple dan Google. Pertama-tama, para peneliti berpikir bahwa perusahaan harus mengubah cara kerja langganan. Jika pengguna mengunduh aplikasi gratis dengan uji coba, setelah uji coba ini selesai, toko harus mengirimkan peringatan jika pengguna ingin berlangganan aplikasi dan tidak secara otomatis mulai mengenakan biaya segera setelah selesai.

Opsi lainnya adalah memberikan pop up yang lebih baik saat Anda menghapus aplikasi langganan Anda. Apple dan Google sudah memperingatkan pengguna saat mencoba menghapus aplikasi berlangganan, tetapi menurut Avast, itu bisa lebih baik.

Selengkapnya: 9to5mac