Threat

ISC mendesak pembaruan server DNS untuk menghapus kerentanan BIND baru

May 3, 2021 by Winnie the Pooh

Internet Systems Consortium (ISC) telah merilis sebuah advisory yang menguraikan trio kerentanan yang dapat memengaruhi keamanan sistem DNS.

Minggu ini, organisasi tersebut mengatakan kerentanan berdampak pada ISC Berkeley Internet Name Domain (BIND) 9, yang banyak digunakan sebagai sistem DNS dan dipertahankan sebagai proyek open source.

Kerentanan pertama dilacak sebagai CVE-2021-25216 dan telah dikeluarkan skor keparahan CVSS 8.1 (32-bit) atau 7.4 (64-bit). Pelaku ancaman dapat memicu kesalahan dari jarak jauh dengan melakukan serangan buffer overflow terhadap mekanisme negosiasi kebijakan keamanan GSSAPI BIND untuk protokol GSS-TSIG, yang berpotensi menyebabkan eksploitasi yang lebih luas termasuk error dan eksekusi kode jarak jauh.

Namun, dalam konfigurasi yang menggunakan setelan BIND default, jalur kode yang rentan tidak akan ditampilkan – kecuali nilai server (tkey-gssapi-keytab/tkey-gssapi-credential) disetel sebaliknya.

Cacat keamanan kedua, CVE-2021-25215, telah mendapatkan skor CVSS 7,5. CVE-2021-25215 adalah cacat yang dapat dieksploitasi dari jarak jauh yang ditemukan dalam cara pemrosesan data DNAME dan dapat menyebabkan proses crash karena pernyataan yang gagal.

Bug paling tidak berbahaya, dilacak sebagai CVE-2021-25214, telah mendapat skor CVSS 6,5. Masalah ini ditemukan di transfer zona inkremental (IXFR) dan jika named server menerima IXFR yang salah, ini menyebabkan named process lumpuh karena pernyataan yang gagal.

Kerentanan di BIND diperlakukan dengan serius karena hanya dengan satu bug, yang berhasil dieksploitasi, untuk menyebabkan gangguan yang meluas pada layanan.

BIND 9.11.31, 9.16.15, dan 9.17.12 semuanya berisi tambalan dan pembaruan yang harus diterapkan.

Selengkapnya: ZDNet

Grup ransomware baru menggunakan SonicWall zero-day untuk menerobos jaringan

May 1, 2021 by Winnie the Pooh

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Seri SonicWall SMA 100 untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 SonicWall untuk menerobos jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian pintu belakang SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

selengkapnya : www.bleepingcomputer.com

Teknologi AS mendorong ransomware untuk dianggap sebagai ancaman keamanan nasional

May 1, 2021 by Winnie the Pooh

Perusahaan dan pejabat teknologi besar AS mendesak pemerintah untuk menetapkan ransomware sebagai ancaman keamanan nasional dalam upaya memerangi epidemi peretasan yang merugikan bisnis puluhan juta dolar.

Kelompok teknologi termasuk Microsoft, Cisco dan Amazon, perusahaan keamanan dunia maya seperti FireEye dan pejabat dari FBI dan Departemen Kehakiman AS telah menerbitkan laporan yang menyerukan sejumlah langkah untuk menangani perusahaan kriminal yang menguntungkan tersebut.

Ransomware melibatkan peretas yang mengambil kendali atas sistem komputer atau data organisasi dengan memasang perangkat lunak terlarang, dan mengembalikan aset hanya setelah uang tebusan dibayarkan.

Gugus Tugas Ransomware publik-swasta berpendapat bahwa serangan semacam itu harus dianggap sebagai ancaman keamanan nasional, merujuk pada risiko warga dari serangan tanpa henti terhadap rumah sakit, otoritas lokal, dan infrastruktur penting.

Ini meminta pemerintah untuk menciptakan koalisi internasional untuk mengatasi masalah dan untuk “memberikan tekanan pada negara-negara yang terlibat atau menolak untuk mengambil tindakan”, misalnya melalui sanksi atau dengan menahan bantuan atau visa.

Seruan itu datang dua minggu setelah Departemen Keuangan AS menuduh salah satu badan intelijen Rusia, FSB, “mengembangkan dan mengkooptasi” EvilCorp, salah satu grup ransomware paling terkenal. Banyak penjahat dunia maya beroperasi di luar yurisdiksi otoritas AS.

“Ransomware, khususnya, adalah masalah tindakan kolektif yang luar biasa karena banyak alasan,” kata Michael Phillips, kepala bagian klaim di grup asuransi cyber Resilience dan salah satu ketua gugus tugas.

Dia mengutip “persaingan negara-bangsa yang meningkat di ruang digital, dan negara-negara yang tidak mampu atau tidak mau menegakkan hukum yang mencegah penjahat dunia maya canggih meluncurkan serangan ini atau menciptakan ekosistem yang mendukung mereka”.

selengkapnya : www.ft.com

Microsoft menemukan lubang alokasi memori dalam jangkauan IoT dan teknologi industri

May 1, 2021 by Winnie the Pooh

Grup penelitian keamanan untuk Azure Defender for IoT, yang dijuluki Bagian 52, telah menemukan sekumpulan operasi alokasi memori yang buruk dalam kode yang digunakan di Internet of Things dan teknologi operasional (OT) seperti sistem kontrol industri yang dapat menyebabkan eksekusi kode berbahaya.

Mengingat nama kerentanan BadAlloc yang trendi, kerentanan tersebut terkait dengan tidak memvalidasi input dengan benar, yang menyebabkan heap overflow, dan pada akhirnya dapat berakhir pada eksekusi kode.

“Semua kerentanan ini berasal dari penggunaan fungsi memori yang rentan seperti malloc, calloc, realloc, memalign, valloc, pvalloc, dan banyak lagi,” tulis tim peneliti dalam sebuah posting blog.

Penggunaan fungsi ini menjadi bermasalah saat melewati input eksternal yang dapat menyebabkan bilangan bulat melimpah atau sampul sebagai nilai untuk fungsi.

“Konsepnya adalah sebagai berikut: Saat mengirim nilai ini, hasil yang dikembalikan adalah buffer memori yang baru dialokasikan,” kata tim tersebut.

“Meskipun ukuran memori yang dialokasikan tetap kecil karena sampulnya, payload yang terkait dengan alokasi memori melebihi buffer yang dialokasikan sebenarnya, sehingga menghasilkan heap overflow. Heap overflow ini memungkinkan penyerang untuk mengeksekusi kode berbahaya pada perangkat target.”

Microsoft mengatakan bekerja dengan Departemen Keamanan Dalam Negeri AS untuk memperingatkan vendor yang terkena dampak dan menambal kerentanan.

Daftar produk yang terpengaruh dalam penasehat termasuk perangkat dari Google Cloud, Arm, Amazon, Red Hat, Texas Instruments, dan Samsung Tizen. Skor CVSS v3 berkisar dari 3.2 untuk Tizen hingga 9.8 untuk Red Hat newlib sebelum versi 4.

“Secara khusus, perangkat IoT dan jaringan OT harus diisolasi dari jaringan TI perusahaan menggunakan firewall.”

selengkapnya : www.zdnet.com

Perusahaan keamanan Kaspersky yakin telah menemukan malware CIA baru

April 30, 2021 by Winnie the Pooh

Perusahaan keamanan dunia maya Kaspersky mengatakan mereka menemukan malware baru yang tampaknya dikembangkan oleh Badan Intelijen Pusat AS.

Kaspersky mengatakan menemukan malware dalam “kumpulan sampel malware” yang diterima analis dan perusahaan keamanan lainnya pada Februari 2019.

Meskipun analisis awal tidak menemukan kode yang dibagikan dengan sampel malware yang diketahui sebelumnya, Kaspersky baru-baru ini menganalisis ulang file tersebut dan mengatakan menemukan bahwa “sampel memiliki perpotongan pola pengkodean, gaya, dan teknik yang telah terlihat di berbagai keluarga Lambert.”

Lamberts adalah nama kode internal yang digunakan Kaspersky untuk melacak operasi peretasan CIA.

Empat tahun lalu, setelah WikiLeaks mengungkap kemampuan peretasan CIA kepada publik dalam serangkaian kebocoran yang dikenal sebagai Vault7, perusahaan keamanan AS Symantec secara terbuka menghubungkan alat peretasan Vault7 ke CIA dan Longhorn APT (nama industri lain untuk Lamberts).

Karena memiliki kesamaan antara sampel yang baru ditemukan ini dan malware CIA sebelumnya, Kaspersky mengatakan sekarang melacak cluster malware baru ini sebagai Purple Lambert.

Berdasarkan metadata Purple Lambert, sampel malware tampaknya telah dikompilasi tujuh tahun lalu, pada tahun 2014.

Mengenai apa yang dilakukan malware ini, deskripsi Kaspersky tentang Purple Lambert tampaknya mengatakan malware bertindak sebagai trojan backdoor yang mendengarkan lalu lintas jaringan untuk paket tertentu yang akan mengaktifkannya pada host yang terinfeksi.

Selengkapnya: The Record

Microsoft menemukan bug eksekusi kode kritis di IoT dan perangkat OT

April 30, 2021 by Winnie the Pooh

Peneliti keamanan Microsoft telah menemukan lebih dari dua lusin kerentanan kritis eksekusi kode jarak jauh (RCE) di perangkat Internet of Things (IoT) dan sistem industri Operational Technology (OT).

25 keretanan keamanan ini dikenal secara kolektif sebagai BadAlloc dan disebabkan oleh alokasi memori Integer Overflow atau bug Wraparound.

Pelaku ancaman dapat mengeksploitasinya untuk memicu kerusakan sistem dan mengeksekusi kode berbahaya dari jarak jauh pada sistem IoT dan OT yang rentan.

Kerentanan ditemukan oleh peneliti Microsoft dalam fungsi alokasi memori standar yang banyak digunakan di beberapa sistem operasi waktu nyata (RTOS), implementasi perpustakaan standar C (libc), dan kit pengembangan perangkat lunak yang disematkan (SDK).

Perangkat IoT dan OT yang rentan yang terpengaruh oleh kerentanan BadAlloc dapat ditemukan di jaringan konsumen, medis, dan industri.

Kerentanan ditemukan dan dilaporkan ke CISA dan vendor yang terkena dampak oleh peneliti keamanan David Atch, Omri Ben Bassat, dan Tamir Ariel dari grup riset ‘Section 52’ Azure Defender untuk IoT Microsoft.

Untuk mitigasi dan detail teknis dapat dilihat pada tautan di bawah ini.

Selengkapnya: Bleeping Computer

Grup ransomware baru menggunakan zero-day SonicWall untuk menerobos jaringan

April 30, 2021 by Winnie the Pooh

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Sonicwall SMA 100 Series untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 Sonicwall untuk menembus jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian backdoor SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

Ransomware FiveHands yang digunakan dalam serangan UNC2447 pertama kali diamati di alam liar selama Oktober 2020.

Ini juga sangat mirip dengan ransomware HelloKitty, keduanya menulis ulang ransomware DeathRansom.

Selengkapnya: Bleeping Computer

QNAP memperingatkan serangan ransomware AgeLocker pada perangkat NAS

April 30, 2021 by Winnie the Pooh

Pelanggan QNAP sekali lagi didesak untuk mengamankan perangkat Network Attached Storage (NAS) mereka untuk bertahan dari serangan ransomware Agelocker yang menargetkan data mereka.

Dalam nasihat keamanan yang diterbitkan sebelumnya, perusahaan mengatakan bahwa tim keamanannya telah menemukan sampel ransomware AgeLocker di alam liar, dengan “potensi untuk memengaruhi perangkat QNAP NAS”.

“Untuk mengamankan perangkat Anda, kami sangat menyarankan memperbarui QTS atau QuTS hero dan semua aplikasi yang diinstal ke versi terbaru mereka secara teratur untuk mendapatkan keuntungan dari perbaikan kerentanan,” kata QNAP. “Anda dapat memeriksa status dukungan produk untuk melihat pembaruan terbaru yang tersedia untuk model NAS Anda”.

Pelanggan juga diperingatkan untuk tidak mengekspos perangkat NAS mereka di Internet karena akan memungkinkan penyerang potensial untuk menemukannya dan mendapatkan akses ke data pengguna.

Seorang juru bicara QNAP PSIRT mengatakan kepada BleepingComputer bahwa perangkat NAS yang baru-baru ini dikompromikan oleh ransomware AgeLocker menjalankan firmware yang sudah ketinggalan zaman.

Ransomware AgeLocker pertama kali terlihat di alam liar pada Juli 2020 dan, sejak itu, telah menargetkan perangkat QNAP NAS di seluruh dunia dalam kampanye September 2020.

Jenis ransomware ini menggunakan algoritma enkripsi yang dikenal sebagai Age (kependekan dari Actually Good Encryption), yang dirancang sebagai pengganti GPG untuk mengenkripsi file, backup, dan streaming.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings