Threat

VMware memperbaiki bug yang memungkinkan penyerang mencuri kredensial admin

March 31, 2021 by Winnie the Pooh

VMware telah menerbitkan pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan tinggi dalam vRealize Operations yang memungkinkan penyerang mencuri kredensial admin setelah mengeksploitasi server yang rentan.

vRealize Operations adalah manajemen operasi TI yang didukung AI dan “berjalan sendiri” untuk lingkungan pribadi, hybrid, dan multi-cloud, tersedia sebagai solusi di lokasi atau SaaS.

Kerentanan tersebut ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Kerentanan yang dilaporkan secara pribadi yang dilacak sebagai CVE-2021-21975 disebabkan oleh bug Server Side Request Forgery di vRealize Operations Manager API.

Penyerang dapat mengeksploitasi kerentanan dari jarak jauh tanpa memerlukan otentikasi atau interaksi pengguna dalam serangan dengan kompleksitas rendah untuk mencuri kredensial administratif.

VMware menilai kelemahan keamanan tersebut sebagai tingkat keparahan yang tinggi dengan memberinya skor dasar 8,6 dari 10.

Detail tentang cara mendapatkan patch keamanan untuk Operasi vRealize tersedia di artikel dukungan yang ditautkan di bawah ini:

Sumber: Bleeping Computer

Serangan Microsoft Exchange meningkat sementara WannaCry memulai kembali infeksinya

March 31, 2021 by Winnie the Pooh

Kerentanan yang baru-baru ini ditambal di Microsoft Exchange telah memicu minat baru di antara penjahat siber, yang meningkatkan volume serangan yang berfokus pada vektor khusus ini.

Meskipun frekuensi serangan ransomware meningkat dalam enam bulan terakhir, perusahaan keamanan siber Check Point minggu lalu melihat lonjakan insiden yang menargetkan server Microsoft Exchange yang rentan terhadap apa yang disebut dengan bug kritis ProxyLogon.

Bahkan dengan patch yang bergerak dengan kecepatan tinggi, perusahaan melihat percobaan serangan tiga kali lipat di seluruh dunia, terhitung puluhan ribu.

Menurut Microsoft, ada sekitar 82.000 server Exchange yang rentan pada 14 Maret. Sekitar seminggu kemudian, jumlah tersebut turun drastis menjadi sekitar 30.000 mesin yang terpapar, sesuai data dari RiskIQ.

Data telemetri dari Check Point pekan lalu menunjukkan lebih dari 50.000 upaya serangan secara global, kebanyakan ditujukan pada organisasi di pemerintahan/militer, manufaktur, dan sektor perbankan/keuangan.

Perusahaan melihat peningkatan 57% dalam serangan ransomware selama enam bulan terakhir di tingkat global. Yang lebih mengkhawatirkan adalah kenaikan bulanan yang konstan sebesar 9% sejak awal tahun.

Selain strain ransomware normal yang diamati (Maze, Ryuk, REvil), perusahaan mencatat peningkatan 53% dalam jumlah organisasi yang terpengaruh oleh ransomware wormable WannaCry.

Alasan di balik tingginya angka tersebut adalah WannaCry yang menjadi wormable (serangan yang dapat menyebar dari satu mesin ke mesin lainnya tanpa interaksi manusia) dan ribuan sistem masih rentan terhadap EternalBlue yang dapat dijangkau melalui internet publik.

Sumber: Bleeping Computer

Server Git PHP diretas untuk menambahkan backdoor ke kode sumber PHP

March 29, 2021 by Winnie the Pooh

Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.

Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.

Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.

Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.

Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.

“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.

Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.

Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.

Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.

Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini

Source : BleepingComputer

Serangan Ransomware di CompuCom Menghabiskan Biaya Pemulihan Lebih dari $ 20 Juta

March 29, 2021 by Winnie the Pooh

CompuCom, penyedia layanan terkelola TI yang terkena serangan ransomware bulan lalu, mengungkapkan biaya yang menutupi insiden tersebut lebih dari $ 20 juta.

Sebagian dari jumlah tersebut diharapkan akan ditanggung oleh asuransi sibernya, dan semuanya akan digunakan untuk memulihkan layanan yang terpengaruh. Aktor ancaman di balik insiden ini adalah grup ransomware DarkSide, yang berhasil menyebarkan suar Cobalt Strike.

Suar yang ditanam di seluruh jaringan CompuCom memungkinkan grup ransomware mencuri data yang tidak dienkripsi dan mengenkripsi semua sistem yang terhubung. Sementara CompuCom dikatakan telah bertindak segera dan memutus beberapa sistem yang terpengaruh dari jaringan, kerusakan yang signifikan telah terjadi.

Mereka harus berhenti melayani beberapa kliennya untuk menangani insiden tersebut dan akhirnya menyelidiki masalah tersebut. Hal ini, seperti yang diungkapkan oleh perusahaan induk CompuCom, merugikan perusahaan lebih dari $ 20 juta, termasuk penghentian bisnis untuk sementara waktu.

Induk CompuCom, ODP Corporation, mengungkapkan bahwa mereka memiliki asuransi siber untuk infrastrukturnya, yang sekarang dapat membantu setengah dari biaya yang terjadi. CompuCom telah memberi tahu pengguna yang terpengaruh tentang insiden malware ketika serangan itu terjadi, tetapi tidak menyebutkan potensi serangan ransomware.

Sumber: Techdator

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

March 29, 2021 by Winnie the Pooh Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

SolarWinds menambal bug eksekusi kode penting di Orion Platform

March 28, 2021 by Winnie the Pooh

SolarWinds telah merilis pembaruan keamanan untuk mengatasi empat kerentanan yang memengaruhi platform pemantauan TI Orion perusahaan, dua di antaranya memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh.

Platform Orion adalah solusi administrasi TI yang memungkinkan organisasi perusahaan untuk mengelola, mengoptimalkan, dan memantau infrastruktur TI lokal, hibrid, atau perangkat lunak sebagai layanan (SaaS) mereka.

SolarWinds juga menyertakan beberapa peningkatan keamanan dalam rilis Platform Orion baru ini, termasuk:

-Peningkatan pencegahan Orion XSS dan perbaikan terkait.
-Perbaikan saluran komunikasi untuk layanan SolarWinds internal.
-Perlindungan UAC DB Manager
-AngularJS ditingkatkan ke 1.8.0
-Moment.JS ditingkatkan ke 2.29.1
-Administrator dapat menyebarkan pembaruan keamanan dan peningkatan keamanan tambahan dengan menginstal rilis Platform Orion 2020.2.5.

sumber : www.bleepingcomputer.com

Spyware baru di Android berpura-pura menjadi pembaruan sistem untuk ponsel Anda

March 27, 2021 by Winnie the Pooh

Tambalan bulanan Google membantu menjaga Android tetap aman dari serangan jahat (dengan asumsi pabrikan ponsel Anda bersedia mengirimkan pembaruan tepat waktu). Selama Anda berhati-hati saat mengunduh aplikasi dari luar Play Store, menjaga keamanan perangkat Anda cukup mudah akhir-akhir ini, bahkan saat penyerang baru mencoba menyebarkan virus berbahaya. Minggu ini, peneliti keamanan seluler telah menemukan spyware yang berpura-pura sebagai pembaruan sistem, hanya untuk mengambil kendali penuh atas smartphone setelah diinstal.

Malware, yang pertama kali ditemukan oleh perusahaan keamanan Zimperium, ternyata sangat canggih. Setelah dipasang melalui aplikasi yang dibundel di luar Play Store, itu menutupi dirinya sendiri menggunakan pemberitahuan yang sama dengan pembaruan terverifikasi dari Google. Setelah aktif, tidak ada yang aman dari sentuhannya: Spyware ini dapat melihat dan mengunggah pesan, kontak, riwayat pencarian, dan bookmark. Itu dapat melacak lokasi, mengambil foto menggunakan kamera, merekam panggilan telepon dan audio eksternal, dan bahkan mencuri konten yang disalin dari clipboard Anda.

selengkapnya : www.androidpolice.com

FBI mengungkap kelemahan dalam ransomware Mamba, DiskCryptor

March 26, 2021 by Winnie the Pooh

Peringatan dari Biro Investigasi Federal A.S. tentang ransomware Mamba mengungkapkan titik lemah dalam proses enkripsi yang dapat membantu organisasi yang ditargetkan pulih dari serangan tanpa membayar uang tebusan.

FBI memperingatkan bahwa serangan ransomware Mamba telah diarahkan pada entitas di sektor publik dan swasta, termasuk pemerintah daerah, agen transportasi, layanan hukum, layanan teknologi, industri, komersial, manufaktur, dan bisnis konstruksi.

Mamba ransomware (alias HDDCryptor) mengandalkan solusi perangkat lunak sumber terbuka bernama DiskCryptor untuk mengenkripsi komputer korban di latar belakang dengan kunci yang ditentukan oleh penyerang.

FBI menjelaskan bahwa menginstal DiskCryptor memerlukan restart sistem untuk menambahkan driver yang diperlukan, yang terjadi dengan Mamba sekitar dua menit setelah menerapkan program.

Agensi tersebut selanjutnya mencatat bahwa kunci enkripsi dan variabel waktu penonaktifan disimpan dalam konfigurasi DiskCryptor, sebuah file plaintext bernama myConf.txt.

Sistem restart kedua terjadi setelah proses enkripsi selesai, sekitar dua jam kemudian, dan catatan tebusan muncul.

Karena tidak ada perlindungan di sekitar kunci enkripsi, karena disimpan dalam bentuk plaintext, FBI mengatakan bahwa jeda dua jam ini adalah peluang bagi organisasi yang terkena ransomware Mamba untuk memulihkannya.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings