Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kesalahan coding pemula sebelum peretasan Gab berasal dari CTO situs

by

Selama akhir pekan, muncul kabar bahwa seorang peretas menembus situs media sosial sayap kanan Gab dan mengunduh 70 gigabyte data dengan mengeksploitasi kelemahan keamanan menggunakan injeksi SQL.

Tinjauan singkat dari kode sumber terbuka Gab menunjukkan bahwa kerentanan kritis — atau setidaknya yang serupa — diperkenalkan oleh kepala petugas teknologi perusahaan (CTO).

Perubahan, yang dalam bahasa pengembangan perangkat lunak dikenal sebagai “git commit”, dilakukan sekitar bulan Februari dari akun Fosco Marotto, mantan insinyur perangkat lunak Facebook yang pada bulan November menjadi CTO Gab. Pada hari Senin, Gab menghapus git commit dari situsnya. Di bawah ini adalah gambar yang menunjukkan perubahan perangkat lunak bulan Februari, seperti yang ditunjukkan dari situs yang menyediakan snapshot commit yang disimpan.

Sumber: Ars Technica

Commit menunjukkan pengembang perangkat lunak yang menggunakan nama Fosco Marotto yang memperkenalkan dengan tepat jenis kesalahan pemula yang dapat menyebabkan jenis pelanggaran yang dilaporkan akhir pekan ini. Secara khusus, baris 23 menghapus kode “tolak” dan “filter”, yang merupakan fungsi API yang mengimplementasikan idiom pemrograman yang melindungi dari serangan injeksi SQL.

Idiom ini memungkinkan programmer untuk membuat kueri SQL dengan cara yang aman yang “membersihkan” masukan yang dimasukkan pengunjung situs web ke dalam kotak telusur dan bidang web lainnya untuk memastikan bahwa setiap perintah berbahaya dihapus sebelum teks diteruskan ke server backend.

Sebagai gantinya, pengembang menambahkan panggilan ke fungsi Rails yang berisi metode “find_by_sql”, yang menerima input unsanitized secara langsung dalam string kueri. Rails adalah toolkit pengembangan situs web yang banyak digunakan.

Selengkapnya: Ars Technica

Microsoft mengatakan peretas Cina telah mengeksploitasi bug untuk menargetkan perusahaan AS

by

Peretas pemerintah yang berbasis di Cina telah mengeksploitasi bug di perangkat lunak server email Microsoft untuk menargetkan organisasi AS, kata perusahaan itu.

Microsoft MSFT, -1,30% mengatakan bahwa kelompok yang disponsori negara “sangat terampil dan canggih” yang beroperasi dari Cina telah mencoba mencuri informasi dari sejumlah target Amerika, termasuk universitas, kontraktor pertahanan, firma hukum, dan peneliti penyakit menular.

Microsoft mengatakan telah merilis security upgrade untuk memperbaiki kerentanan perangkat lunak Exchange Server-nya, yang digunakan untuk layanan email dan kalender kantor, sebagian besar untuk organisasi besar yang memiliki server email in-person mereka sendiri.

Perusahaan itu mengatakan kelompok peretasan yang mereka sebut Hafnium mampu mengelabui server Exchange agar mengizinkannya mendapatkan akses. Para peretas kemudian menyamar sebagai seseorang yang seharusnya memiliki akses dan menciptakan cara untuk mengontrol server dari jarak jauh sehingga mereka dapat mencuri data dari jaringan organisasi.

Microsoft mengatakan grup tersebut berbasis di Cina tetapi beroperasi dari server pribadi virtual yang disewa di AS, yang membantunya menghindari deteksi.

Jika perusahaan Anda menggunakan server Exchange, segera terapkan security upgrade yang dirilis oleh Microsoft.

Selengkapnya: Market Watch | Microsoft Blog

Kerentanan hard-coded key di Logix PLC memiliki skor keparahan 10 dari 10

by

Perangkat keras yang banyak digunakan untuk mengontrol peralatan di pabrik dan pengaturan industri lainnya dapat dikendalikan dari jarak jauh dengan mengeksploitasi kerentanan yang baru diungkapkan yang memiliki skor tingkat keparahan 10 dari 10.

Kerentanan ditemukan pada pengontrol logika yang dapat diprogram dari Rockwell Automation yang dipasarkan dengan merek Logix.

Pada hari Kamis, Administrasi Keamanan Siber & Infrastruktur AS memperingatkan tentang kerentanan kritis yang dapat memungkinkan peretas untuk terhubung dari jarak jauh ke pengontrol Logix dan dari sana mengubah konfigurasi atau kode aplikasi mereka. Kerentanan tersebut membutuhkan tingkat keterampilan yang rendah untuk dieksploitasi, kata CISA.

Kerentanan, yang dilacak sebagai CVE-2021-22681, adalah hasil dari perangkat lunak Studio 5000 Logix Designer yang memungkinkan peretas untuk mengekstrak kunci enkripsi rahasia. Seorang peretas yang memperoleh kunci tersebut kemudian dapat meniru stasiun kerja teknik dan memanipulasi kode atau konfigurasi PLC yang secara langsung memengaruhi proses manufaktur.

Rockwell tidak mengeluarkan tambalan yang secara langsung mengatasi masalah yang berasal dari kunci yang di-hardcode. Sebaliknya, perusahaan merekomendasikan agar pengguna PLC mengikuti langkah-langkah mitigasi risiko tertentu. Langkah-langkahnya melibatkan menjalankan sakelar mode pengontrol, dan jika itu tidak memungkinkan, mengikuti rekomendasi lain yang khusus untuk setiap model PLC.

Selengkapnya: Ars Technica

Daftar pelanggaran data dan serangan siber pada Februari 2021 – 2,3 miliar catatan dilanggar

by

Industri keamanan siber diguncang pada bulan Februari setelah serangan ransomware terhadap penyedia layanan Cloud Accellion.

Lusinan organisasi yang menggunakan perangkat lunak tersebut melaporkan insiden di salah satu bulan terburuk yang pernah tercatat. IT Governance menemukan 118 insiden yang tercatat secara publik, 43 di antaranya adalah serangan ransomware.

Secara total, IT Governance mendeteksi 2.323.326.953 catatan yang dibobol. Anda dapat menemukan daftar lengkap pada link di bawah ini

Selengkapnya: IT Governance Blog

Data 21 juta pengguna dari 3 VPN Android dijual secara online

by

Seorang pengguna di forum peretas populer menjual tiga basis data yang diduga berisi kredensial pengguna dan data perangkat yang dicuri dari tiga layanan VPN Android yang berbeda – SuperVPN, GeckoVPN, dan ChatVPN – dengan total 21 juta catatan pengguna yang terjual.

Sumber: The Cybernews

Layanan VPN yang datanya diduga telah dieksploitasi oleh peretas adalah SuperVPN, yang dianggap sebagai salah satu VPN paling populer (dan berbahaya) di Google Play dengan 100.000.000+ pemasangan di Play store, serta GeckoVPN (1.000.000+ pemasangan) dan ChatVPN (50.000+ pemasangan).

Penulis postingan forum tersebut menjual tiga arsip, dua di antaranya diduga berisi berbagai data yang tampaknya dikumpulkan oleh penyedia dari lebih dari 21.000.000 pengguna SuperVPN, GeckoVPN, dan ChatVPN, termasuk:

  • Alamat email
  • Nama pengguna
  • Nama lengkap
  • Nama negara
  • String kata sandi yang dibuat secara acak
  • Data terkait pembayaran
  • Status anggota premium dan tanggal kedaluwarsa

String kata sandi acak mungkin menunjukkan bahwa akun pengguna VPN dapat ditautkan dengan akun Google Play Store tempat pengguna mengunduh aplikasi VPN mereka.

Secara teori, salah satu poin utama penggunaan VPN adalah untuk mengenkripsi lalu lintas internet Anda dan melindungi privasi Anda dari mata-mata pihak ketiga, seperti ISP, pemerintah yang represif, atau pelaku ancaman.

Inilah sebabnya, ketika memilih VPN, pengguna harus selalu memastikan bahwa VPN yang dimaksud tidak mencatat aktivitas online mereka atau mengumpulkan data lain apa pun tentang mereka. Jika tidak, data yang dicuri dari VPN yang mencatat informasi penggunanya dapat digunakan untuk melawan pengguna tersebut oleh pelaku ancaman.

Sumber: Cyber News

Peretas merilis alat jailbreak baru untuk hampir setiap iPhone

by

Tim peretasan iPhone telah merilis alat jailbreak baru untuk hampir setiap iPhone, termasuk model terbaru, dengan menggunakan kerentanan yang sama yang bulan lalu dikatakan Apple sedang diserang oleh peretas.

Tim Unc0ver merilis jailbreak terbaru akhir pekan ini, dan mengatakan itu berfungsi di iOS 11 (iPhone 5s dan yang lebih baru) hingga iOS 14.3, yang dirilis Apple pada bulan Desember.

Dalam sebuah tweet, grup jailbreak mengatakan mereka menggunakan “exploitnya sendiri” untuk CVE-2021-1782, kerentanan kernel yang menurut Apple adalah salah satu dari tiga kelemahan yang “mungkin telah secara aktif dieksploitasi” oleh peretas. Dengan menargetkan kernel, para peretas dapat masuk ke sistem operasi yang mendasarinya.

Apple memperbaiki kerentanan di iOS 14.4, yang dirilis bulan lalu, yang juga mencegah jailbreak bekerja pada versi yang lebih baru.

Pakar keamanan umumnya menyarankan pengguna iPhone agar tidak melakukan jailbreak karena itu membuat perangkat lebih rentan terhadap serangan. Dan ketika memperbarui ponsel Anda dapat memperkenalkan perbaikan keamanan yang menghapus jailbreak, itu adalah salah satu cara terbaik untuk menjaga keamanan perangkat Anda.

Selengkapnya: Tech Crunch

Eksploitasi Windows dan Linux Spectre yang berfungsi ditemukan di VirusTotal

by

Eksploitasi yang menargetkan sistem Linux dan Windows yang tidak ditambal terhadap kerentanan berusia tiga tahun yang dijuluki Spectre ditemukan oleh peneliti keamanan Julien Voisin di VirusTotal.

Kerentanan tersebut diungkapkan sebagai bug perangkat keras pada Januari 2018 oleh peneliti Google Project Zero.

Jika berhasil dieksploitasi pada sistem yang rentan, ini dapat digunakan oleh penyerang untuk mencuri data sensitif, termasuk kata sandi, dokumen, dan data lain yang tersedia di privileged memori.

Voisin menemukan dua eksploitasi Linux dan Windows yang berfungsi pada platform analisis malware VirusTotal online.

Pengguna yang tidak memiliki hak istimewa dapat menggunakan eksploitasi untuk mengambil hash LM/NT pada sistem Windows dan file Linux/etc/shadow dari memori kernel perangkat yang ditargetkan.

Eksploitasi juga memungkinkan pengambilan tiket Kerberos yang dapat digunakan dengan PsExec untuk eskalasi hak istimewa lokal dan gerakan lateral pada sistem Windows.

Eksploitasi terkait diunggah di VirusTotal bulan lalu sebagai bagian dari paket yang lebih besar, penginstal Immunity Canvas 7.26 untuk Windows dan Linux.

Alat pengujian penetrasi CANVAS menggabungkan “ratusan eksploitasi, sistem eksploitasi otomatis”, dan juga dilengkapi dengan kerangka kerja pengembangan eksploitasi untuk membuat eksploitasi khusus.

Seperti yang dikatakan Voisin, eksploitasi akan rusak jika mesin yang dijalankan menjalankan versi Linux atau Windows yang ditambal.

Mereka yang menjalankan versi OS yang lebih lama pada silikon yang lebih lama (PC era 2015 dengan Haswell atau prosesor Intel yang lebih lama) mungkin yang paling rentan terkena serangan Spectre.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi situs web untuk memberi mereka SEO yang sangat baik sebelum menyebarkan malware

by

Penjahat siber telah beralih ke teknik pengoptimalan mesin telusur (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, apa yang disebut metode “deoptimization” mesin pencari mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke atas peringkat Google.

Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, alat eksploitasi, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik, yang dijuluki “Gootloader,” melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan di situs web yang diretas yang diamati oleh Sophos, di mana modifikasi “halus” dibuat untuk “menulis ulang bagaimana konten situs web ditampilkan ke situs tertentu.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Korban yang mengklik tautan unduhan langsung akan menerima file arsip .zip, dinamai sesuai dengan istilah pencarian, yang berisi file .js.

Menurut Sophos, teknik tersebut digunakan untuk menyebarkan Trojan perbankan Gootkit, Kronos, Cobalt Strike, dan REvil ransomware, di antara varian malware lainnya, di Korea Selatan, Jerman, Prancis, dan Amerika Serikat.

Selengkapnya: ZDNet