Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

WordPress menyebarkan pembaruan keamanan paksa untuk bug berbahaya di plugin populer

by

Tim keamanan WordPress telah mengambil langkah langka minggu lalu dan menggunakan kemampuan internal yang kurang dikenal untuk secara paksa mendorong pembaruan keamanan untuk plugin populer.

Situs WordPress yang menjalankan plugin Loginizer secara paksa diperbarui minggu ini ke Loginizer versi 1.6.4.

Versi ini berisi perbaikan keamanan untuk bug injeksi SQL berbahaya yang dapat memungkinkan peretas mengambil alih situs WordPress yang menjalankan versi lama plugin Loginizer.

Loginizer adalah salah satu plugin WordPress paling populer saat ini, dengan basis penginstalan lebih dari satu juta situs.

Plugin ini memberikan peningkatan keamanan untuk halaman login WordPress. Menurut deskripsi resminya, Loginizer dapat membuat daftar hitam atau daftar putih alamat IP dari mengakses halaman login WordPress, dapat menambahkan dukungan untuk otentikasi dua faktor, atau dapat menambahkan CAPTCHA sederhana untuk memblokir upaya login otomatis, di antara banyak fitur lainnya.

Bug ini adalah salah satu masalah keamanan terburuk yang ditemukan di plugin WordPress dalam beberapa tahun terakhir, dan itulah mengapa tim keamanan WordPress tampaknya telah memutuskan untuk secara paksa mendorong patch Loginizer 1.6.4 ke semua situs yang terpengaruh.

Berita selengkapnya dapat dibaca pada tautan berikut ini;
Source: ZDNet

Kerentanan Zero-day Pada Chrome Yang Baru Dalam Serangan Aktif – Perbarui Browser Anda Sekarang

by

Jika Anda menggunakan browser Google Chrome di komputer Windows, Mac, atau Linux, Anda perlu segera memperbarui perangkat lunak browser Anda ke versi terbaru yang dirilis Google hari ini.

Google merilis Chrome versi 86.0.4240.111 hari ini untuk menambal beberapa masalah keamanan dengan tingkat keparahan tinggi, termasuk kerentanan zero-day yang telah dieksploitasi di alam liar oleh penyerang untuk membajak komputer yang ditargetkan.

Dilacak sebagai CVE-2020-15999, kerentanan yang dieksploitasi secara aktif adalah jenis cacat kerusakan memori yang disebut heap buffer overflow di Freetype, library pengembangan perangkat lunak sumber terbuka yang populer untuk merender font yang dikemas dengan Chrome.

Selain kerentanan zero-day FreeType, Google juga memperbaiki empat kelemahan lain dalam pembaruan Chrome terbaru, tiga di antaranya adalah kerentanan berisiko tinggi — bug implementasi yang tidak tepat di Blink, penggunaan setelah free bug di media Chrome, dan penggunaan setelah free bug dalam PDFium — dan satu penggunaan berisiko menengah setelah masalah free dalam fungsi pencetakan browser.

Untuk memperbarui Chrome Anda pada Windows dan Mac, Klik pada bagian kanan atas di Chrome Anda > Help > About Chrome, lalu pembaruan akan otomatis berjalan jika sudah tersedia.

Untuk memperbarui Chrome pada mesin Linux, gunakan update manager di desktop Anda.

Berita selengkapnya:
Source: The Hacker News

AS menuntut peretas Rusia di balik serangan NotPetya, KillDisk, dan Olympic Destroyer

by

Departemen Kehakiman AS telah mengungkap dakwaan terhadap enam warga Rusia yang diyakini sebagai anggota salah satu unit peretasan dan perang siber Rusia – yang dikenal sebagai Sandworm.

Sebagai bagian dari unit ini, para pejabat AS mengatakan keenam nya melakukan serangan siber yang “merusak” atas nama dan di bawah perintah pemerintah Rusia dengan maksud untuk mengguncang negara lain, mencampuri politik internal mereka, dan menyebabkan malapetaka dan kerugian moneter.

Serangan mereka berlangsung selama dekade terakhir dan termasuk beberapa serangan siber terbesar yang diketahui hingga saat ini:

  1. Pemerintah Ukraina & Infrastruktur Kritis: Dari Desember 2015 hingga Desember 2016, grup ini mengatur serangan malware yang merusak terhadap jaringan listrik Ukraina, Kementerian Keuangan Ukraina, dan Layanan Keuangan Negara Ukraina, menggunakan malware yang mengubah peralatan industri (BlackEnergy pada 2015 dan Industroyer pada tahun 2016) atau menghapus hard drive (KillDisk).
  2. Pemilu Prancis: Pada bulan April dan Mei 2017, Sandworm mengatur kampanye spearphishing dan upaya peretasan dan kebocoran terkait yang menargetkan “La République En Marche!” Presiden Prancis Macron! (“En Marche!”), Politikus Prancis, dan pemerintah Prancis lokal sebelum pemilu Prancis 2017.
  3. Wabah Ransomware NotPetya: Pada 27 Juni 2017, Sandworm merilis ransomware NotPetya. Awalnya ditujukan untuk perusahaan Ukraina, ransomware dengan cepat menyebar dan memengaruhi perusahaan di seluruh dunia, menyebabkan kerusakan lebih dari $1 miliar bagi para korbannya.
  4. Penyelenggara, Peserta, Mitra, dan Peserta Olimpiade Musim Dingin PyeongChang: Antara Desember 2017 hingga Februari 2018, Sandworm meluncurkan kampanye spearphishing dan aplikasi seluler berbahaya yang menargetkan warga dan pejabat Korea Selatan, atlet Olimpiade, mitra, dan pengunjung, serta Komite Olimpiade Internasional (“IOC”) pejabat. Serangan tersebut terjadi setelah atlet Rusia dilarang dari acara olahraga tersebut karena skema doping yang disponsori negara.
  5. Sistem TI Olimpiade Musim Dingin PyeongChang (Perusak Olimpiade): Dari Desember 2017 hingga Februari 2018, Sandworm mengatur intrusi ke dalam komputer yang mendukung Olimpiade Musim Dingin PyeongChang 2018, yang mencapai puncaknya pada 9 Februari 2018, dengan dirilisnya Olympic Destroyer, jenis malware yang merusak yang mencoba menghapus server penting selama upacara pembukaan.
  6. Investigasi Novichok Poisoning: Pada bulan April 2018, kelompok Sandworm mengatur kampanye spearphishing yang menargetkan investigasi oleh Organisasi untuk Larangan Senjata Kimia (“OPCW”) dan Laboratorium Sains dan Teknologi Pertahanan Inggris (“DSTL”) ke dalam keracunan agen saraf Sergei Skripal, putrinya, dan beberapa warga negara Inggris.
  7. Perusahaan Georgia dan Entitas Pemerintah: Pada tahun 2018, Sandworm melakukan kampanye spearphishing yang menargetkan perusahaan media besar di negara Georgia. Serangan-serangan ini diikuti pada 2019 dengan upaya menyusupi jaringan Parlemen Georgia, dan kampanye perusakan situs web massal pada 2019.

“Seperti yang diperlihatkan dalam kasus ini, tidak ada negara yang mempersenjatai kemampuan siber mereka dengan jahat dan tidak bertanggung jawab seperti Rusia, dengan sembrono menyebabkan kerusakan tambahan yang belum pernah terjadi sebelumnya untuk mengejar keuntungan taktis kecil dan untuk memuaskan rasa dengki,” kata Asisten Jaksa Agung untuk Keamanan Nasional John C. Demers, mengacu pada serangan seperti BlackEnergy, NotPetya, dan OlympicDestroyer, yang semuanya tidak ditujukan untuk pengumpulan intelijen tetapi jelas merupakan serangan destruktif yang bermaksud sabotase.

Berita selengkapnya:
Source: ZDNet

Google menghapus dua pemblokir iklan Chrome yang tertangkap sedang mengumpulkan data pengguna

by

Google telah menghapus dua ekstensi pemblokir iklan dari Toko Web Chrome resmi selama akhir pekan setelah keduanya kedapatan mengumpulkan data pengguna minggu lalu.

Kedua ekstensi tersebut diberi nama Nano Adblocker dan Nano Defender, dan masing-masing memiliki lebih dari 50.000 dan 200.000 penginstalan, pada saat keduanya dihapus.

Keduanya telah ada selama lebih dari setahun, tetapi kode berbahaya itu tidak disertakan dengan versi aslinya.

Kode pengumpulan data ditambahkan pada awal bulan ini, pada Oktober 2020, setelah penulis asli menjual dua ekstensi tersebut ke “tim pengembang Turki”.

Setelah analisis lebih lanjut, kode berbahaya ini terungkap untuk mengumpulkan informasi tentang pengguna, seperti:

Alamat IP pengguna
Negara
Detail OS
URL situs web
Time Stamp untuk permintaan web
Metode HTTP (POST, GET, HEAD, dll.)
Ukuran respons HTTP
Kode status HTTP
Waktu yang dihabiskan di setiap halaman web
URL lain yang diklik di halaman web

Setelah dipanggil ke GitHub, kedua pengembang Turki itu membuat halaman kebijakan privasi di mana mereka mencoba untuk mengungkapkan perilaku pengumpulan data dalam upaya yang salah untuk melegitimasi kode berbahaya tersebut. Kedua ekstensi tersebut dihapus selama akhir pekan dan dinonaktifkan di Chrome pengguna browser.

Versi Firefox dari Nano Adblocker dan Nano Defender tidak pernah berisi kode berbahaya, karena mereka bukan bagian dari penjualan dan dikelola oleh pengembang yang berbeda.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

by

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Adobe Memperbaiki 16 Bug Eksekusi Kode Kritis di Seluruh Produknya

by

Adobe telah merilis 18 patch keamanan out-of-band dalam 10 paket perangkat lunak yang berbeda, termasuk perbaikan untuk kerentanan kritis yang tersebar di seluruh rangkaian produknya. Adobe Illustrator terpukul paling keras.

Ada 16 bug kritis, yang semuanya memungkinkan eksekusi kode arbitrer dalam konteks pengguna saat ini. Mereka mempengaruhi Adobe Illustrator, Adobe Animate, Adobe After Effects, Adobe Photoshop, Adobe Premiere Pro, Adobe Media Encoder, Adobe InDesign dan Aplikasi Adobe Creative Cloud Desktop.

Banyak masalah menyangkut elemen jalur pencarian yang tidak terkontrol, tetapi ada juga masalah di luar batas, masalah kerusakan memori, dan bug cross-site scripting (XSS).

Untuk bug penulisan dan pembacaan di luar batas “terjadi karena Illustrator tidak memvalidasi data yang disediakan pengguna dengan benar, yang dapat mengakibatkan penulisan dan pembacaan melewati akhir struktur yang dialokasikan,” kata Dustin Childs, manajer komunikasi untuk Zero Day Initiative dari Trend Micro.

Tambalan out-of-band mengikuti pengungkapan satu kerentanan pada bulan Oktober sebagai bagian dari tambalan terjadwal rutin Adobe (kurang dari 18 kerentanan yang diatasi selama pembaruan reguler bulan September).

Itu adalah bug kritis dalam aplikasi Flash Player untuk pengguna di sistem operasi Windows, macOS, Linux, dan ChromeOS (CVE-2020-9746). Jika berhasil dieksploitasi, itu dapat menyebabkan crash yang dapat dieksploitasi, berpotensi mengakibatkan eksekusi kode arbitrer dalam konteks pengguna saat ini, menurut Adobe.

Pada bulan ini juga, Adobe mengumumkan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart. Mereka dapat mengizinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Bug Pada Browser Seluler Membuat Pengguna Safari dan Opera Dapat Terinfeksi Malware

by

Serangkaian kerentanan spoofing address-bar yang memengaruhi sejumlah browser seluler membuka pintu bagi pengiriman malware, phishing, dan kampanye disinformasi.

Bug tersebut, dilaporkan oleh Rapid7 dan peneliti independen Rafay Baloch, memengaruhi enam browser, mulai dari yang umum (Apple Safari, Opera Touch/Mini, dan Yandex), hingga yang kurang umum (Bolt Browser, RITS Browser, dan UC Browser). Mereka memungkinkan penyerang menampilkan alamat palsu untuk halaman web – yang merupakan masalah di dunia seluler, di mana URL sering kali menjadi satu-satunya verifikasi keabsahan yang dimiliki pengguna sebelum menavigasi ke situs web.

“Browser seluler adalah jenis perangkat lunak yang cukup khusus yang akhirnya bertindak sebagai jalur ganda pengguna untuk semua jenis aplikasi penting dalam kehidupan sehari-hari mereka,” jelas direktur riset Rapid7 Tod Beardsley, dalam sebuah blog pada hari Selasa. Pada dasarnya, jika browser Anda memberi tahu Anda bahwa pemberitahuan pop-up atau halaman ‘dari’ bank Anda, atau beberapa layanan penting lainnya yang Anda andalkan, Anda benar-benar harus memiliki beberapa mekanisme untuk memvalidasi sumber itu. Di browser seluler, sumber itu dimulai dan diakhiri dengan URL seperti yang ditunjukkan di address bar.”

Karena kurangnya real estat untuk indikator keamanan di layar seluler, browser biasanya memblokir pengembang untuk mengubah apa pun di address bar. Apa yang ditampilkan di layar harus sesuai dengan tempat halaman sebenarnya dihosting, sehingga hampir tidak mungkin untuk memalsukan lokasi teks atau gambar secara meyakinkan. Namun, kelompok bug ini memungkinkan penyerang untuk menghindari perlindungan semacam itu.

“Bug ini memungkinkan penyerang untuk mengganggu waktu antara pemuatan halaman dan ketika browser mendapat kesempatan untuk menyegarkan address bar,” kata Baloch, dalam makalah teknis yang juga diposting pada hari Selasa.

“Mereka dapat menyebabkan pop-up tampak berasal dari situs web arbitrer atau dapat membuat konten di jendela browser yang secara keliru tampak berasal dari situs web arbitrer.”

Baloch merilis eksploitasi bukti konsep (PoC) yang mendemonstrasikan kerentanan spoofing berbasis browser di Safari untuk iOS dan Mac (CVE-2020-9987).

Berikut adalah daftar browser yang terpengaruh dan CVE yang ditetapkan:

Sumber: Threat Post

Berita selengkapnya:
Source: The Threat Post

Ryuk Ransomware Menggunakan Bug Zerologon untuk Serangan Secepat Kilat

by

Pelaku ancaman Ryuk telah menyerang lagi, beralih dari mengirim email phishing ke menyelesaikan enkripsi di seluruh jaringan korban hanya dalam lima jam.

Kecepatan sangat tinggi itu sebagian merupakan hasil dari kelompok yang menggunakan bug eskalasi hak istimewa Zerologon (CVE-2020-1472), kurang dari dua jam setelah phish awal, kata para peneliti.

Kerentanan Zerologon memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan ke domain controller untuk sepenuhnya membahayakan semua layanan identitas Active Directory, menurut Microsoft. Itu telah diperbaiki pada bulan Agustus, tetapi banyak organisasi tetap rentan.

Dalam serangan khusus ini, setelah penyerang meningkatkan hak istimewanya menggunakan Zerologon, mereka menggunakan berbagai alat komoditas seperti Cobalt Strike, AdFind, WMI, dan PowerShell untuk mencapai tujuan mereka, menurut analisis dari para peneliti di Laporan DFIR.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post