Threat

Kerentanan dengan tingkat keparahan 9.8 di Panel Web Kontrol berada di bawah eksploit aktif

January 15, 2023 by Søren

Peretas jahat telah mulai mengeksploitasi kerentanan kritis dalam versi Panel Web Kontrol yang belum ditambal, antarmuka yang banyak digunakan untuk hosting web.

“Ini adalah RCE yang tidak diautentikasi,” tulis anggota grup Shadowserver di Twitter, menggunakan singkatan untuk eksploitasi kode jarak jauh. “Eksploitasi itu sepele dan PoC diterbitkan.” PoC mengacu pada kode proof-of-concept yang mengeksploitasi kerentanan.

Kerentanan dilacak sebagai CVE-2022-44877. Ditemukan oleh Numan Türle dari Gais Cyber Security dan ditambal pada bulan Oktober dalam versi 0.9.8.1147. Penasihat tidak dipublikasikan sampai awal bulan ini, namun, kemungkinan besar beberapa pengguna masih tidak menyadari ancaman tersebut.

Angka yang diberikan oleh perusahaan Keamanan GreyNoise menunjukkan bahwa serangan dimulai pada 7 Januari dan perlahan meningkat sejak saat itu, dengan putaran terbaru berlanjut hingga Rabu. Perusahaan mengatakan eksploit berasal dari empat alamat IP terpisah yang berlokasi di AS, Belanda, dan Thailand.

Shadowserver menunjukkan bahwa ada sekitar 38.000 alamat IP yang menjalankan Panel Web Kontrol, dengan konsentrasi tertinggi di Eropa, diikuti oleh Amerika Utara dan Asia.

Peringkat keparahan untuk CVE-2022-44877 adalah 9,8 dari kemungkinan 10. “Perintah Bash dapat dijalankan karena tanda kutip ganda digunakan untuk mencatat entri yang salah ke sistem,” kata penasehat untuk kerentanan. Akibatnya, peretas yang tidak diautentikasi dapat menjalankan perintah jahat selama proses login. Video berikut menunjukkan aliran eksploit.

Selengkapnya: ars TECHNICA

Malware IcedID Menyerang Lagi: Domain Direktori Aktif Tersusupi dalam Waktu Kurang dari 24 Jam

January 14, 2023 by Coffee Bean

Serangan malware IcedID baru baru ini memungkinkan pelaku ancaman untuk mengkompromikan domain Active Directory dari target yang tidak disebutkan namanya kurang dari 24jam setelah mendapatkan akses awal.

IcedID, juga dikenal dengan nama BokBOt memulai hidupnya sebagai trojan perbankan pada a=tahu 2017 sebelum berkemban menjadi dropper untuk malware lainnya, bergabung dengen Emotet, TrickBot, Qakbot, Bumblebee, dan Raspberry Robin.

Serangan yang melibatkan pengiriman IcedID telah memanfaatkan berbagai metode, terutama setelah keputusan Microsoft untuk memblokir makro dari Office yang diunduh

Malware kemudian membangun kegigihan pada host melalui tugas terjadwal dan berkomunikasi dengan server jarak jauh untuk mengunduh muatan tambahan, termasuk Cobalt Strike Beacon untuk kegiatan pengintaian lanjutan.

Itu juga melakukan gerakan lateral di seluruh jaringan dan mengeksekusi Cobalt Strike Beacon yang sama di semua workstation tersebut, dan kemudian mulai menginstal agen Atera, alat administrasi jarak jauh yang sah, sebagai mekanisme akses jarak jauh yang berlebihan.

Cobalt Strike Beacon selanjutnya digunakan sebagai saluran untuk mengunduh alat C# yang dijuluki Rubeus untuk pencurian kredensial, yang pada akhirnya memungkinkan pelaku ancaman untuk berpindah secara lateral ke Server Windows dengan hak admin domain.

Izin yang ditingkatkan kemudian dipersenjatai untuk melakukan serangan DCSync, memungkinkan musuh untuk mensimulasikan perilaku pengontrol domain (DC) dan mengambil kredensial dari pengontrol domain lainnya.

Temuan ini muncul saat para peneliti dari Team Cymru menjelaskan lebih lanjut tentang protokol BackConnect (BC) yang digunakan oleh IcedID untuk memberikan fungsionalitas tambahan pasca kompromi, termasuk modul VNC yang menyediakan saluran akses jarak jauh.

Perkembangan tersebut juga mengikuti laporan dari Proofpoint pada November 2022 bahwa kebangkitan aktivitas Emotet telah dikaitkan dengan distribusi versi baru IcedID.

sumber : thehackernews

Messenger ditagih Lebih Baik Daripada Signal Penuh Dengan Kerentanan

January 13, 2023 by Coffee Bean

Peneliti akademik telah menemukan kerentanan serius di inti Threema, pengirim pesan instan yang menurut pengembangnya yang berbasis di Swiss memberikan tingkat keamanan dan privasi yang tidak dapat ditawarkan oleh layanan obrolan lain. Terlepas dari klaim yang luar biasa kuat dan dua audit keamanan independen yang telah diterima Threema, para peneliti mengatakan bahwa kelemahan tersebut benar-benar merusak jaminan kerahasiaan dan otentikasi yang merupakan landasan dari setiap program yang dijual sebagai penyedia enkripsi ujung-ke-ujung, biasanya disingkat E2EE.

Threema memiliki lebih dari 10 juta pengguna, termasuk pemerintah Swiss, tentara Swiss, Kanselir Jerman Olaf Scholz, dan politisi lain di negara tersebut. Pengembang Threema mengiklankannya sebagai alternatif yang lebih aman untuk messenger WhatsApp Meta. Ini adalah salah satu aplikasi Android teratas untuk kategori berbayar di Swiss, Jerman, Austria, Kanada, dan Australia. Aplikasi ini menggunakan protokol enkripsi yang dirancang khusus yang bertentangan dengan norma kriptografi yang ditetapkan.

Tujuh kelemahan yang mematikan
Para peneliti dari universitas riset ETH yang berbasis di Zurich melaporkan pada hari Senin bahwa mereka menemukan tujuh kerentanan di Threema yang secara serius mempertanyakan tingkat keamanan sebenarnya yang ditawarkan aplikasi tersebut selama bertahun-tahun. Dua dari kerentanan tidak memerlukan akses khusus ke server atau aplikasi Threema untuk menyamar sebagai pengguna secara kriptografis. Tiga kerentanan membutuhkan penyerang untuk mendapatkan akses ke server Threema. Dua sisanya dapat dieksploitasi saat penyerang mendapatkan akses ke ponsel yang tidak terkunci, seperti di perbatasan.

Tujuh kerentanan yang ditemukan para peneliti meliputi:
1. Aktor eksternal tanpa akses khusus

Jika kunci sesaat terungkap sekali pun, penyerang dapat secara permanen menyamar sebagai klien ke server dan kemudian mendapatkan semua metadata di semua pesan E2EE.
Cacat dalam cara protokol klien-ke-server (C2S) Threema berinteraksi dengan protokol end-to-end (E2E) yang menyebabkan pengguna membuat nilai Threema khusus yang dikenal sebagai kotak jaminan dan mengirimkannya ke penyerang.

selengkapnya : arstechnica

Peretas Menyerang Situs Web Bank Sentral Denmark, Bank Lain

January 13, 2023 by Flamango

Situs web bank sentral dan Bankdata, sebuah perusahaan yang mengembangkan solusi TI untuk industri keuangan, terkena apa yang disebut penolakan layanan terdistribusi (DDoS), yang mengarahkan lalu lintas ke server yang ditargetkan dalam upaya untuk membuatnya offline.

Seorang juru bicara bank sentral mengatakan situs webnya berfungsi normal pada Selasa sore dan serangan itu tidak memengaruhi sistem bank lain atau operasi sehari-hari.
Peretas Menyerang Situs Web Bank Sentral Denmark, Bank Lain
Peretas telah mengganggu akses ke situs web bank sentral Denmark dan tujuh bank swasta di negara itu minggu ini, menurut bank sentral dan perusahaan IT yang melayani industri tersebut.

Situs web bank sentral dan Bankdata, perusahaan yang mengembangkan solusi IT untuk industri keuangan, terkena penolakan layanan terdistribusi atau DDoS, yang mengarahkan lalu lintas ke server yang ditargetkan dalam upaya untuk membuatnya offline.

Meskipun serangan itu tidak mempengaruhi sistem bank lain atau operasi sehari-hari, akses ke situs web tujuh bank swasta sempat dibatasi pada hari Selasa setelah serangan DDoS terhadap Bankdata.

Bank-bank itu termasuk dua bank terbesar di Denmark, Jyske Bank (JYSK.CO) dan Sydbank (SYDB.CO).

Selengkapnya: REUTERS

Akun Rusia yang Dicurigai ‘Menyerang’ Penjualan Banksy Ukraina

January 12, 2023 by Flamango

Ribuan serangan web bermusuhan yang diluncurkan dari alamat IP Rusia telah menargetkan lelang cetakan online oleh seniman grafiti Inggris, Banksy, untuk membantu Ukraina, menurut yayasan amal Legacy of War Foundation pada hari Selasa.

Bansky adalah seorang seniman jalanan. Dirinya menjual 50 cetakan layar edisi terbatas melalui badan amal untuk mengumpulkan dana guna mendukung warga sipil Ukraina yang terkena dampak konflik.

Diketahui seniman tersebut mendukung badan amal karena dia telah melihat salah satu timnya menyapu dan memberikan perawatan medis, pemanas, air bersih, dan wajah ramah kepada beberapa orang yang sangat putus asa di gedung yang dibom.

Banksy saat berada di balik tujuh mural di gedung yang hancur di sekitar Kyiv tahun lalu

Pendukung harus mendaftar secara online untuk mendapatkan salah satu dari £5.000 ($6.080) cetakan, yang menunjukkan mouse meluncur ke bawah sisi kotak dengan “FRAGILE” tercetak di atasnya.

Namun sebuah pesan di situsnya mengatakan bahwa telah menerima lebih dari1 juta permintaan dan 3.500 serangan bermusuhan dari alamat IP Rusia.

Selengkapnya: france24

LastPass Pertama, sekarang Slack dan CircleCI. Peretasan terus berlanjut

January 12, 2023 by Coffee Bean

Dalam 24 jam terakhir, dunia telah mengetahui tentang pelanggaran serius yang menimpa layanan obrolan Slack dan perusahaan pengiriman dan pengujian perangkat lunak CircleCI, meskipun masing-masing memberikan kata-kata buram perusahaan— “masalah keamanan” dan “insiden keamanan”—Anda akan dimaafkan karena mengira peristiwa ini kecil.

Kurangnya transparansi
CircleCI masih bungkam tentang apa yang sebenarnya terjadi. Penasihatnya tidak pernah menggunakan kata “pelanggaran”, “kompromi”, atau “intrusi”, tetapi hampir pasti itulah yang terjadi. Exhibit A adalah pernyataan: “Pada titik ini, kami yakin bahwa tidak ada aktor yang tidak sah yang aktif di sistem kami,” menunjukkan bahwa penyusup jaringan telah aktif sebelumnya. Bukti B: saran agar pelanggan memeriksa log internal untuk akses tidak sah antara 21 Desember dan 4 Januari.

Meretas rantai pasokan

Mungkin juga, beberapa atau semua pelanggaran ini terkait. Internet bergantung pada ekosistem besar jaringan pengiriman konten, layanan otentikasi, pembuat alat pengembangan perangkat lunak, dan perusahaan lain. Pelaku ancaman sering meretas satu perusahaan dan menggunakan data atau akses yang mereka peroleh untuk melanggar pelanggan atau mitra perusahaan tersebut.

Itulah yang terjadi pada pelanggaran Agustus terhadap penyedia keamanan Twilio. Pelaku ancaman yang sama menargetkan 136 perusahaan lain.

Untuk saat ini, orang harus mempersiapkan diri untuk pengungkapan tambahan dari perusahaan yang mereka andalkan. Memeriksa log sistem internal untuk entri yang mencurigakan, mengaktifkan autentikasi multifaktor, dan menambal sistem jaringan selalu merupakan ide bagus, tetapi mengingat peristiwa terkini, tindakan pencegahan tersebut harus dipercepat. Ada baiknya juga memeriksa log untuk setiap kontak dengan alamat IP 54.145.167.181, yang menurut seorang praktisi keamanan terhubung ke pelanggaran CircleCI.

sumber : arstechnica

Pencuri Identitas Melewati Keamanan Experian untuk Melihat Laporan Kredit

January 12, 2023 by Flamango

Pencuri identitas telah mengeksploitasi kelemahan keamanan yang mencolok di situs web Experian, salah satu dari tiga biro pelaporan kredit konsumen. Biasanya, Experian mengharuskan mereka yang mencari salinan laporan kredit mereka berhasil menjawab beberapa pertanyaan pilihan ganda tentang riwayat keuangan mereka. Namun hingga akhir tahun 2022, situs web Experian memungkinkan siapapun untuk mengabaikan pertanyaan ini dan langsung membuka laporan konsumen.

Pada bulan Desember, Jenya Kushnir, peneliti keamanan yang tinggal di Ukraina Menemukan metode yang digunakan oleh pencuri identitas setelah menghabiskan waktu di Telegram yang didedikasikan untuk menguangkan identitas yang disusupi.

Penjahat mengetahui bahwa mereka dapat menipu Experian agar memberi mereka akses ke laporan kredit siapapun hanya dengan mengedit alamat yang ditampilkan di URL browser pada titik tertentu dalam proses verifikasi identitas Experian.

Pada tahun 2021 KrebsOnSecurity mengungkapkan bagaimana pencuri identitas mengeksploitasi lemahnya autentikasi pada halaman pengambilan PIN Experian untuk mencairkan file kredit konsumen dan disampaikan kabar bahwa API Experian mengungkap skor kredit kebanyakan orang Amerika.

Yang Bisa Anda Lakukan
Pertama adalah kesadaran mengenai apa yang dikatakan perusahaan dibelakang konsumen, kemudian dokumentasi dan ajukan perselisihan dengan biro kredit.

Jika Anda belum melakukannya, pertimbangkan menjadikan tahun 2023 sebagai tahun membekukan file kredit di tiga biro pelaporan utama, termasuk Experian, Equifax, dan TransUnion.

Pembekuan dapat dicairkan kapanpun saat ingin mengajukan kredit baru atau pekerjaan baru. Namun harap berhati-hati, biro bisa saja mengarahkan pembekuan ke layanan “kunci kredit”.

Selengkapnya: KrebsonSecurity

Microsoft January 2023 Patch Tuesday Memperbaiki 98 Kekurangan, 1 Zero-Day

January 11, 2023 by Flamango

Untuk pertama kali dalam tahun ini, Microsoft Patch Tuesday memperbaiki 98 kerentanan dengan sebelas diantaranya diklasifikasikan kritis. Pemberian peringkat tingkat keparahan kerentanan ini karena memungkinkan eksekusi kode jarak jauh, melewati fitur keamanan, atau meningkatkan hak istimewa.

Perbaikan One Zero-Day
Patch Tuesday bulan ini memperbaiki satu kerentanan zero-day, satu dieksploitasi secara aktif dan yang lainnya diungkapkan kepada publik.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa tersedia perbaikan resmi.

Beberapa kerentanan zero-day dieksploitasi secara aktif yang diperbaiki dalam pembaruan hari ini, salah satunya CVE-2023-21674. Microsoft menyatakan’CVE-2023-21549 – Windows SMB Witness Service Elevation of Privilege Vulnerability’ diungkapkan secara publik.

Peneliti keamanan Akamai Stiv Kupchik mengikuti proses pengungkapan reguler dan kerentanan tersebut tidak boleh diklasifikasikan sebagai pengungkapan publik.

Beberapa vendor lain yang merilis pembaruan pada Januari 2023 diantaranya adalah Adobe, Cisco, Citrix, Fortinet, Intel, SAP, dan Synology.

Pembaruan Keamanan Patch Selasa Januari 2023
Dalam sumber yang tercantum di BleepingComputer, terdapat daftar lengkap kerentanan yang telah diselesaikan dan saran yang dirilis pada pembaruan Patch Selasa Januari 2023. Berikut adalah cuplikannya.

Daftar kerentanan terselesaikan dan sarannya

Selengkapnya: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings