Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News

Server Microsoft Exchange di Seluruh Dunia Di-backdoor dengan Malware Baru

by Leave a Comment

Penyerang menggunakan malware yang baru ditemukan untuk mem-backdoor server Microsoft Exchange milik pemerintah dan organisasi militer dari Eropa, Timur Tengah, Asia, dan Afrika.

Malware, yang dijuluki SessionManager oleh peneliti keamanan di Kaspersky, yang pertama kali terlihat pada awal 2022 adalah modul kode asli berbahaya untuk perangkat lunak server web Internet Information Services (IIS) Microsoft.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” Kaspersky mengungkapkan pada hari Kamis.

“Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

Kemampuan SessionManager mencakup, di antara fitur-fitur lainnya:

  • menjatuhkan dan mengelola file arbitrer di server yang disusupi
  • eksekusi perintah jarak jauh pada perangkat pintu belakang
  • menghubungkan ke titik akhir dalam jaringan lokal korban dan memanipulasi lalu lintas jaringan

Setelah penyebaran, modul IIS yang berbahaya memungkinkan operatornya untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan muatan tambahan (seperti pemuat reflektif Mimikatz berbasis PowerSploit, Mimikatz SSP, ProcDump, dan alat pembuangan memori Avast yang sah).

Tautan grup APT Gelsemium

Berdasarkan viktimologi serupa dan penggunaan varian pintu belakang tipe server HTTP yang disebut OwlProxy, pakar keamanan Kaspersky percaya bahwa pintu belakang SessionManager IIS dimanfaatkan dalam serangan ini oleh aktor ancaman Gelsemium sebagai bagian dari operasi spionase di seluruh dunia.

Grup peretasan ini telah aktif setidaknya sejak 2014 dan dikenal menargetkan pemerintah, produsen elektronik, dan universitas dari Asia Timur dan Timur Tengah dan sebagian besar terbang di bawah radar.
“Eksploitasi kerentanan server pertukaran telah menjadi favorit penjahat dunia maya yang ingin masuk ke infrastruktur yang ditargetkan sejak Q1 2021. SessionManager yang baru ditemukan tidak terdeteksi dengan baik selama satu tahun dan masih digunakan di alam liar,” tambah Pierre Delcher, Peneliti Keamanan Senior di GREAT Kaspersky.

Sumber: BleepingComputer

Malware Penipuan Pulsa Menonaktifkan WiFi Anda untuk Memaksa Langganan Premium

by

Microsoft memperingatkan bahwa malware penipuan pulsa adalah salah satu ancaman paling umum di Android dan berkembang dengan fitur yang memungkinkan berlangganan otomatis ke layanan premium.

Penipuan pulsa adalah bagian dari penipuan penagihan, di mana pelaku ancaman menipu korban untuk menelepon atau mengirim SMS ke nomor premium.

Perbedaannya adalah penipuan pulsa tidak bekerja melalui WiFi dan memaksa perangkat untuk terhubung ke jaringan operator seluler.

Wireless Application Protocol

Menonaktifkan koneksi WiFi

Malware dimulai dengan mengumpulkan data di negara pelanggan dan jaringan seluler, di mana Android tidak memerlukan izin dari pengguna.

Langkah kuncinya adalah menonaktifkan koneksi WiFi dan memaksa perangkat untuk menggunakan jaringan operator. Di Android 9 (API level 28) atau lebih rendah, ini dimungkinkan dengan tingkat izin perlindungan normal.

Untuk tingkat API yang lebih tinggi, ada fungsi ‘requestNetwork’ yang berada di bawah izin CHANGE_NETWORK_STATE, yang juga dilengkapi dengan tingkat perlindungan normal.

Malware penipuan pulsa kemudian menggunakan ‘NetworkCallbak’ untuk memantau status jaringan dan mendapatkan variabel ‘jenis jaringan’ untuk mengikat proses ke jaringan tertentu, sehingga memaksa perangkat untuk mengabaikan koneksi WiFi yang tersedia dan menggunakan operator seluler.

Satu-satunya cara bagi pengguna untuk menghindari ini adalah dengan menonaktifkan data seluler secara manual.

Jika operator seluler korban ada dalam daftar target, malware melanjutkan untuk mengambil daftar situs web yang menyediakan layanan premium dan mencoba berlangganan ke situs tersebut secara otomatis.

Meskipun ada beberapa skenario berlangganan, pengguna biasanya mengklik elemen HTML dan kemudian mengirim kode verifikasi ke server.

Beberapa operator menyelesaikan langganan hanya setelah memeriksa bahwa pengguna mengesahkannya melalui kode OTP yang dikirimkan melalui SMS, HTTP, atau USSD (Data Layanan Tambahan Tidak Terstruktur), dengan dua yang pertama lebih populer.

Pengembang malware memiliki subset dari tiga panggilan API yang dapat mereka gunakan untuk membungkam notifikasi SMS dari aplikasi lain:

  • cancelAllNotifications() untuk memberi tahu manajer notifikasi agar mengabaikan semua notifikasi
  • cancelNotification(String key) untuk memberi tahu manajer notifikasi agar mengabaikan satu notifikasi
  • cancelNotifications(String [] keys) untuk memberi tahu manajer notifikasi agar mengabaikan beberapa notifikasi sekaligus

Pengembang malware penipuan tol juga menerapkan mekanisme untuk menjaga perilaku jahat sebijaksana mungkin. Salah satu caranya adalah dengan menjaga agar malware tetap inert jika jaringan seluler perangkat yang terinfeksi tidak ada dalam daftar.

Metode lain adalah dengan menggunakan pemuatan kode dinamis, yang memungkinkan kode tertentu untuk memuat hanya jika kondisi tertentu terpenuhi. Ini membuat pendeteksian malware menjadi lebih sulit, terutama pada analisis statis.

Menjauhkan malware penipuan pulsa dari perangkat Anda adalah dengan memeriksa apakah sumber untuk mengunduh sumber Android Anda dapat dipercaya, seperti Google Play Store.

Selain itu, melihat izin yang diminta saat penginstalan adalah cara yang baik untuk mengurangi risiko malware merajalela di perangkat Anda serta melindungi privasi Anda.

Microsoft juga menyarankan pengguna untuk tidak mengizinkan aplikasi membaca atau mengirim SMS, akses ke pemberitahuan, atau aksesibilitas kecuali izin ini diperlukan untuk fungsi normal.

Sumber: BleepingComputer

Geng peretas masuk ke pembuat chip Silicon Valley AMD karena kata sandi pekerja yang mengerikan

by

Sebuah pembangkit tenaga listrik teknologi Silicon Valley dilaporkan menghadapi pelanggaran data, sebagian, karena penggunaan kata sandi yang mengerikan oleh karyawan seperti, eh, “kata sandi” dan “123456.”

AMD, produsen microchip yang berkantor pusat di Santa Clara, menjadi mangsa kru peretas yang semakin terkenal yang dikenal sebagai RansomHouse, menurut laporan oleh TechCrunch dan Restore Privacy.

Raksasa semikonduktor mengkonfirmasi pembobolan digital dalam sebuah pernyataan kepada media. “Pada 27 Juni, kami mengetahui bahwa organisasi penjahat dunia maya dengan nama RansomHouse mengklaim memiliki data yang dicuri dari AMD,” bunyi pernyataan yang dikirim ke SFGATE pada Kamis pagi. “Kami sedang menyelidiki klaim tersebut dan sedang melakukan kontak dengan petugas penegak hukum.”

Perusahaan tidak menjawab ketika ditanya mengapa karyawan di pabrik multinasional tidak tunduk pada aturan perlindungan kata sandi standar, seperti mengubah kata sandi secara teratur atau harus memasukkan angka dan simbol di dalam kata sandi.

“Sayang sekali itu adalah kata sandi asli yang digunakan oleh karyawan AMD, tetapi yang lebih memalukan bagi Departemen Keamanan AMD yang mendapat pembiayaan signifikan sesuai dengan dokumen yang kami dapatkan — semua berkat kata sandi ini,” sebuah catatan yang diterbitkan oleh RansomHouse berbunyi, menurut TechCrunch.

Produsen microchip Silicon Valley telah lama menjadi saingan utama Intel di pasar CPU; itu seharusnya memiliki beberapa kemiripan keamanan kata sandi mengingat perawakannya.

Christofer Hoff, seorang eksekutif di layanan pengelola kata sandi LastPass, mengatakan kepada SFGATE bahwa pelanggaran seperti ini “mudah dihindari bahkan jika aturan kebersihan dan keamanan yang paling dasar diikuti.”

Tampaknya juga lebih banyak pelanggaran ini sedang dalam proses. RansomHouse telah mendapatkan reputasi untuk menargetkan organisasi besar, membocorkan data dari salah satu pedagang grosir terbesar di Afrika dan agen pemerintah Kanada sejak akhir tahun lalu.

Sumber:

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

by

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

by

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

Google memblokir lusinan domain yang digunakan oleh grup hack-for-hire

by

Grup Analisis Ancaman (TAG) Google telah memblokir lusinan domain dan situs web berbahaya yang digunakan oleh grup peretasan dalam serangan yang menargetkan target berisiko tinggi di seluruh dunia.

Tidak seperti vendor pengawasan komersial yang alatnya digunakan dalam serangan oleh klien, operator hack-for-hire terlibat langsung dalam serangan dan biasanya dipekerjakan oleh perusahaan yang menawarkan layanan tersebut. Dalam beberapa kasus, mereka juga bisa menjadi aktor ancaman “bebas”.

Mereka dipekerjakan karena keterampilan meretas mereka oleh klien yang tidak memilikinya atau yang ingin menyembunyikan identitas mereka jika serangan terdeteksi dan diselidiki.

Kelompok hack-for-hire menargetkan individu dan organisasi dalam pencurian data dan kampanye spionase perusahaan, dengan korban masa lalu termasuk politisi, jurnalis, aktivis hak asasi manusia dan politik, dan berbagai pengguna berisiko tinggi lainnya dari seluruh dunia.

Saat ini, Google TAG melacak beberapa perusahaan hack-for-hire dari beberapa negara dan kampanye mereka, termasuk India, Rusia, dan Uni Emirat Arab.

Misalnya, satu kelompok mata-mata sewaan dari India yang terkait dengan penyedia keamanan ofensif Appin dan Belltrox dan dilacak selama dekade terakhir telah mengatur kampanye phishing kredensial terhadap organisasi di sektor pemerintah, perawatan kesehatan, dan telekomunikasi di Arab Saudi, Uni Emirat Arab (UEA). ), dan Bahrain.

Reuters juga melaporkan hari ini bahwa tentara bayaran dunia maya India juga telah mencoba meretas “setidaknya 75 perusahaan AS dan Eropa, tiga lusin kelompok advokasi dan media dan banyak eksekutif bisnis Barat,” serta ke kotak masuk email milik pengacara target, ” sekitar 1.000 pengacara di 108 firma hukum yang berbeda.”

Aktor ancaman hack-for-hire lainnya dari Rusia (dikenal sebagai Void Balaur) dikaitkan dengan serangan phishing kredensial terhadap jurnalis, politisi, dan berbagai LSM dan organisasi nirlaba di seluruh Eropa (termasuk Rusia).

Daftar harga Void Balaur (Google TAG)

Last but not least, kelompok hack-for-hire berbasis di UEA yang terkait dengan pengembang H-Worm dan yang aktivitasnya juga terlihat oleh Amnesty International, terutama memfokuskan serangannya pada pemerintah, pendidikan, dan organisasi politik di Timur Tengah dan Utara. Afrika.

Huntley juga membagikan daftar lengkap domain berbahaya yang diblokir oleh Google saat menyelidiki aktivitas kelompok peretasan dari India, Rusia, dan UEA.

Tim pakar keamanan Google TAG juga melacak daftar panjang pelaku ancaman yang didukung negara dan bermotivasi finansial, termasuk lusinan vendor pengawasan yang menjual spyware mereka kepada pemerintah di seluruh dunia.

“TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah,” kata anggota Google TAG Clement Lecigne dan Christian Resell baru-baru ini.

Sumber: Bleeping Computer

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer