Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Lightning Framework yang Baru Ditemukan Menawarkan Sejumlah Besar Kemampuan Peretasan Linux

by

Kerangka kerja perangkat lunak telah menjadi penting untuk mengembangkan hampir semua perangkat lunak yang kompleks akhir-akhir ini. Kerangka kerja Web Django, misalnya, menggabungkan semua pustaka, file gambar, dan komponen lain yang diperlukan untuk membangun dan menyebarkan aplikasi web dengan cepat, menjadikannya andalan di perusahaan seperti Google, Spotify, dan Pinterest. Kerangka kerja menyediakan platform yang menjalankan fungsi umum seperti pencatatan log dan autentikasi yang dibagikan di seluruh ekosistem aplikasi.

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang. Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan. Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

“Jarang melihat kerangka rumit yang dikembangkan untuk menargetkan sistem Linux,” Ryan Robinson, seorang peneliti keamanan di Intezer, menulis dalam sebuah posting. “Lightning adalah kerangka kerja modular yang kami temukan yang memiliki banyak kemampuan, dan kemampuan untuk menginstal beberapa jenis rootkit, serta kemampuan untuk menjalankan plugin.”

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing. Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Sumber: Ars Technica

Bot Pencuri One-Time Passwords Menyederhanakan Skema Penipuan

by

Kata sandi satu kali (OTP) adalah bentuk otentikasi multi-faktor (MFA) yang sering digunakan untuk memberikan lapisan perlindungan tambahan di luar kata sandi dasar.

OTP adalah kata sandi dinamis yang biasanya terdiri dari 4 hingga 8 angka tetapi terkadang juga menyertakan huruf.

Cara utama untuk memberikan kode OTP kepada pengguna adalah melalui SMS, email, atau aplikasi otentikasi seluler seperti Authy. Karena OTP melindungi akun korban dari akses atau transaksi yang tidak sah, penjahat dunia maya terus mengembangkan berbagai cara untuk mem-bypass dan mengatasinya.

Selama setahun terakhir, pelaku ancaman telah semakin mengembangkan, mengiklankan, dan menggunakan bot untuk mengotomatiskan pencurian OTP, membuatnya lebih mudah dan lebih murah bagi pelaku ancaman untuk melewati perlindungan OTP dalam skala besar.

Karena bot pemintas OTP memerlukan sedikit keahlian teknis dan keterampilan bahasa yang minimal untuk beroperasi, bot pemintas OTP juga meningkatkan jumlah pelaku ancaman yang mampu melewati perlindungan OTP.

Bot bypass OTP biasanya berfungsi dengan mendistribusikan panggilan suara atau pesan SMS ke target, meminta target untuk memasukkan OTP, dan, jika berhasil, mengirimkan OTP yang dimasukkan kembali ke pelaku ancaman yang mengoperasikan bot.

Tercatat Analis masa depan mengidentifikasi dan menguji bot bypass OTP open-source bernama “SMSBypassBot” yang diiklankan di saluran Telegram yang berfokus pada penipuan dan mengonfirmasi bahwa itu berfungsi seperti yang diiklankan dan mudah dikonfigurasi dan digunakan.

Meningkatnya penggunaan OTP oleh berbagai layanan yang sah (terutama untuk mengautentikasi login akun online, transfer uang, dan pembelian 3-Domain Secure-enabled [3DS]) menciptakan permintaan kriminal dunia maya paralel untuk metode memperoleh dan melewati OTP.

Key Findings

  • Aktivitas forum web gelap terkait dengan bypass OTP (diukur dengan volume postingan dan penayangan postingan terkait topik) meningkat tajam pada tahun 2020 dan tetap tinggi sejak saat itu.
  • Metode tradisional untuk melewati OTP (melakukan pertukaran kartu SIM, pemaksaan kasar, menyalahgunakan sistem otentikasi yang tidak dikonfigurasi dengan baik, dan rekayasa sosial manual) telah menjadi memakan waktu dan lebih menantang secara teknis.
  • Bot bypass OTP menggabungkan teknik rekayasa sosial dan phishing suara (vishing) dengan antarmuka yang mudah digunakan untuk menyediakan metode yang sebagian otomatis, terjangkau, dan skalabel untuk mendapatkan OTP korban.
    Latar belakang
  • Otentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan lebih dari sekadar kata sandi statis, dengan Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9% serangan kompromi akun. Kata sandi satu kali (OTP) adalah bentuk MFA yang menggunakan string karakter yang dibuat secara otomatis (biasanya nilai numerik tetapi terkadang alfanumerik) untuk mengautentikasi pengguna.

Penyedia layanan, lembaga keuangan, dan pedagang menggunakan OTP untuk berbagai tujuan termasuk mengautentikasi login akun online, transfer uang, dan transaksi kartu pembayaran berkemampuan 3DS. Peningkatan adopsi OTP selama dekade terakhir telah menyebabkan pelaku ancaman untuk mengembangkan metode melewati OTP untuk mendapatkan akses tidak sah ke akun online dan melakukan transfer uang dan transaksi penipuan.

Sumber: Recorded Future

Lightning Framework yang baru ditemukan menawarkan sejumlah besar kemampuan peretasan Linux

by

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang.

Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan.

Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing.

Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Dalam email, Robinson mengatakan Intezer menemukan malware di VirusTotal. Dia menulis:

Entitas yang mengirimkannya tampaknya terkait dengan organisasi manufaktur China yang membuat peralatan motor kecil. Kami menemukan ini berdasarkan kiriman lain dari pengirim yang sama. Saya mengambil sidik jari server yang kami gunakan untuk mengidentifikasi perusahaan dan mereka memang menggunakan Centos (yang menjadi tujuan kompilasi malware). Tapi ini masih belum cukup kuat untuk menyimpulkan bahwa mereka adalah target atau terinfeksi malware. Kami belum belajar sesuatu yang baru sejak publikasi. Hal ideal yang kami harap dapat ditemukan adalah salah satu profil konfigurasi C2 lunak terenkripsi. Ini akan memberi kami IOC jaringan untuk melakukan pivoting off.

Intezer dapat memperoleh bagian dari kerangka kerja tetapi tidak semuanya. Dari file yang dapat dianalisis oleh peneliti perusahaan, mereka dapat menyimpulkan keberadaan modul lain. Perusahaan memberikan ikhtisar berikut: Selengkapnya

Sumber: Arstechnica

Layanan phishing ‘Robin Banks’ baru menargetkan BofA, Citi, dan Wells Fargo

by

Platform phishing sebagai layanan (PhaaS) baru bernama ‘Robin Banks’ telah diluncurkan, menawarkan kit phishing siap pakai yang menargetkan pelanggan bank terkenal dan layanan online.

Entitas yang ditargetkan termasuk Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Lloyds Bank, Commonwealth Bank di Australia, dan Santander.

Selain itu, Robin Banks menawarkan template untuk mencuri akun Microsoft, Google, Netflix, dan T-Mobile.

Menurut sebuah laporan oleh IronNet, yang analisnya menemukan platform phishing baru, Robin Banks telah digunakan dalam kampanye skala besar yang dimulai pada pertengahan Juni, menargetkan korban melalui SMS dan email.

Robin Banks adalah proyek baru dari kelompok kejahatan dunia maya yang diyakini aktif setidaknya sejak Maret 2022, dibuat untuk membuat halaman phishing berkualitas tinggi dengan cepat untuk menargetkan pelanggan organisasi keuangan besar.

Itu dijual dalam dua tingkatan harga, satu menawarkan satu halaman dan dukungan 24/7 seharga $50 per bulan, dan yang lainnya memberikan akses tak terbatas ke semua template dan dukungan 24/7 seharga $200 per bulan.

Layar login di situs clearnet platform

Setelah pendaftaran, pelaku ancaman menerima dasbor pribadi yang berisi laporan tentang operasi mereka, pembuatan halaman yang mudah, pengelolaan dompet, dan opsi untuk membuat situs phishing khusus.

Dasbor Robin Banks (IronNet)

Platform ini juga memberikan opsi kepada pengguna seperti menambahkan reCAPTCHA untuk menggagalkan bot atau memeriksa string agen pengguna untuk memblokir korban tertentu dari kampanye yang sangat bertarget.

Memilih bank target untuk phishing (IronNet)

Selain itu, platform PhaaS baru terus menambahkan template baru dan memperbarui yang lama untuk mencerminkan perubahan gaya dan skema warna entitas yang ditargetkan.

Keuntungan ini telah membuat Robin Banks populer di ruang kejahatan dunia maya, dan banyak penjahat dunia maya telah mengadopsinya dalam beberapa bulan terakhir.

Dalam satu kampanye yang ditemukan oleh IronNet bulan lalu, operator Robin Banks menargetkan pelanggan Citibank melalui SMS yang memperingatkan mereka tentang “penggunaan yang tidak biasa” dari kartu debit mereka.

Pesan smishing dikirim ke target acak (IronNet)

Tautan yang disediakan untuk mencabut dugaan pembatasan keamanan membawa korban ke halaman phishing di mana mereka diminta untuk memasukkan detail pribadi mereka.

Setelah mendarat di situs phishing, browser korban diambil sidik jarinya untuk menentukan apakah mereka menggunakan desktop atau seluler, dan versi halaman web yang sesuai dimuat.

Setelah korban memasukkan semua detail yang diperlukan di bidang formulir situs phishing, permintaan POST dikirim ke API Robin Banks, yang berisi dua token unik, satu untuk operator kampanye dan satu untuk korban.

POST permintaan untuk mentransfer data yang dicuri (IronNet)

Situs phishing mengirimkan satu permintaan POST untuk setiap halaman web yang diisi oleh korban, yang berfungsi sebagai fail-safe untuk mencuri detail sebanyak mungkin karena proses phishing dapat berhenti kapan saja karena kecurigaan atau alasan lain.

Semua data yang dikirim ke Robin Banks API dapat dilihat dari webGUI platform untuk operator dan administrator platform.

Robin Banks juga memberikan opsi untuk meneruskan detail yang dicuri ke saluran Telegram pribadi operator untuk kenyamanan.

Munculnya platform PhaaS baru berkualitas tinggi tidak menguntungkan bagi pengguna internet, karena mempromosikan phishing ke penjahat dunia maya berketerampilan rendah dan menambah pemboman pesan-pesan rumit.

Untuk menjaga diri Anda aman dari upaya jahat ini, jangan pernah mengklik tautan yang dikirim melalui SMS atau email, dan selalu pastikan situs web yang Anda kunjungi adalah situs resmi.

Terakhir, aktifkan 2FA di semua akun Anda dan gunakan nomor telepon pribadi untuk menerima kata sandi satu kali.

Selengkapnya : Bleeping Computer

Microsoft: Windows, Adobe zero-days digunakan untuk menyebarkan malware Subzero

by

Microsoft telah menghubungkan kelompok ancaman yang dikenal sebagai Knotweed ke vendor spyware Austria yang juga beroperasi sebagai tentara bayaran cyber bernama DSIRF yang menargetkan entitas Eropa dan Amerika Tengah menggunakan perangkat malware yang dijuluki Subzero.

Di situs webnya, DSIRF mempromosikan dirinya sebagai perusahaan yang menyediakan penelitian informasi, forensik, dan layanan intelijen berbasis data kepada perusahaan.

Namun, itu telah dikaitkan dengan pengembangan malware Subzero yang dapat digunakan pelanggannya untuk meretas ponsel, komputer, dan jaringan serta perangkat yang terhubung ke internet target.

Menggunakan data DNS pasif saat menyelidiki serangan Knotweed, firma intelijen ancaman RiskIQ juga menemukan bahwa infrastruktur yang secara aktif melayani malware sejak Februari 2020 terkait dengan DSIRF, termasuk situs web dan domain resminya yang kemungkinan digunakan untuk men-debug dan mementaskan malware Subzero.

Microsoft Threat Intelligence Center (MSTIC) juga telah menemukan banyak tautan antara DSIRF dan alat berbahaya yang digunakan dalam serangan Knotweed.

Beberapa serangan Knotweed yang diamati oleh Microsoft telah menargetkan firma hukum, bank, dan organisasi konsultan strategis di seluruh dunia, termasuk Austria, Inggris, dan Panama.

Pada perangkat yang disusupi, penyerang menyebarkan Corelump, muatan utama yang berjalan dari memori untuk menghindari deteksi, dan Jumplump, pemuat malware yang sangat disamarkan yang mengunduh dan memuat Corelump ke dalam memori.

Payload Subzero utama memiliki banyak kemampuan, termasuk keylogging, menangkap tangkapan layar, mengekstrak data, dan menjalankan shell jarak jauh dan plugin arbitrer yang diunduh dari server perintah-dan-kontrolnya.

Pada sistem di mana Knotweed menyebarkan malware-nya, Microsoft telah mengamati berbagai tindakan pasca-kompromi, termasuk:

  • Pengaturan UseLogonCredential ke “1” untuk mengaktifkan kredensial teks biasa
  • Pembuangan kredensial melalui comsvcs.dll
  • Mencoba mengakses email dengan kredensial yang dibuang dari alamat IP KNOTWEED
  • Menggunakan Curl untuk mengunduh perkakas KNOTWEED dari berbagi file publik seperti vultrobjects[.]com
  • Menjalankan skrip PowerShell langsung dari inti GitHub yang dibuat oleh akun yang terkait dengan DSIRF
  • Di antara zero-days yang digunakan dalam kampanye Knotweed, Microsoft menyoroti CVE-2022-22047 yang baru-baru ini ditambal, yang membantu penyerang meningkatkan hak istimewa, keluar dari kotak pasir, dan mendapatkan eksekusi kode tingkat sistem.

Tahun lalu, Knotweed juga menggunakan rantai eksploitasi yang terbuat dari dua eksploitasi eskalasi hak istimewa Windows (CVE-2021-31199 dan CVE-2021-31201) bersama dengan eksploitasi Adobe Reader (CVE-2021-28550), semuanya ditambal pada bulan Juni 2021.

Pada tahun 2021, kelompok cybermercenary juga dikaitkan dengan eksploitasi zero-day keempat, cacat eskalasi hak istimewa Windows di Layanan Medis Pembaruan Windows (CVE-2021-36948) yang digunakan untuk memaksa layanan memuat DLL yang ditandatangani secara sewenang-wenang.

Untuk mempertahankan diri dari serangan tersebut, Microsoft menyarankan pelanggan untuk:

  • Prioritaskan patching CVE-2022-22047.
  • Konfirmasikan bahwa Microsoft Defender Antivirus diperbarui ke pembaruan intelijen keamanan 1.371.503.0 atau lebih baru untuk mendeteksi indikator terkait.
  • Gunakan indikator kompromi yang disertakan untuk menyelidiki apakah mereka ada di lingkungan Anda dan menilai potensi gangguan.
  • Ubah pengaturan keamanan makro Excel untuk mengontrol makro mana yang dijalankan dan dalam situasi apa saat Anda membuka buku kerja. Pelanggan juga dapat menghentikan makro XLM atau VBA berbahaya dengan memastikan pemindaian makro runtime oleh Antimalware Scan Interface (AMSI) aktif.
  • Aktifkan autentikasi multifaktor (MFA) untuk mengurangi kredensial yang berpotensi disusupi dan memastikan bahwa MFA diterapkan untuk semua konektivitas jarak jauh.
  • Tinjau semua aktivitas otentikasi untuk infrastruktur akses jarak jauh, dengan fokus pada akun yang dikonfigurasi dengan otentikasi satu faktor, untuk mengonfirmasi keaslian dan menyelidiki aktivitas abnormal apa pun.

Selengkapnya : Bleeping Computer

Aplikasi malware Android baru dipasang 10 juta kali dari Google Play

by

Kumpulan baru aplikasi Android berbahaya yang diisi dengan adware dan malware ditemukan di Google Play Store yang telah diinstal hampir 10 juta kali di perangkat seluler.

Aplikasi ini berfungsi sebagai alat pengeditan gambar, keyboard virtual, pengoptimal sistem, pengubah wallpaper, dan banyak lagi. Namun, fungsi dasarnya adalah untuk mendorong iklan yang mengganggu, membuat pengguna berlangganan layanan premium, dan mencuri akun media sosial korban.

Google telah menghapus sebagian besar aplikasi yang disajikan, tetapi pada saat penulisan ini, tiga aplikasi tetap tersedia untuk diunduh dan dipasang melalui Play Store.

Selain itu, jika Anda menginstal salah satu aplikasi ini sebelum dihapus dari Play Store, Anda masih perlu mencopot pemasangannya dari perangkat Anda secara manual dan menjalankan pemindaian AV untuk membersihkan sisa-sisanya.

Aplikasi adware yang ditemukan oleh Dr. Web adalah modifikasi dari keluarga yang ada yang pertama kali muncul di Google Play Store pada Mei 2022.

Setelah penginstalan, aplikasi meminta izin untuk melapisi jendela di atas aplikasi apa pun dan dapat menambahkan dirinya sendiri ke daftar pengecualian penghemat baterai sehingga mereka dapat terus berjalan di latar belakang saat korban menutup aplikasi.

Aplikasi berbahaya yang meminta pengecualian dari penghemat baterai (Dr. Web)

Selain itu, mereka menyembunyikan ikon mereka dari laci aplikasi atau menggantinya dengan sesuatu yang menyerupai komponen sistem inti, seperti “SIM Toolkit”.

Mencoba menipu pengguna dengan penggantian ikon (Dr. Web)

Daftar lengkap aplikasi adware dapat ditemukan di bagian bawah artikel, tetapi satu contoh penting yang masih ada di Play Store adalah ‘Keyboard Tema Neon,’ yang memiliki lebih dari satu juta unduhan meskipun skor bintang 1,8 dan banyak ulasan negatif.

Salah satu aplikasi penyembunyi adware

Kategori kedua dari aplikasi berbahaya yang ditemukan di Play Store adalah aplikasi Joker, yang dikenal karena menimbulkan biaya penipuan pada nomor ponsel korban dengan berlangganan layanan premium.

Dua dari aplikasi yang terdaftar, ‘Water Reminder’ dan ‘Yoga – For Beginner to Advanced,’ masih ada di Play Store, masing-masing memiliki 100.000 dan 50.000 unduhan.

Dua dari aplikasi trojan masih ada di Play Store

Keduanya menyediakan fungsionalitas yang dijanjikan, tetapi mereka juga melakukan tindakan jahat di latar belakang, berinteraksi dengan elemen tak terlihat atau di luar fokus yang dimuat melalui WebView dan membebani pengguna dengan biaya.

Terakhir, Dr. Web menyoroti dua pencuri akun Facebook yang didistribusikan dalam alat pengeditan gambar yang menerapkan filter kartun di atas gambar biasa.

Aplikasi ini adalah ‘YouToon – AI Cartoon Effect’ dan ‘Pista – Cartoon Photo Effect,’ yang telah diunduh secara kolektif lebih dari 1,5 juta kali melalui Play Store.

Editor gambar yang sangat populer yang sebenarnya adalah pencuri Facebook (Dr. Web)

Malware Android akan selalu menemukan cara untuk menyusup ke Google Play Store, dan terkadang aplikasi dapat bertahan di sana selama beberapa bulan, jadi Anda tidak boleh begitu saja memercayai aplikasi apa pun yang dapat secara membabi buta mempercayai tidak ada aplikasi.

Karena itu, sangat penting untuk memeriksa ulasan dan peringkat pengguna, mengunjungi situs web pengembang, membaca kebijakan privasi, dan memperhatikan izin yang diminta selama instalasi.

Terakhir, pastikan Play Protect aktif di perangkat Anda dan pantau data internet dan konsumsi baterai Anda secara teratur untuk mengidentifikasi proses mencurigakan yang berjalan di latar belakang.

Seperti yang dinyatakan sebelumnya, pengguna juga harus memeriksa untuk melihat apakah mereka memiliki salah satu dari aplikasi adware Android berikut yang diinstal pada perangkat mereka, dan jika ditemukan, hapus secara manual dan pindai virus.

Daftar aplikasi malware lainnya

Selengkapnya : Bleeping Computer

Peretas memindai kerentanan dalam waktu 15 menit setelah pengungkapan

by

Administrator sistem memiliki lebih sedikit waktu untuk menambal kerentanan keamanan yang diungkapkan daripada yang diperkirakan sebelumnya, karena laporan baru menunjukkan pelaku ancaman memindai titik akhir yang rentan dalam waktu 15 menit setelah CVE baru diungkapkan kepada publik.

Menurut Laporan Respons Insiden Unit 42 Palo Alto 2022, peretas terus-menerus memantau papan buletin vendor perangkat lunak untuk pengumuman kerentanan baru yang dapat mereka manfaatkan untuk akses awal ke jaringan perusahaan atau untuk melakukan eksekusi kode jarak jauh.

Namun, kecepatan di mana aktor ancaman mulai memindai kerentanan menempatkan administrator sistem di garis bidik saat mereka berlomba untuk menambal bug sebelum dieksploitasi.

Karena pemindaian tidak terlalu menuntut, bahkan penyerang berketerampilan rendah dapat memindai internet untuk titik akhir yang rentan dan menjual temuan mereka di pasar web gelap tempat peretas yang lebih cakap tahu cara mengeksploitasinya.

Kemudian, dalam beberapa jam, upaya eksploitasi aktif pertama diamati, sering kali mengenai sistem yang tidak pernah memiliki kesempatan untuk ditambal.

Unit 42 menyajikan CVE-2022-1388 sebagai contoh, kerentanan eksekusi perintah jarak jauh yang tidak diautentikasi yang kritis yang berdampak pada produk F5 BIG-IP.

Cacat itu terungkap pada 4 Mei 2022, dan menurut Unit 42, dalam waktu sepuluh jam sejak pengumuman CVE, mereka telah mencatat 2.552 upaya pemindaian dan eksploitasi.

Ini adalah perlombaan antara pembela dan aktor jahat, dan margin untuk penundaan di kedua sisi berkurang setiap tahun yang berlalu.

Berdasarkan data yang dikumpulkan oleh Palo Alto, kerentanan yang paling banyak dieksploitasi untuk akses jaringan di Semester 1 2022 adalah rantai eksploitasi “ProxyShell”, yang menyumbang 55% dari total insiden eksploitasi yang tercatat. ProxyShell adalah serangan yang dieksploitasi dengan menyatukan tiga kerentanan yang dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

Log4Shell mengikuti di tempat kedua dengan 14%, berbagai CVE SonicWall menyumbang 7%, ProxyLogon memiliki 5%, sedangkan RCE di Zoho ManageEngine ADSelfService Plus dieksploitasi dalam 3% kasus.

Cacat yang paling banyak dieksploitasi di H1 2022 (Unit 42)

Seperti yang terlihat dari statistik ini, bagian terbesar dalam volume eksploitasi ditangkap oleh kelemahan semi-lama dan bukan yang terbaru.

Sistem yang lebih berharga dan terlindungi lebih baik yang adminnya cepat menerapkan pembaruan keamanan ditargetkan dengan zero-days atau serangan yang terungkap segera setelah pengungkapan kelemahan.

Perlu juga dicatat bahwa menurut Unit 42, mengeksploitasi kerentanan perangkat lunak untuk pelanggaran jaringan awal menyumbang sekitar sepertiga dari metode yang digunakan.

Dalam 37% kasus, phishing adalah cara yang lebih disukai untuk mencapai akses awal. Pemaksaan kasar atau menggunakan kredensial yang disusupi adalah cara peretas menembus jaringan di 15% kasus.

Akhirnya, menggunakan trik rekayasa sosial terhadap karyawan istimewa atau menyuap orang dalam yang nakal untuk membantu akses jaringan sama dengan 10% dari insiden.

Dengan administrator sistem, admin jaringan, dan profesional keamanan yang sudah berada di bawah tekanan yang signifikan saat mereka mencoba untuk mengikuti ancaman keamanan terbaru dan masalah OS, kecepatan di mana pelaku ancaman menargetkan perangkat mereka hanya menambah tekanan tambahan.

Oleh karena itu, sangat penting untuk menjauhkan perangkat dari Internet jika memungkinkan, dan hanya memaparkannya melalui VPN atau gerbang keamanan lainnya. Dengan membatasi akses ke server, admin tidak hanya mengurangi risiko eksploitasi, tetapi juga memberikan waktu tambahan untuk menerapkan pembaruan keamanan sebelum kerentanan dapat ditargetkan secara internal.

Sayangnya, beberapa layanan harus diekspos secara publik, mengharuskan admin untuk memperketat keamanan sebanyak mungkin melalui daftar akses, hanya menampilkan port dan layanan yang diperlukan, dan menerapkan pembaruan secepat mungkin.

Sumber: Bleeping Computer

Situs web PrestaShop rentan terhadap serangan SQL Injection

by

Situs web PrestaShop dilaporkan rentan terhadap kerentanan Injeksi SQL utama (dilacak sebagai CVE-2022-36408) dan telah dieksploitasi secara liar sejak Juli 2022.

Didirikan pada tahun 2007, PrestaShop adalah platform e-commerce open source freemium yang digunakan oleh ratusan ribu pemilik situs web untuk menjual produk dan layanan secara online.

Versi PrestaShop 1.6.0.10 hingga 1.7.x (sebelum 1.7.8.7) rentan terhadap “rantai kerentanan yang sebelumnya tidak diketahui” terkait dengan injeksi SQL dan kerentanan injeksi penyimpanan cache MySQL Smarty. Akibatnya, penyerang jarak jauh dapat mengeksekusi kode arbitrer.

“Tim pengelola telah disadarkan bahwa aktor jahat mengeksploitasi kombinasi kerentanan keamanan yang diketahui dan tidak diketahui untuk menyuntikkan kode berbahaya di situs web PrestaShop, memungkinkan mereka untuk mengeksekusi instruksi sewenang-wenang, dan berpotensi mencuri informasi pembayaran pelanggan,” tulis PrestaShop dalam sebuah posting blog. .

Menurut PrestaShop, penyerang biasanya mengikuti langkah-langkah ini untuk meluncurkan serangan terhadap toko-toko yang rentan:

  • Penyerang mengirimkan permintaan POST ke situs web yang rentan untuk mengeksploitasi kerentanan injeksi SQL.
    Setelah kira-kira satu detik, penyerang mengirimkan permintaan GET ke beranda (tanpa parameter), yang membuat file PHP bernama blm.php di direktori root situs web.
  • Penyerang kemudian mengirimkan permintaan GET ke file baru blm.php, sehingga memungkinkan penyerang untuk mengeksekusi instruksi sewenang-wenang.
  • Akibatnya, pelaku jahat kemudian dapat sepenuhnya berkompromi dengan situs web dan menyuntikkan formulir pembayaran palsu melalui halaman checkout front-office.

Matt Morrow, dari perusahaan keamanan Securi, juga menemukan situs web PrestaShop yang terinfeksi yang berisi malware PrestaShop Skimmer yang disembunyikan di Modul One Page Checkout. Akibatnya, ditemukan injeksi kode yang menggantikan formulir kartu pembayaran situs web korban.

PrestaShop merilis pembaruan baru pada 25 Juli untuk versi terbaru PrestaShop 1.7.8.7 yang memperkuat penyimpanan cache MySQL Smarty terhadap serangan injeksi kode.

Pemilik toko sangat dianjurkan untuk mengupgrade situs web mereka ke versi terbaru sesegera mungkin ke alamat CVE-2022-36408..

Namun, PrestaShop juga memperingatkan pemilik toko untuk “mewaspadai bahwa meningkatkan perangkat lunak Anda mungkin tidak cukup untuk mengamankan toko Anda jika sudah diretas.” Pemilik situs dapat menghubungi spesialis keamanan jika perlu untuk melakukan audit penuh dan menghapus malware apa pun jika terdeteksi.

Sumber: Secure Zoo