Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Raspberry Robin Worm Menetaskan Peningkatan yang Sangat Kompleks

by

Kelompok peretas menggunakan versi baru kerangka kerja Raspberry Robin untuk menyerang lembaga keuangan berbasis bahasa Spanyol dan Portugis

Raspberry Robin adalah worm backdoor yang menginfeksi PC melalui perangkat USB Trojan sebelum menyebar ke perangkat lain di jaringan target, bertindak sebagai loader untuk malware lainnya.

Versi Malware yang Ditingkatkan
Dalam iterasi terbaru, mekanisme perlindungan malware telah ditingkatkan untuk menerapkan setidaknya lima lapis perlindungan sebelum kode jahat diterapkan, termasuk pengemas tahap pertama untuk mengaburkan kode tahap serangan selanjutnya diikuti oleh pemuat kode shell.

Penelitian juga menunjukkan operator Raspberry Robin mulai mengumpulkan lebih banyak data tentang korban mereka daripada yang dilaporkan sebelumnya.

Dalam kasus kedua, muatan jahat dihosting di server Discord, yang digunakan oleh pelaku ancaman untuk mengirimkan malware ke mesin korban, untuk menghindari deteksi dan melewati kontrol keamanan.

Raspberry Robin Beraksi
Ancamannya bertingkah, mengikuti pola muncul, menghilang, lalu muncul kembali dengan kemampuan yang ditingkatkan secara signifikan.

Perusahaan keamanan Red Canary pertama kali menganalisis dan menamai Raspberry Robin pada bulan Mei, mencatat bahwa itu menginfeksi target melalui drive USB berbahaya dan menyebar ke titik akhir lainnya – tetapi kemudian tetap tidak aktif.

sumber : darkreading

200 Juta Alamat Email Pengguna Twitter Diduga Bocor Secara Online

by

Kebocoran data yang digambarkan berisi alamat email untuk lebih dari 200 juta pengguna Twitter telah dipublikasikan di forum peretas populer seharga sekitar $2. BleepingComputer telah mengonfirmasi validitas banyak alamat email yang tercantum dalam kebocoran tersebut.

Sejak 22 Juli 2022, pelaku ancaman dan pengumpul pelanggaran data telah menjual dan mengedarkan set data besar dari profil pengguna Twitter tergores yang berisi data pribadi (nomor telepon dan alamat email) dan publik di berbagai forum peretas online dan pasar kejahatan dunia maya.

200 juta baris profil Twitter dirilis secara gratis
Hari ini, seorang aktor ancaman merilis kumpulan data yang terdiri dari 200 juta profil Twitter di forum peretasan yang Dilanggar untuk delapan kredit mata uang forum, bernilai sekitar $2.

Kumpulan data ini diduga sama dengan kumpulan 400 juta yang beredar pada bulan November tetapi dibersihkan agar tidak mengandung duplikat, mengurangi total menjadi sekitar 221.608.279 baris.

Penjualan perdana data Facebook pada Juni 2020

Data dirilis sebagai arsip RAR yang terdiri dari enam file teks untuk ukuran gabungan data sebesar 59 GB.

RAR arsip mengansung leaked data twitter

Setiap baris dalam file mewakili pengguna Twitter dan datanya, yang mencakup alamat email, nama, nama layar, jumlah pengikut, dan tanggal pembuatan akun, seperti yang ditunjukkan di bawah ini.

contoh data leaked twitter

Kumpulan datanya jauh dari lengkap, karena ada banyak pengguna yang tidak ditemukan dalam kebocoran tersebut.

Ada atau tidaknya informasi Anda dalam kumpulan data ini sangat bergantung pada apakah alamat email Anda terungkap dalam pelanggaran data sebelumnya.

Pencakar kemudian memasukkan daftar ini ke dalam bug API untuk melihat apakah nomor atau alamat email Anda dikaitkan dengan ID Twitter yang sesuai dengan email atau nomor telepon tersebut.

Jika alamat email Anda hanya digunakan di Twitter atau tidak dalam banyak pelanggaran data, itu tidak akan dimasukkan ke dalam bug API dan ditambahkan ke kumpulan data ini.

sumber : bleepingcomputer

Lebih Dari 60.000 Server Exchange Rentan Terhadap Serangan ProxyNotShell

by

Lebih dari 60.000 server Microsoft Exchange yang terpapar secara online belum ditambal terhadap kerentanan eksekusi kode remote (RCE) CVE-2022-41082, salah satu dari dua kelemahan keamanan yang ditargetkan oleh eksploitasi ProxyNotShell.

Menurut sebuah organisasi nirlaba yang didedikasikan untuk meningkatkan keamanan internet, Shadowserver Foundation, hampir 70.000 server Microsoft Exchange rentan terhadap serangan ProxyNotShell menurut informasi versi (header x_owa_version server).

Namun, data terbaru menunjukkan penurunan jumlah server Exchange yang rentan dari 83.946 pada pertengahan Desember menjadi 60.865 pada tanggal 2 Januari.

Exchange server rentan terhadap serangan ProxyNotShell (Shadowserver Foundation)

Kedua bug keamanan tersebut dilacak sebagai CVE-2022-41082 dan CVE-2022-41040 dan secara kolektif dikenal sebagai ProxyNotShell, memengaruhi Exchange Server 2013, 2016, dan 2019.

Jika berhasil dieksploitasi, penyerang dapat meningkatkan hak istimewa dan mendapatkan eksekusi kode arbitrer atau jarak jauh pada server yang disusupi.

Perusahaan Intelijen Ancaman, GreyNoise, telah melacak eksploitasi ProxyNotShell dan memberikan informasi tentang aktivitas pemindaian ProxyNotShell dan daftar alamat IP yang terkait dengan serangan tersebut.

Peta server Exchange belum ditambal terhadap ProxyNotShell (Shadowserver Foundation)

Melindungi server Exchange dari serangan masuk adalah dengan menerapkan tambalan ProxyNotShell yang dirilis oleh Microsoft pada bulan November.

Aktor ancaman ransomware Play saat ini menggunakan rantai eksploit baru untuk mem-bypass mitigasi penulisan ulang URL ProxyNotShell dan mendapatkan eksekusi kode jarak jauh pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan intelijen ancaman, Prodaft, memindai dan mengeksploitasi berbagai eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa, seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

Selengkapnya: BleepingComputer

Apa Itu Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?

by

Linux dikenal sebagai sistem operasi yang sangat aman. Namun, Linux juga bisa menjadi mangsa celah dan eksploitasi, yang terburuk adalah kerentanan eskalasi hak istimewa yang memungkinkan musuh meningkatkan izin mereka dan berpotensi mengambil alih seluruh organisasi.

Polkit CVE-2021-4034 adalah kerentanan eskalasi hak istimewa kritis yang tidak diketahui selama lebih dari 12 tahun dan mempengaruhi semua distribusi Linux utama.

Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?
Kerentanan eskalasi hak istimewa Polkit mempersenjatai pkexec, bagian yang dapat dieksekusi dari komponen PolicyKit Linux. pkexec adalah executable yang memungkinkan pengguna mengeksekusi perintah sebagai pengguna lain. Kode sumber pkexec memiliki celah yang dapat dieksploitasi oleh siapa saja untuk mendapatkan hak istimewa maksimum pada sistem Linux, yaitu menjadi pengguna root. Bug ini disebut “Pwnkit” dan dilacak sebagai CVE-2021-4034.

Bagaimana CVE-2021-4034 Kerentanan Eskalasi Hak Istimewa Polkit Dieksploitasi?
Polkit adalah paket yang dikirimkan dengan semua distribusi Linux utama dan distribusi server seperti RHEL dan CentOS.

Komponen Polkit memiliki bagian yang dapat dieksekusi, pkexec, menangani bagaimana pengguna dapat menjalankan perintah sebagai pengguna lain. Akar kerentanan terletak pada kode sumber yang dapat dieksekusi.

Eksploitasi Pwnkit menyalahgunakan cara sistem *NIX memproses argumen dan menggunakan mekanisme baca dan tulis di luar batas untuk menyuntikkan variabel lingkungan yang tidak aman untuk mendapatkan hak akses root.

Siapa yang Terdampak Kerentanan CVE-2021-4034?
Kerentanan ini mudah dieksploitasi dan tersebar luas sebagai komponen yang terpengaruh, Penyerang secara agresif mencoba dan mendapatkan pengaruh dengan mengeksploitasi kerentanan ini di lingkungan cloud, ruang operasi bisnis utama. Korban dari kerentanan ini tidak terbatas pada, Ubuntu, Fedora, CentOS, dan Red Hat 8.

Bagaimana Cara Memperbaiki Kerentanan Eskalasi Hak Istimewa Polkit CVE-2021-4034 dan Apakah Anda Aman?
Tidak perlu khawatir mengenai kerentanan Polkit jika menjalankan versi terbaru dari distribusi Linux. Sebagai pemeriksaan keamanan, terdapat beberapa perintah untuk memeriksa versi paket PolicyKit yang terinstal di sistem.

Amankan Server dan Sistem Linux Anda Dari Eksploitasi yang Menghancurkan
Statistik server Linux menunjukkan bahwa Linux adalah sistem operasi yang memberdayakan lebih dari satu juta server web.

Individu dan pengelola server disarankan untuk memperbarui, meningkatkan sistem, dan memutakhirkan paket polkit satu per satu untuk meningkatkan keamanan server.

Selengkapnya: MakeUsOf

EarSpy Dapat Menguping Percakapan Telepon Anda Menggunakan Sensor Gerak

by

Para peneliti dari lima perguruan tinggi Amerika telah secara kolektif mengembangkan serangan side-ch ini

Serangan EarSpy dikembangkan oleh sekelompok peneliti dari beberapa lembaga akademik paling terkenal di Amerika, bersama oleh para ahli dari University of Dayton, New Jersey Institute of Technology, Rutgers University, Texas A&M University, dan Temple University.

Para peneliti menguij EarSpy pada ponsel OnePlus 7T dan OnePlus 9 dengan hasil yang sangat akurat hanya menggunakan data dari lubang suara dan akselerometer bawaan. Sebaliknya, data sulit ditangkap pada model OnePlus lama karena kurangnya speaker stereo. Mereka memeriksa gema yang dihasilkan pada speaker telinga dengan bantuan spektrogram dan ekstraksi fitur domain frekuensi waktu.

Fokus tim adalah mengidentifikasi jenis kelamin pembicara dan isi pidato itu sendiri.

Versi Android terbaru memiliki perangkat keamanan yang lebih kuat, sehingga malware sulit untuk mendapatkan izin yang diperlukan. Namun serangan EarSpy masih dapat melewati perlindungan bawaan ini karena data mentah dari sensor gerak ponsel dapat diakses dengan mudah. Peneliti EarSpy yakin masih mungkin untuk menyusup ke perangkat dan menguping percakapan meskipun ada batasan untuk mendapatkan data dari sensor perangkat.

Mengenai keefektifan serangan ini, para peneliti mengatakan

Menurut peneliti, EarSpy dapat dengan tepat membedakan antara laki-laki dan perempuan hingga 98% kasus. Selain itu, dapat mendeteksi identitas seseorang dengan tingkat akurasi tertinggi 92%. Namun, ini turun menjadi 56% ketika benar-benar memahami apa yang diucapkan. Ini masih 5x lebih akurat daripada membuat tebakan acak.

Mengatasi potensi kerentanan pada smartphone, para peneliti merekomendasikan pembuat smartphone untuk memposisikan sensor gerak jauh dari sumber getaran apapun sambil mengurangi tekanan suara selama panggilan telepon.

Selengkapnya: Android Police

Netgear Peringati Users Untuk Patch Bug Router Wifi Yang Diperbaiki

by

Netgear telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model router WiFi dan menyarankan pelanggan untuk memperbarui perangkat mereka ke firmware terbaru yang tersedia sesegera mungkin.

Cacat tersebut berdampak pada beberapa model router Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6), dan Wireless AC.

Dampak dari eksploitasi buffer overflow yang berhasil dapat berkisar dari crash setelah penolakan layanan hingga eksekusi kode arbitrer, jika eksekusi kode tercapai selama serangan.

Penyerang dapat mengeksploitasi kelemahan ini dalam serangan dengan kompleksitas rendah tanpa memerlukan izin atau interaksi pengguna.

Dalam penasehat keamanan yang diterbitkan pada hari Rabu, Netgear mengatakan “sangat menyarankan agar Anda mengunduh firmware terbaru sesegera mungkin.”

Daftar router yang rentan dan versi firmware yang ditambal dapat ditemukan pada tabel di bawah ini.

Cara memperbarui firmware router Anda
Untuk mengunduh dan menginstal firmware terbaru untuk router Netgear Anda, Anda harus melalui langkah-langkah berikut:

  • Kunjungi NETGEAR Support.
  • Mulailah mengetik nomor model Anda di kotak pencarian, lalu pilih model Anda dari menu drop-down segera setelah muncul.
  • Jika Anda tidak melihat menu tarik-turun, pastikan Anda memasukkan nomor model dengan benar atau pilih kategori produk untuk menelusuri model produk Anda.
  • klok download
  • Di bawah Current Version, pilih unduhan pertama yang judulnya dimulai dengan Firmware Version.
  • Klik Release Noted
  • Di bawah Versi Saat Ini, pilih unduhan pertama yang judulnya dimulai dengan Versi Firmware.

Kerentanan buffer overflow pra-otentikasi tetap ada jika Anda tidak menyelesaikan semua langkah yang disarankan, Netgear juga memperingatkan.

“NETGEAR tidak bertanggung jawab atas konsekuensi apa pun yang dapat dihindari dengan mengikuti rekomendasi dalam pemberitahuan ini.”

sumber : bleeping computer

Hacker Akan Menjual Data 400 Juta Pengguna Twitter

by

Pelaku ancaman mengklaim menjual data publik dan pribadi dari 400 juta pengguna Twitter yang diambil pada tahun 2021 menggunakan kerentanan API yang sekarang telah diperbaiki. Mereka meminta $200.000 untuk penjualan eksklusif.

Aktor ancaman, Ryushi, diduga menjual dump data di forum peretasan terlarang, situs untuk menjual data pengguna yang dicuri dalam pelanggaran data.

Pelaku ancaman memperingatkan Elon Musk dan Twitter bahwa mereka harus membeli data tersebut sebelum dikenakan denda besar berdasarkan undang-undang privasi GDPR Eropa.

Postingan forum yang menjual data untuk dugaan 400 juta pengguna Twitter (BleepingComputer)

Pelaku ancaman juga menjelaskan bagaimana data tersebut dapat disalahgunakan untuk serangan phishing, penipuan crypto, dan serangan BEC.

Profil pengguna berisi data Twitter publik dan pribadi, alamat email, username, nama pengguna, jumlah pengikut, tanggal pembuatan, dan nomor telepon. Hampir semua data ini dapat diakses publik oleh semua pengguna Twitter.

Ryushi mencoba menjual data Twitter secara eksklusif kepada satu orang/Twitter seharga $200.000 dan kemudian akan menghapus data tersebut. Jika pembelian eksklusif tidak dilakukan, mereka akan menjual salinannya ke banyak orang seharga $60.000 per penjualan.

Data Dikumpulkan Menggunakan Kerentanan API Yang Sekarang Sudah Diperbaiki
Pelaku ancaman mengumpulkan data menggunakan kerentanan API yang diperbaiki Twitter pada Januari 2022 dan sebelumnya dikaitkan dengan pelanggaran data 5,4 juta pengguna.

Kerentanan ini memungkinkan seseorang memasukkan nomor telepon dan alamat email ke API Twitter dan menerima ID pengguna Twitter terkait. Pelaku ancaman kemudian menggunakan ID ini dengan IP lain untuk mengambil data profil publik pengguna, membangun profil pengguna Twitter yang terdiri dari data publik dan pribadi.

Pengawas privasi UE, Komisi Perlindungan Data Irlandia (DPC), telah memulai penyelidikan terhadap penerbitan baru-baru ini dari 5,4 juta catatan korban pada tahun 2021 menggunakan kerentanan ini.

Pelaku ancaman lain juga mengklaim menggunakan kerentanan ini untuk mengorek data dari dugaan 17 juta pengguna. Bocoran ini masih dirahasiakan dan tidak diperjualbelikan.

Hingga saat ini belum ada tanggapan lebih lanjut dari Twitter mengenai penjualan data ini.

Selengkapnya: BLEEPINGCOMPUTER

ENLBufferPwn: Kerentanan Kritis Diungkapkan Dalam Game 3DS, Wii U, dan Switch

by

Peretas Nintendo, PabloMK7, telah merilis ENLBufferPwn, sebuah eksploit termasuk bukti kode konsep, yang menunjukkan kerentanan kritis di beberapa game pihak pertama Nintendo. Video demo eksploit menunjukkan bahwa Anda dapat mengambil kendali penuh atas konsol target, cukup dengan mengajak mereka bergabung dalam game multipemain.

Game yang terpengaruh termasuk Mario Kart 7, Mario Kart 8, Splatoon 1, 2, 3, Nintendo Switch Sports, dan judul pihak pertama Nintendo lainnya. Kecuali game Switch dan 3DS yang terdaftar, karena telah menerima pembaruan penambalan kerentanan.

Apa itu ENLBufferPwn untuk Nintendo Switch, Wii U, dan 3DS?
ENLBufferPwn adalah kerentanan dalam kode jaringan umum dari beberapa game Nintendo pihak pertama sejak Nintendo 3DS yang memungkinkan penyerang mengeksekusi kode secara remote di konsol korban hanya dengan membawa game online. Kerentanan ini mendapatkan skor 9,8/10 (Kritis) dalam kalkulator CVSS 3.1.

Selama tahun 2021, hal ini banyak ditemukan secara mandiri dan dilaporkan ke Nintendo. Kemudian Nintendo menambal kerentanan di banyak game yang rentan. PabloMK7 menambahkan, apabila dikombinasikan dengan kerentanan OS lainnya, pengambilalihan konsol remote penuh dapat dicapai.


Detail Teknis ENLBufferPwn
Menurut readme eksploit, kerentanan ENLBufferPwn mengeksploitasi buffer overflow di kelas C++ NetworkBuffer yang ada di pustaka jaringan enl (Net di Mario Kart 7) yang digunakan oleh banyak game Nintendo pihak pertama.

Konsekuensi dari buffer overflow bervariasi pada game, dari modifikasi sederhana yang tidak berbahaya, memori game, hingga tindakan yang lebih parah seperti mengambil kendali penuh atas konsol.

Eksploitasi dapat digunakan untuk mengganggu pemain lain di game online, seperti menekan tombol home secara remote pada pengontrol mereka di tengah permainan

Bisakah meretas Nintendo Switch dengan ENLBufferPwn?
Eksploit tidak dapat dengan mudah dimanfaatkan untuk meretas Nintendo Switch karena perlu dirantai dengan kerentanan lain untuk mendapatkan eskalasi hak istimewa, dan sejauh ini tidak ada eksploitasi kernel yang diketahui publik di firmware terbaru.

Fakta bahwa ini mengharuskan untuk bergabung dengan game online, kemungkinan Nintendo memiliki banyak cara untuk mencegah hal ini. Menambal game bukan satu-satunya. Saat eksploitasi tersebut diungkapkan kepada publik, itu sudah mati.

Mengenai 3DS dan Wii U, keduanya dapat diretas dengan cukup mudah, sehingga manfaat peretasan terbatas dalam konteks itu, dari perspektif pengguna akhir.

Selengkapnya: Wololo.net