Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Pasar Malware Infostealer Meledak, Saat Kelelahan MFA Terjadi

by

Aktor jahat menemukan keberhasilan dalam menyebarkan malware pencuri informasi (infostealer), menggabungkan kredensial yang dicuri dan rekayasa sosial untuk melakukan pelanggaran profil tinggi dan memanfaatkan serangan kelelahan otentikasi multifaktor (MFA).

Pasar untuk kredensial yang dikompromikan juga berkembang, menurut laporan tersebut, yang melihat secara mendalam situs pasar Rusia yang digunakan oleh grup jahat RedLine, Raccoon Stealer, Vidar, Taurus, dan AZORult untuk mendapatkan kredensial untuk dijual.

Paul Mansfield, analis intelijen ancaman dunia maya di Accenture, menjelaskan poin terpenting untuk dipahami tentang munculnya malware infostealer adalah ancaman terhadap jaringan perusahaan.

Dia menambahkan bahwa kesamaan yang dimiliki oleh kelompok orang tersebut adalah minat untuk mengumpulkan data sensitif (data pribadi dari komputer mereka, termasuk kredensial login, detail rekening bank, alamat cryptocurrency, dan data lokasi granular).

Melampaui Batas MFA
Laporan tersebut menyoroti peningkatan efektivitas serangan kelelahan MFA, yang melibatkan upaya berulang kali untuk masuk ke akun yang mengaktifkan MFA menggunakan kredensial curian, sehingga membombardir calon korban dengan permintaan push MFA.

Laporan sebelumnya menemukan bahwa sementara MFA telah diadopsi di antara organisasi sebagai cara untuk meningkatkan keamanan atas kata sandi saja, peningkatan pencurian cookie browser melemahkan keamanan tersebut.

Aktor jahat mengimbau pengguna yang “bosan” dengan beberapa pemberitahuan push yang mengklaim sebagai verifikasi faktor kedua dan dia menerimanya untuk menghilangkannya.

Villadiego menambahkan ini tentang memiliki kontrol yang tepat dan kecerdasan untuk mengurangi semua kontak dengan musuh segera setelah mereka masuk — dan untuk menahan dampak serangan terhadap organisasi.

Mansfield mengatakan ketika aktor ancaman mengamati seberapa sukses grup lain pada tahun 2022 — misalnya, mereka yang berada di belakang Raccoon Stealer, Redline Stealer, dan Vidar — lebih banyak lagi yang akan memasuki arena dan menciptakan pasar yang lebih kompetitif.

Membela Terhadap Malware Infostealer
Mansfield mengatakan organisasi dapat melindungi dari malware infostealer dengan memastikan sistem operasi dan perangkat lunak diperbarui sepenuhnya dan bahwa staf dilatih tentang cara menemukan dan menangani email dan tautan yang mencurigakan dan juga menggunakan perangkat lunak antivirus.

Villadiego menambahkan satu langkah cepat yang dapat diambil organisasi untuk menopang pertahanan terhadap malware infostealer adalah melihat ke dalam jaringan.

Dia mengatakan penting untuk mengingat serangan ini tidak terjadi dalam hitungan detik — musuh meninggalkan remah roti dan mengirim telegram apa yang akan mereka lakukan, tetapi tim keamanan TI perlu menemukan serangan itu dan memiliki cara untuk menanggapinya secara real time.

sumber : dark reading

Kerentanan besar yang berlangsung lama membuat jutaan handset Android terbuka lebar untuk pencurian data

by

Menurut tweet dari Łukasz Siewierski Google (melalui Mishaal Rahman, 9to5Google), peretas dan “orang dalam yang jahat” telah dapat membocorkan kunci penandatanganan platform yang digunakan oleh beberapa produsen Android untuk menandatangani aplikasi sistem yang digunakan pada perangkat Android.

Kerentanan jangka panjang memengaruhi LG, Samsung, dan produsen terkait Android lainnya
sistem yang mempercayai aplikasi yang ditandatangani oleh kunci yang sama yang digunakan untuk mengautentikasi sistem operasi itu sendiri. Jadi Anda bisa melihat apa masalahnya di sini. Aktor jahat yang mengontrol kunci-kunci ini dapat membuat Android “mempercayai” aplikasi sarat malware di tingkat sistem.

Sementara semua sumber kunci yang bocor belum teridentifikasi, perusahaan yang disebutkan adalah sebagai berikut:

  • Samsung
  • LG
  • Mediatek
  • Szroco (perusahaan yang memproduksi tablet Onn Walmart)
  • Revoview

Google mengatakan bahwa kerentanan dilaporkan pada bulan Mei tahun ini dan bahwa perusahaan yang terlibat telah “mengambil tindakan perbaikan untuk meminimalkan dampak pengguna.

Google, dalam sebuah pernyataan, mengatakan bahwa pengguna Android dilindungi melalui fitur Google Play Store Protect, dan melalui tindakan yang diambil oleh produsen. Google menyatakan bahwa eksploit ini tidak memengaruhi aplikasi apa pun yang diunduh dari Play Store.

Apa yang perlu Anda lakukan untuk membatasi eksposur Anda
Google merekomendasikan agar perusahaan yang terlibat menukar kunci penandatanganan yang saat ini digunakan dan berhenti menggunakan kunci yang bocor. Ini juga menunjukkan bahwa setiap perusahaan memulai penyelidikan untuk memahami bagaimana kunci itu bocor.

Jadi apa yang dapat Anda lakukan sebagai pemilik ponsel Android yang mungkin terpengaruh? Pastikan handset Anda menjalankan Android versi terbaru dan instal semua pembaruan keamanan segera setelah tiba.

Yang menakutkan adalah bahwa kerentanan ini tampaknya telah ada selama bertahun-tahun.

sumber : phone arena

Peretas Mengeksploitasi Kerentanan Redis untuk Menyebarkan Malware Redigo Baru di Server

by

Malware berbasis Go yang sebelumnya tidak berdokumen menargetkan server Redis dengan tujuan mengambil kendali sistem yang terinfeksi dan kemungkinan membangun jaringan botnet.

Serangan tersebut melibatkan pengambilan keuntungan dari kerentanan keamanan kritis di open source, dalam memori, penyimpanan nilai kunci yang diungkapkan awal tahun ini untuk menyebarkan Redigo, menurut perusahaan keamanan cloud Aqua.

Dilacak sebagai CVE-2022-0543 (skor CVSS: 10.0), kelemahannya berkaitan dengan kasus pelarian sandbox di mesin skrip Lua yang dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh.

Ini bukan pertama kalinya cacat tersebut dieksploitasi secara aktif, dengan Juniper Threat Labs mengungkap serangan yang dilakukan oleh botnet Muhstik pada Maret 2022 untuk menjalankan perintah sewenang-wenang.

Rantai infeksi Redigo serupa karena musuh memindai server Redis yang terbuka pada port 6379 untuk membuat akses awal, menindaklanjutinya dengan mengunduh perpustakaan bersama “exp_lin.so” dari server jarak jauh.

File perpustakaan ini dilengkapi dengan exploit untuk CVE-2022-0543 untuk menjalankan perintah guna mengambil Redigo dari server yang sama, selain mengambil langkah untuk menutupi aktivitasnya dengan mensimulasikan komunikasi klaster Redis yang sah melalui port 6379.

“Malware yang dijatuhkan meniru komunikasi server Redis yang memungkinkan musuh menyembunyikan komunikasi antara host yang ditargetkan dan server C2,” jelas peneliti Aqua Nitzan Yaakov.

Tidak diketahui apa tujuan akhir dari serangan itu, tetapi diduga bahwa host yang dikompromikan dapat dikooptasi ke dalam botnet untuk memfasilitasi serangan DDoS atau digunakan untuk mencuri informasi sensitif dari server database untuk memperluas jangkauan mereka.

Selengkapnya: The Hacker News

Cacat Linux baru dapat dirantai dengan dua bug lainnya untuk mendapatkan hak akses root penuh

by

Para peneliti di Unit Riset Ancaman Qualys mendemonstrasikan cara membuat rantai kerentanan Linux baru, dilacak sebagai CVE-2022-3328, dengan dua kelemahan lain untuk mendapatkan hak akses root penuh pada sistem yang terpengaruh.

Kerentanan terletak pada fungsi snap-confine pada sistem operasi Linux, program SUID-root yang diinstal secara default di Ubuntu.

Snap-confine digunakan secara internal oleh snapd untuk membangun lingkungan eksekusi untuk aplikasi snap, alat internal untuk membatasi aplikasi snappy.

CVE-2022-3328 adalah masalah kondisi balapan Snapd yang dapat menyebabkan eskalasi hak istimewa lokal dan eksekusi kode arbitrer.

“Pada Februari 2022, Qualys Threat Research Unit (TRU) menerbitkan CVE-2021-44731 dalam penasihat “Lemmings” kami. Kerentanan (CVE-2022-3328) diperkenalkan pada Februari 2022 oleh tambalan untuk CVE-2021-44731). membaca posting yang diterbitkan oleh Qualys.

“Qualys Threat Research Unit (TRU) mengeksploitasi bug ini di Server Ubuntu dengan menggabungkannya dengan dua kerentanan di multipathd yang disebut Leeloo Multipath (bypass otorisasi dan serangan symlink, CVE-2022-41974 dan CVE-2022-41973), untuk mendapatkan hak akses root penuh.”

Para ahli menggabungkan cacat CVE-2022-3328 dengan dua cacat yang baru ditemukan di Multipathd, yang merupakan daemon yang bertugas memeriksa jalur yang gagal.

Multipathd berjalan sebagai root pada instalasi default beberapa distribusi, termasuk Ubuntu.

Selengkapnya: Security Affairs

Peneliti menemukan bug yang memungkinkan akses, remote control mobil

by

Beberapa merek mobil besar telah mengatasi kerentanan yang memungkinkan peretas mengontrol kunci, mesin, klakson, lampu depan, dan bagasi mobil tertentu dari jarak jauh yang dibuat setelah 2012, menurut seorang peneliti keamanan.

Insinyur keamanan staf Yuga Labs, Sam Curry, menerbitkan dua utas di Twitter yang merinci penelitiannya tentang aplikasi seluler untuk beberapa merek mobil yang memberi pelanggan kemampuan untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan mereka dari jarak jauh.

Curry dan beberapa peneliti lainnya memulai dengan Hyundai dan Genesis, menemukan bahwa sebagian besar proses verifikasi untuk mendapatkan akses ke kendaraan bergantung pada alamat email terdaftar. Mereka menemukan cara untuk mem-bypass fitur verifikasi email dan mendapatkan kendali penuh.

Kerentanan telah ditambal, masalah intinya adalah kerentanan kontrol akses yang memengaruhi akun pengguna di aplikasi itu sendiri. Anda dapat masuk ke akun siapa pun jika Anda mengetahui alamat email mereka dan karenanya mengontrol/menemukan kendaraan mereka dari jarak jauh,” kata Curry, mencatat bahwa serangan itu dapat terjadi “dari mana saja.”

Seorang juru bicara Hyundai mengatakan kepada The Record bahwa mereka bekerja dengan konsultan untuk menyelidiki kerentanan yang diklaim “segera setelah para peneliti menyampaikannya kepada kami.”

Dalam komentarnya kepada The Record, Curry menjelaskan bahwa manuver tersebut akan memungkinkan penyerang untuk memulai, menghentikan, mengunci, membuka kunci, membunyikan klakson, menyalakan lampu, atau menemukan kendaraan dari jarak jauh yang mengaktifkan fungsi jarak jauh. Fitur itu telah diaktifkan di semua kendaraan yang dibuat setelah 2012.

Selengkapnya: The Record

Google TAG Memperingatkan Kerangka Eksploitasi Heliconia yang Muncul untuk RCE

by

Grup Analisis Ancaman (TAG) Google telah menemukan kerangka kerja serangan siber yang dijuluki Heliconia, dibuat untuk mengeksploitasi kerentanan zero-day dan n-day di Chrome, Firefox, dan Microsoft Defender. Ini kemungkinan memiliki koneksi ke broker spyware pasar abu-abu bernama Variston IT, yang menyoroti bagaimana segmen bayangan ini berkembang.

Ancaman Heliconia terdiri dari tiga modul:

  • Heliconia Noise karena menyusupi browser Chrome, keluar dari kotak pasir, dan memasang malware;
  • Heliconia Soft, kerangka kerja Web yang menyebarkan PDF berisi eksploit Windows Defender untuk CVE-2021-42298 yang memungkinkan eskalasi hak istimewa ke SISTEM dan eksekusi kode jarak jauh (RCE);
  • Dan paket File Heliconia yang berisi rantai eksploit Firefox yang terdokumentasi lengkap untuk Windows dan Linux, termasuk CVE-2022-26485 untuk RCE.

TAG menyadari ancaman tersebut setelah menerima kiriman anonim ke program pelaporan bug Chrome. Setelah penyelidikan lebih lanjut, kode sumber kerangka kerja Heliconia ditemukan berisi skrip yang merujuk ke Variston IT, entitas yang berkantor pusat di Barcelona yang mengklaim menyediakan “solusi keamanan khusus”.

Spyware komersial sering dijual oleh organisasi yang mengaku sebagai perusahaan yang sah, untuk “digunakan oleh penegak hukum”. Namun, semakin banyak bukti menunjukkan bahwa terlalu sering, broker ini tidak memeriksa klien mereka, “menempatkan kemampuan pengawasan canggih di tangan pemerintah yang menggunakannya untuk memata-matai jurnalis, aktivis hak asasi manusia, oposisi politik, dan pembangkang,” menurut TAG posting pada hari Rabu.

Selengkapnya: DARKReading

NVIDIA merilis pembaruan driver GPU untuk memperbaiki 29 kerentanan

by

NVIDIA telah merilis pembaruan keamanan untuk driver tampilan GPU untuk Windows, yang berisi perbaikan untuk kelemahan tingkat tinggi yang dapat dieksploitasi oleh pelaku ancaman untuk melakukan, antara lain, eksekusi kode dan eskalasi hak istimewa.

Pembaruan keamanan terbaru membahas 25 kerentanan pada driver GPU Windows dan Linux, sementara tujuh kelemahan dikategorikan sebagai tingkat keparahan tinggi.

Dua kerentanan paling kritis adalah:

  • CVE-2022-34669 : Masalah pada lapisan mode pengguna driver Windows Nvidia yang dapat dimanfaatkan oleh penyerang yang tidak memiliki hak istimewa untuk mengakses atau memodifikasi code execution, privilege escalation, information disclosure, data tampering, dan denial of service.
  • CVE-2022-34671 : Masalah pada lapisan mode pengguna yang dieksploitasi dari jarak jauh pada driver GPU Windows yang memungkinkan pengguna biasa yang tidak memiliki hak untuk menyebabkan penulisan di luar batas, berpotensi menyebabkan eksekusi kode, eskalasi hak istimewa, pengungkapan informasi , perusakan data, dan penolakan layanan.

CVE-2022-34671 memiliki peringkat keparahan yang lebih rendah meskipun rentan terhadap serangan jaringan karena kompleksitasnya yang tinggi, membuat kemungkinan eksploitasinya kecil.

Namun, cacat CVE-2022-34669 lebih bermanfaat bagi peretas dan pengembang malware yang sudah memiliki akses ke perangkat Windows dan sedang mencari cara untuk meningkatkan hak istimewa mereka atau mengeksekusi kode.

Driver GPU dan perangkat keras berjalan dengan hak istimewa yang lebih tinggi di OS, jadi mengeksploitasi kerentanan pada driver memberikan hak istimewa tingkat tinggi yang sama untuk kode atau perintah jahat.

Mempertimbangkan popularitas produk NVIDIA, ada kemungkinan besar untuk menemukan driver GPU yang rentan pada komputer yang ditargetkan, memungkinkan penyerang mengeksploitasi kekurangan ini untuk mendapatkan hak istimewa yang lebih besar dan menyebar lebih jauh di jaringan.

Versi driver NVIDIA yang memperbaiki kerentanan ini adalah sebagai berikut:

Pengguna Linux harus berkonsultasi dengan tabel versi driver GPU ini sebagai gantinya:

Pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis dengan mengunduh versi driver terbaru yang tersedia untuk model GPU mereka dari pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

Sumber:

Peretas Mengeksploitasi Kerentanan RCE di Windows Internet Key Exchange

by

Kerentanan RCE kritis di Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” diduga dioperasikan oleh aktor ancaman berbahasa Mandarin yang tidak dikenal.

Mengenai Campanye
Kerentanan RCE kritis pada Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” dibunuh oleh aktor pisau berbahasa Mandarin yang tidak dikenal.

  • Sejak September, kampanye Bleed You telah menargetkan OS Windows, Server Windows, protokol Windows, dan layanan yang lemah atau rentan.
  • Tujuan akhir dari kampanye ini adalah untuk memfasilitasi serangan malware dan ransomware lebih lanjut serta pergerakan lateral di seluruh jaringan.
  • Kampanye ini menargetkan organisasi di ritel, konglomerat industri, pemerintah, layanan keuangan, layanan TI, dan industri e-niaga di AS, Inggris Raya, Australia, Kanada, Prancis, Jerman, Turki, Jepang, India, UEA, dan Israel.

Tentang kerentanan
Kerentanan ada pada kode tidak dikenal yang digunakan untuk menangani protokol IKEv1.

  • Ini mempengaruhi OS Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10, dan Windows 11.
  • Eksploitasinya dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Wawasan tambahan
Penyerang bertujuan untuk mengekstraksi informasi sensitif untuk keuntungan finansial, mendapatkan akses yang lebih tinggi, dan menyebabkan gangguan operasional.

  • Koneksi ditemukan antara kampanye Bleed You dan penjahat dunia maya Rusia.
  • Para peneliti mengamati bahwa peretas yang tidak dikenal juga membagikan tautan eksploit di forum bawah tanah.

Kiat keamanan
Penyerang secara aktif mengeksploitasi mesin Windows Server yang rentan melalui IKE dan AuthIP IPsec Keying Modules dengan mengekspor bug ini. Pengguna disarankan untuk menerapkan tambalan dan perbaikan sesegera mungkin untuk mengurangi keparahan eksploitasi kerentanan.

sumber : cyware social