Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

by

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

Microsoft: Popular IoT SDKs Leave Critical Infrastructure Wide Open to Cyberattack

by

Microsoft minggu ini mengidentifikasi vektor serangan menganga untuk menonaktifkan sistem kontrol industri (ICS), yang sayangnya menyebar di seluruh jaringan infrastruktur penting: server Web Boa.

Mungkin tampak aneh bahwa server akhir masa pakai yang berusia hampir 20 tahun masih berkeliaran, tetapi Boa termasuk dalam serangkaian kit pengembang perangkat lunak (SDK) populer yang digunakan pengembang perangkat Internet of Things dalam desain kritis mereka. komponen untuk ICS,

Ini termasuk SDK yang dirilis oleh RealTek yang digunakan dalam SOC yang disediakan untuk perusahaan yang memproduksi perangkat gateway seperti router, titik akses, dan repeater, catat para peneliti.

Ternyata komponen yang rentan dalam serangan tersebut adalah server Web Boa. Menurut postingan blog Microsoft Security Threat Intelligence yang diterbitkan pada 22 November, server Web dan kerentanan yang diwakilinya dalam rantai pasokan komponen IoT seringkali tidak diketahui oleh pengembang dan administrator yang mengelola sistem dan berbagai perangkatnya.

Membuat Penemuan
kelompok ancaman Hive mengklaim serangan ransomware pada Tata Power di India. Dan dalam pelacakan aktivitas mereka yang berkelanjutan, para peneliti terus melihat penyerang mencoba mengeksploitasi kerentanan Boa, “menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan” dan akan terus menjadi satu selama server ini digunakan.

maka dari hal tersebut jaringan ICS untuk mengidentifikasi kapan server Boa yang rentan sedang digunakan dan untuk menambal kerentanan sedapat mungkin, serta mengambil tindakan lain untuk mengurangi risiko dari serangan di masa mendatang, kata para peneliti

tindakan yang perlu dipertimbangkan untuk mitigasi termasuk menggunakan pemindaian antivirus proaktif untuk mengidentifikasi muatan berbahaya pada perangkat; mengonfigurasi aturan deteksi untuk mengidentifikasi aktivitas berbahaya jika memungkinkan; dan mengadopsi solusi IoT dan OT yang komprehensif untuk memantau perangkat, merespons ancaman, dan meningkatkan visibilitas untuk mendeteksi dan memperingatkan saat perangkat IoT dengan Boa digunakan sebagai titik masuk ke jaringan.

sumber : dark reading

AS menuntut tersangka BEC dengan penargetan program perawatan kesehatan federal

by

Departemen Kehakiman AS (DOJ) telah menuntut sepuluh terdakwa atas dugaan keterlibatan mereka dalam skema kompromi email bisnis (BEC) yang menargetkan banyak korban di seluruh negeri, termasuk program pendanaan federal AS seperti Medicare dan Medicaid.

Untuk mengelabui target agar percaya bahwa pembayaran dilakukan ke akun yang sah, US DOJ mengatakan penyerang memalsukan alamat email rumah sakit untuk meminta program asuransi kesehatan publik dan swasta untuk beralih ke rekening bank baru (dikendalikan oleh rekan konspirator) untuk mengirim pembayaran. pelayanan medis.

Tuduhan US DOJ yang tidak disegel juga terkait dengan pencucian uang dan skema penipuan kawat terhadap para terdakwa di berbagai negara bagian:

  • enam terdakwa di Distrik Utara Georgia (Patrick Ndong-Bike, Desmond Nkwenya, Cory Smith, Chisom Okonkwo, Olugbenga Abu, Trion Thomas)
  • satu terdakwa di Distrik Carolina Selatan (Biliamin Fagbewesa)
  • satu terdakwa sebelumnya didakwa di Distrik Utara Georgia (Malachi Mullings)
  • yang sebelumnya dibebankan di Distrik Timur Virginia (Sauveur Blanchard)
  • terdakwa ketiga yang sebelumnya didakwa di Distrik Utara Texas (Adewale Adesanya) telah mengajukan pengakuan bersalah dan dijatuhi hukuman empat tahun penjara

Skema mereka diduga menyebabkan kerugian lebih dari $4,7 juta bagi Medicare, Medicaid, dan perusahaan asuransi kesehatan swasta A.S. dan kerugian lebih dari $6,4 juta bagi lembaga pemerintah federal A.S., perusahaan swasta, dan individu.

Business email compromise is a $43 billion scam
Penipu BEC menggunakan banyak taktik—termasuk phishing, rekayasa sosial, dan peretasan—untuk mengalihkan transfer bank target ke rekening bank yang mereka kendalikan.

Sayangnya, seperti yang diungkapkan FBI, tingkat keberhasilan mereka juga sangat tinggi karena mereka umumnya menyamar sebagai orang yang dipercaya oleh target, seperti mitra bisnis atau eksekutif perusahaan.

sumber : bleeping computer

F5 Memperbaiki Dua Kelemahan Eksekusi Kode Jarak Jauh di BIG-IP, BIG-IQ

by

F5 telah merilis hotfix untuk produk BIG-IP dan BIG-IQ-nya, mengatasi dua kelemahan dengan tingkat keparahan tinggi yang memungkinkan penyerang melakukan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi pada titik akhir yang rentan.

Cacat pertama dilacak sebagai CVE-2022-41622 (CVSS v3 – 8.8) dan merupakan RCE yang tidak diautentikasi melalui pemalsuan lintas situs pada iControl SOAP, yang berdampak pada beberapa versi BIG-IP dan BIG-IQ.

Cacat kedua adalah CVE-2022-41800 (CVSS v3 – 8.7), RCE yang diautentikasi melalui injeksi spesifikasi RPM, yang memengaruhi komponen REST iControl.

Versi BIG-IP yang rentan adalah:

  • 13.1.0 – 13.1.5
  • 14.1.0 – 14.1.5
  • 15.1.0 – 15.1.8
  • 16.1.0 – 16.1.3
  • 17.0.0

untuk BIG-IQ yang terpengaruh adalah

  • 7.1.0
  • 8.0.0 – 8.2.0

Pelanggan yang terpengaruh disarankan untuk meminta hotfix teknis untuk versi produk mereka dari F5 dan menginstalnya secara manual.

Untuk menyelesaikan CVE-2022-41622, admin juga harus menonaktifkan Otentikasi Dasar untuk SOAP iControl setelah menginstal hotfix

Technical details released
Rapid7 menerbitkan laporan terperinci tentang kekurangan yang mengungkapkan rincian teknis dari kerentanan.

“Dengan berhasil mengeksploitasi kerentanan terburuk (CVE-2022-41622), penyerang dapat memperoleh akses root terus-menerus ke antarmuka manajemen perangkat (bahkan jika antarmuka manajemen tidak menghadap ke internet),” jelas laporan oleh Rapid7.

Selain itu, penyerang perlu mengetahui alamat instance BIG-IP yang ditargetkan untuk memberlakukan pemalsuan permintaan lintas situs terhadap admin.

Karena itu, peneliti Rapid7 Ron Bowes percaya bahwa kecil kemungkinan kerentanan akan dieksploitasi secara luas.

Analis telah menerbitkan detail teknis yang ekstensif, termasuk proof of concept exploit untuk CVE-2022-41622, jadi penting untuk mengatasi kerentanan sesegera mungkin.

sumber : bleeping computer

Microsoft Mengatakan Penyerang Dapat Meretas Jaringan Energi dengan Mengeksploitasi Perangkat Lunak Berusia Puluhan Tahun

by

Peneliti di Microsoft mengatakan mereka telah menemukan komponen sumber terbuka yang rentan di server web Boa, yang masih banyak digunakan di berbagai router dan kamera keamanan, serta kit pengembangan perangkat lunak (SDK) yang populer, meskipun perangkat lunak tersebut sudah pensiun pada tahun 2005. Raksasa teknologi mengidentifikasi komponen tersebut saat menyelidiki dugaan gangguan jaringan listrik India yang pertama kali dirinci oleh Recorded Future pada bulan April, di mana penyerang yang disponsori negara China menggunakan perangkat IoT untuk mendapatkan pijakan pada jaringan operational technology (OT), yang digunakan untuk memantau dan mengendalikan industri fisik

Perusahaan menambahkan bahwa penyerang terus berupaya mengeksploitasi kelemahan Boa, yang mencakup bug pengungkapan informasi dengan tingkat keparahan tinggi (CVE-2021-33558) dan kelemahan akses file arbitrer lainnya (CVE-2017-9833).

“[Vulnerabilities/Kerentanan] yang diketahui memengaruhi komponen tersebut dapat memungkinkan penyerang mengumpulkan informasi tentang aset jaringan sebelum memulai serangan, dan untuk mendapatkan akses ke jaringan tanpa terdeteksi dengan memperoleh kredensial yang valid,” kata Microsoft,

Microsoft mengatakan serangan terbaru yang diamati adalah kompromi Tata Power pada bulan Oktober. Pelanggaran ini mengakibatkan grup ransomware Hive menerbitkan data yang dicuri dari raksasa energi India, yang mencakup informasi sensitif karyawan, gambar teknik, catatan keuangan dan perbankan, catatan klien, dan beberapa kunci pribadi.

Perusahaan telah memperingatkan bahwa mengurangi kelemahan Boa ini sulit karena popularitas yang terus berlanjut dari server web yang sekarang sudah tidak berfungsi dan sifat rumit dari bagaimana itu dibangun ke dalam rantai pasokan perangkat IoT.Peringatan Microsoft sekali lagi menyoroti risiko rantai pasokan yang ditimbulkan oleh kelemahan dalam komponen jaringan yang digunakan secara luas. Log4Shell, kerentanan zero-day yang tahun lalu diidentifikasi di Log4j, pustaka logging Apache open-source, diperkirakan berpotensi memengaruhi lebih dari tiga miliar perangkat.

sumber : tech crunch

Peretas Mengunci Operator Mars Stealer dari Server Mereka Sendiri

by

Mars Stealer adalah malware pencuri data sebagai layanan, memungkinkan penjahat dunia maya menyewa akses ke infrastruktur untuk meluncurkan serangan mereka sendiri. Malware itu sendiri sering didistribusikan sebagai lampiran email, iklan jahat, dan dibundel dengan file torrent di situs berbagi file. Setelah terinfeksi, malware mencuri kata sandi korban dan kode dua faktor dari ekstensi browser mereka, serta konten dompet mata uang kripto mereka. Malware juga dapat digunakan untuk mengirimkan muatan berbahaya lainnya, seperti ransomware.

Awal tahun ini, salinan crack dari malware Mars Stealer bocor secara online, memungkinkan siapa saja untuk membangun server perintah dan kontrol Mars Stealer mereka sendiri, tetapi dokumentasinya cacat, dan memandu calon aktor jahat untuk mengonfigurasi server mereka dengan cara yang akan secara tidak sengaja mengekspos file log yang dikemas dengan data pengguna yang dicuri dari komputer korban.

Mars Stealer mendapatkan daya tarik pada bulan Maret setelah pencopotan Raccoon Stealer, malware pencuri data populer lainnya. Itu menyebabkan peningkatan dalam kampanye Mars Stealer baru, termasuk penargetan massal Ukraina dalam minggu-minggu setelah invasi Rusia, dan upaya skala besar untuk menginfeksi korban dengan iklan berbahaya. Pada bulan April, peneliti keamanan mengatakan mereka menemukan lebih dari 40 server hosting Mars Stealer.

Sekarang, Buguard, startup pengujian penetrasi, mengatakan kerentanan yang ditemukannya dalam malware yang bocor memungkinkannya masuk dari jarak jauh dan “mengalahkan” server perintah dan kontrol Mars Stealer yang digunakan untuk mencuri data dari komputer korban yang terinfeksi.

kepala petugas teknologi perusahaan, memberi tahu TechCrunch bahwa kerentanan, setelah dieksploitasi, menghapus log dari server Mars Stealer yang ditargetkan, menghentikan semua sesi aktif yang memutuskan hubungan dengan komputer korban, lalu mengacak kata sandi dasbor sehingga operator dapat ‘ t login kembali.

Mohamed mengatakan perusahaannya telah menemukan dan menetralkan lima server Mars Stealer sejauh ini, empat di antaranya kemudian offline. Kerentanan juga ada di Erbium, malware pencuri data lainnya dengan model malware-as-a-service yang mirip dengan Mars Stealer, kata Mohamed.

sumber : tech crunch

Otentikasi Dua Faktor Twitter Memiliki Kerentanan – DIPERBARUI

by

Grup Media Keamanan Informasi telah menyadari bahwa peneliti keamanan lain, @BetoOnSecurity, juga mengidentifikasi kemampuan untuk mematikan SMS 2FA Twitter melalui perintah “STOP” yang dikirim sebagai kerentanan, mengingat potensi spoofing. Sumber kami secara independen mengidentifikasi kerentanan.

Peneliti keamanan memperingatkan bahwa autentikasi multifaktor di Twitter mengandung kerentanan yang memungkinkan pengambilalihan akun potensial.

Kerentanan muncul ketika Twitter memasuki minggu ketiga di bawah kepemilikan Elon Musk, periode di mana staf keamanan dan kepatuhan utama di perusahaan telah pergi, banyak karyawan dan kontraktor telah diberhentikan, dan keretakan mulai terlihat di perusahaan. teknologi yang berhadapan dengan pelanggan

Kerentanan, yang diverifikasi ISMG, memungkinkan peretas untuk memalsukan nomor telepon yang terdaftar untuk menonaktifkan otentikasi dua faktor. Itu berpotensi membuat akun terkena serangan reset kata sandi atau pengambilalihan akun melalui isian kata sandi. Twitter memungkinkan penggunaan untuk mengatur multifact

Selama masa jabatan Musk sebagai kepala eksekutif, masalah lain terkait dengan kontrol akun telah muncul – serentetan akun palsu yang menyamar sebagai merek multinasional yang tampak asli, berkat adanya tanda centang biru.

Musk tetap melanjutkan. Selama periode kira-kira dua hari selama Rabu dan Kamis, penipu menyamar sebagai perusahaan farmasi Eli Lilly dengan mengumumkan bahwa insulin sekarang akan gratis, produsen pisang Chiquita dengan mengumumkan penggulingan pemerintah Brasil, dan pembuat mobil listrik yang dipimpin Musk Tesla dengan memperpanjang menawarkan untuk mengirimkan 10.000 mobil untuk mendukung militer Ukraina.

Pada saat itu, serentetan peniruan telah menarik perhatian Partai Demokrat AS.

sumber : data breach today

Microsoft memperbaiki masalah autentikasi Windows Kerberos dalam pembaruan darurat

by

Microsoft telah merilis pembaruan out-of-band (OOB) opsional untuk memperbaiki masalah yang memicu kegagalan masuk Kerberos dan masalah autentikasi lainnya pada pengontrol domain Windows setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa November.

Microsoft mengakui dan mulai menyelidiki pada hari Senin dan mengatakan bahwa masalah yang diketahui dapat memengaruhi skenario autentikasi Kerberos apa pun dalam lingkungan perusahaan yang terpengaruh.

“Saat masalah ini terjadi, Anda mungkin menerima peristiwa kesalahan Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain Anda dengan teks di bawah ini.”

Daftar skenario autentikasi Kerberos yang terpengaruh mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal tersambung.
  • ​Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan autentikasi pengguna domain mungkin gagal.

Microsoft merilis pembaruan darurat OOB yang harus diinstal oleh admin Windows di semua Pengontrol Domain (DC) pada lingkungan yang terpengaruh.

Pembaruan OOB tersedia melalui Katalog Pembaruan Microsoft dan tidak akan ditawarkan melalui Pembaruan Windows.

Redmond telah merilis pembaruan kumulatif untuk penginstalan di Pengontrol Domain (tidak diperlukan tindakan di sisi klien):

Microsoft juga merilis pembaruan mandiri yang dapat diimpor ke Windows Server Update Services (WSUS) dan Microsoft Endpoint Configuration Manager:

Satu-satunya platform yang terpengaruh yang masih menunggu perbaikan adalah Windows Server 2008 R2 SP1. Redmond mengatakan bahwa pembaruan khusus akan tersedia minggu depan.

Anda dapat menemukan instruksi penyebaran WSUS terperinci di WSUS dan instruksi Pengelola Konfigurasi dan Situs Katalog di halaman Impor pembaruan dari halaman Katalog Pembaruan Microsoft.

Sumber: Bleeping Computer