Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Supply Chain Risk Dari Backdoor App Center Gigabyte

by

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

  • Penyalahgunaan backdoor OEM oleh threat actor
  • Kompromi infrastruktur pembaruan OEM dan rantai pasokan
  • Persistensi menggunakan UEFI Rootkit dan Implan
  • Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

  1. Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
  2. Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
  3. Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Serangan Wi-Fi MITM Baru yang Dapat Menembus Mekanisme Keamanan WPA3

by

Sebuah kerentanan kritis dalam chipset NPU yang baru ditemukan oleh peneliti dari Universitas Tsinghua dan George Mason University memungkinkan penyerang untuk menguping data yang ditransmisikan melalui 89% jaringan Wi-Fi dunia nyata dengan memanfaatkannya.

Serangan ini mampu melewati mekanisme keamanan link-layer seperti WPA3 dan mencegat lalu lintas teks biasa, telah dijelaskan dalam makalah penelitian yang diterima oleh Simposium Keamanan dan Privasi IEEE 2023.

Penggunaan akselerasi perangkat keras, seperti chipset NPU dalam jaringan Wi-Fi, meningkatkan kecepatan transmisi data dan mengurangi latensi, tetapi juga memperkenalkan masalah keamanan karena transmisi langsung frame nirkabel oleh router Access Point (AP).

Untuk memprioritaskan kinerja, NPU pada router AP seperti Qualcomm IPQ5018 dan HiSilicon Gigahome Quad-core akan langsung mengirimkan pesan pengalihan ICMP palsu yang diterima ke pencari korban.

Ketika korban menerima pesan tersebut, ia ditipu untuk memperbarui cache routing-nya dan menggantikan langkah selanjutnya dengan alamat IP penyerang, sehingga paket IP berikutnya yang seharusnya ditujukan ke server dialihkan ke penyerang di lapisan IP, memungkinkan pengiriman paket oleh penyerang.

Dengan diam-diam dan tanpa menggunakan AP palsu, penyerang secara efektif melakukan serangan MITM, memungkinkan penyadapan dan modifikasi lalu lintas korban.

Kerentanan yang mencegah perangkat AP untuk memblokir pesan pengalihan ICMP palsu ini telah dikonfirmasi oleh Qualcomm dan Hisilicon, dengan Qualcomm memberikan CVE-2022-25667 untuk masalah khusus ini.

Analisis keamanan yang melakukan studi empiris besar-besaran terhadap router AP utama dan jaringan Wi-Fi dunia nyata menemukan bahwa kerentanan dalam NPU tersemat mempengaruhi hampir semua router AP utama.

Dari 55 router AP yang rentan yang diuji dari 10 vendor AP terkenal, para ahli menemukan bahwa lebih dari 89% dari 122 jaringan Wi-Fi dunia nyata yang diuji terpapar serangan yang sudah diketahui.

Sebagai rekomendasi mitigasi, para ahli telah mengonfirmasi bahwa untuk meningkatkan keamanan, AP harus membatasi pengalihan ICMP yang dibuat, dan harus memverifikasi pesan ICMP yang diterima.

Selengkapnya: Cybersecurity News

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

by

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

  • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
  • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
  • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

by

Awal bulan ini Departemen Kehakiman AS mengumumkan National Security Agency (NSA), bersama dengan lembaga lain, telah berhasil mengidentifikasi infrastruktur untuk malware Snake, yang telah digunakan oleh Layanan Keamanan Federal Federasi Rusia (FSB) untuk mengorbankan organisasi di seluruh dunia. Amerika Serikat dan di seluruh dunia selama hampir 20 tahun.

Menurut rilis tersebut, operasi resmi pengadilan, dengan nama kode MEDUSA, mengganggu jaringan komputer peer-to-peer global yang dikompromikan oleh malware canggih, yang disebut “Snake”. Selama hampir 20 tahun, versi malware Snake digunakan untuk mencuri dokumen sensitif dari ratusan sistem komputer di setidaknya 50 negara, yang dimiliki oleh pemerintah anggota Organisasi Perjanjian Atlantik Utara (NATO), jurnalis, dan target lain yang menarik bagi Rusia. Federasi.

solusi keamanan siber dibangun untuk perlindungan di lapisan eksternal, tetapi lanskap yang begitu luas menyisakan terlalu banyak celah untuk ditembus oleh penjahat dunia maya. Pelaku ancaman berada beberapa langkah di depan dan terus mengembangkan teknologi dan model bisnis mereka untuk melewati pertahanan perangkat lunak. Oleh karena itu, solusi keamanan perangkat lunak mengalami kesulitan untuk mengidentifikasi ancaman yang baru dimodifikasi dan data rahasia tetap berisiko. Organisasi perlu berpikir di luar kotak – masukkan perlindungan tingkat firmware, cara untuk meningkatkan keamanan siber ke tingkat berikutnya.

Tahap selanjutnya dari perlindungan keamanan siber holistik harus menggabungkan perangkat keras dan solusi tersemat ke dalam keseluruhan infrastruktur untuk menghentikan peretas di jalur mereka dalam lingkungan yang kecil, tersegel, dan direkayasa sepenuhnya pada tingkat penyimpanan data.

selengkapnya : securitymagazine.com

Ponsel Android rentan terhadap serangan brute-force sidik jari

by

Para peneliti di Tencent Labs dan Universitas Zhejiang telah mempresentasikan serangan baru yang disebut ‘BrutePrint,’ yang memaksa sidik jari pada smartphone modern untuk memotong otentikasi pengguna dan mengambil kendali perangkat.

Serangan brute-force mengandalkan banyak percobaan dan kesalahan untuk memecahkan kode, kunci, atau kata sandi dan mendapatkan akses tidak sah ke akun, sistem, atau jaringan.

Para peneliti China berhasil mengatasi perlindungan yang ada pada smartphone, seperti batas percobaan dan deteksi liveness yang melindungi dari serangan brute-force, dengan mengeksploitasi apa yang mereka klaim sebagai dua kerentanan zero-day, yaitu Cancel-After-Match-Fail (CAMF) dan Match -Setelah-Kunci (MAL).

Penulis makalah teknis yang diterbitkan di Arxiv.org juga menemukan bahwa data biometrik pada Serial Peripheral Interface (SPI) sensor sidik jari tidak cukup terlindungi, memungkinkan serangan man-in-the-middle (MITM) untuk membajak gambar sidik jari.

Serangan BrutePrint dan SPI MITM diuji terhadap sepuluh model smartphone populer, mencapai upaya tak terbatas pada semua perangkat Android dan HarmonyOS (Huawei) dan sepuluh upaya tambahan pada perangkat iOS.

Gagasan BrutePrint adalah untuk melakukan pengiriman gambar sidik jari dalam jumlah tak terbatas ke perangkat target hingga sidik jari yang ditentukan pengguna cocok.

Penyerang membutuhkan akses fisik ke perangkat target untuk meluncurkan serangan BrutePrint, akses ke basis data sidik jari yang dapat diperoleh dari kumpulan data akademik atau kebocoran data biometrik, dan peralatan yang diperlukan, dengan biaya sekitar $15.

Selengkapnya: Bleeping Computer

Jangan mengabaikan manajemen permukaan serangan

by

Ketika datang untuk mengamankan lingkungan komputasi awan, satu aspek utama sering diabaikan: manajemen permukaan serangan (ASM). Mengapa? Banyak program pelatihan keamanan cloud, termasuk sertifikasi penyedia cloud tertentu, tidak fokus padanya. Sebaliknya, mereka fokus pada alat khusus dan tren yang sedang berkembang, yang hanya merupakan bagian dari keamanan cloud.

Selain itu, dengan kekurangan keterampilan keamanan cloud yang sedang berlangsung, kami tidak lagi pilih-pilih tentang talenta keamanan cloud yang kami ikuti. Penyerang menjadi lebih baik dalam apa yang mereka lakukan dan sekarang dapat mempersenjatai teknologi kecerdasan buatan untuk melawan Anda. Ini bisa berubah menjadi badai sempurna yang mengarah ke putaran pelanggaran lain yang mengenai siklus berita 24 jam dan mengirimkan nilai perusahaan ke tanah.

Singkat cerita, perusahaan harus menyadari pentingnya meminimalkan permukaan serangan mereka—titik rentan yang dapat dieksploitasi penyerang. Mereka melakukan ini dengan menerapkan praktik ASM yang kuat. Dengan sedikit pengetahuan, bisnis dapat memperkuat pertahanan cloud mereka dan melindungi aset berharga mereka dari ancaman yang kita tahu ada di luar sana.

Komputasi awan memperkenalkan tantangan keamanan yang unik karena sifatnya yang terdistribusi dan model tanggung jawab bersama. Permukaan serangan di cloud sangat luas, meliputi berbagai lapisan dan komponen.

Ini tidak hanya mencakup infrastruktur cloud itu sendiri tetapi juga aplikasi, API, jaringan virtual, perangkat Internet of Things, akses seluler, kontrol akses pengguna, dan banyak lagi. Setiap elemen mewakili titik masuk potensial bagi penyerang, menyoroti perlunya pemahaman proaktif atas titik masuk ini dan cara mengurangi risiko sebanyak mungkin.

Selengkapnya: Info World

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

by

Sebuah tambalan tertunda melalui x86/mendesak untuk mengatasi masalah dengan prosesor Intel Alder Lake dan Raptor Lake yang membuat pengembang kernel untuk sementara waktu menonaktifkan Process Context Identifiers (PCID) dengan prosesor seluler/desktop Intel ini.

Sebuah tambalan diatur untuk mainline untuk pengembangan Linux 6.4 dan juga di-porting ke versi kernel yang stabil untuk menghindari flush INVLPG global yang tidak lengkap.

Prosesor yang terpengaruh adalah prosesor Intel Alder Lake dan Raptor Lake. Seperti disebutkan dalam pesan tambalan, Intel dikatakan bekerja pada mitigasi mikrokode untuk masalah ini tetapi untuk saat ini setidaknya kernel Linux diatur untuk menonaktifkan dukungan PCID untuk Alder Lake / Alder Lake L / Alder Lake N / Raptor Lake / Raptor Lake P / Raptor Lake S hingga mitigasi mikrokode dapat ditangani.

INVLPG digunakan untuk membatalkan entri TLB tertentu. Setidaknya Alder Lake dan Raptor Lake tidak membutuhkan Kernel Page Table Isolation (KPTI) untuk memitigasi Meltdown karena prosesor yang lebih baru ini tidak terpengaruh olehnya.

Tetapi untuk prosesor Intel yang lebih lama, dukungan PCID membantu mengimbangi beberapa biaya tambahan dalam menangani Isolasi Tabel Halaman Kernel / mengurangi Meltdown seperti yang ditunjukkan beberapa tahun yang lalu.

Selengkapnya: Phoronix

Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

by

Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

Selengkapnya: techradar.pro