Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Netgear Meninggalkan Kerentanan yang Tidak Ditambal di Router Nighthawk

by

Para peneliti telah menemukan setengah lusin kerentanan berisiko tinggi dalam versi firmware terbaru untuk router Netgear Nighthawk R6700v3. Pada saat penerbitan kekurangan tetap tidak ditampat.

Nighthawk R6700 adalah router WiFi dual-bank populer yang diiklankan dengan fitur yang berfokus pada game, kontrol orang tua yang cerdas, dan perangkat keras internal yang cukup kuat untuk mengakomodasi kebutuhan pengguna daya rumah.

Enam kekurangan ditemukan oleh para peneliti di perusahaan cybersecurity Tenable dan dapat memungkinkan penyerang di jaringan untuk mengambil kendali penuh atas perangkat:

  • CVE-2021-20173: Cacat injeksi perintah pasca-otentikasi dalam fungsi pembaruan perangkat, membuatnya rentan terhadap injeksi perintah.
  • CVE-2021-20174: HTTP digunakan secara default pada semua komunikasi antarmuka web perangkat, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
  • CVE-2021-20175: SOAP Interface (port 5000) menggunakan HTTP untuk berkomunikasi secara default, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
  • CVE-2021-23147: Eksekusi perintah sebagai root tanpa otentikasi melalui koneksi port UART. Mengeksploitasi cacat ini membutuhkan akses fisik ke perangkat.
  • CVE-2021-45732: Manipulasi konfigurasi melalui rutinitas enkripsi hardcoded, memungkinkan perubahan pengaturan yang terkunci karena alasan keamanan.
  • CVE-2021-45077: Semua nama pengguna dan kata sandi untuk layanan perangkat disimpan dalam bentuk plaintext dalam file konfigurasi.

Kekurangan yang baru-baru ini diungkapkan mempengaruhi firmware versi 1.0.4.120, yang merupakan rilis terbaru untuk perangkat.

Pengguna disarankan untuk mengubah kredensial default menjadi sesuatu yang unik dan kuat dan mengikuti praktik keamanan yang direkomendasikan untuk pertahanan yang lebih kuat terhadap infeksi malware.

Juga, periksa portal unduhan firmware Netgear secara teratur dan instal versi baru segera setelah tersedia. Mengaktifkan pembaruan otomatis pada router Anda juga disarankan.

Laporan keamanan saat ini mengacu pada Netgear R6700 v3, yang masih di bawah dukungan, bukan Netgear R6700 v1 dan R6700 v2, yang telah mencapai akhir kehidupan. Jika Anda masih menggunakan model yang lebih lama, disarankan untuk menggantinya.

Tenable mengungkapkan masalah di atas kepada vendor pada tanggal 30 September 2021, dan meskipun beberapa pertukaran informasi dalam bentuk klarifikasi dan saran terjadi sesudahnya, masalah tetap tidak terselesaikan.

Kami telah menghubungi Netgear untuk meminta komentar tentang hal di atas, dan kami akan menambahkan pembaruan ke cerita ini segera setelah kami mendengar kembali dari mereka.

Sumber: Bleepingcomputer

Empat tahun layanan Aplikasi Azure memiliki bug kebocoran kode sumber

by

Microsoft telah mengungkapkan kerentanan dalam Layanan Aplikasi Azure untuk Linux yang memungkinkan pengunduhan file yang hampir pasti tidak ingin dipublikasikan oleh pengguna.

Microsoft menagih Layanan Aplikasi Azure sebagai hal yang tepat jika Anda ingin “Membuat aplikasi web dan seluler yang siap untuk perusahaan dengan cepat dan mudah untuk platform atau perangkat apa pun, dan menerapkannya pada infrastruktur cloud yang dapat diskalakan dan andal.”

Perhatikan bahwa deskripsi tidak menyebutkan keamanan.

Kelalaian itu anehnya terlihat, karena pakaian keamanan cloud Wiz menyelidiki layanan dan menemukan apa yang digambarkan sebagai “perilaku default tidak aman di Layanan Aplikasi Azure yang mengekspos kode sumber aplikasi pelanggan yang ditulis dalam PHP, Python, Ruby, atau Node, yang dikerahkan menggunakan ‘Local Git’.”

Wiz telah menamai cacat itu “NotLegit” dan menegaskan itu sudah ada sejak September 2017 dan “mungkin telah dieksploitasi di alam liar.”

Inti dari kelemahannya adalah ketika pengguna Layanan Aplikasi Azure mengunggah repositori git mereka ke layanan, repositori tersebut mendarat di direktori /home/site/wwwroot direktori yang dapat diakses publik. Di antara unggahan itu adalah folder .git, yang berisi kode sumber dan info rahasia lainnya. Semuanya tergantung di web untuk dilihat semua orang.

Orang-orang sedang mencari. Postingan Wiz menyatakan bahwa ia membuat aplikasi Layanan Aplikasi Azure yang rentan dan dalam empat hari mendeteksi beberapa upaya untuk mencapai folder .gitnya.

Wiz telah menemukan bug Azure yang buruk, ia juga menemukan kelemahan ChaosDB yang memungkinkan akses baca dan tulis yang tidak sah ke Microsoft Azure Cosmos DB, dan keluarga kelemahan “OMIGOD” yang memungkinkan eksekusi kode tidak sah di server Azure.

Microsoft membayar hadiah $7.500 kepada Wiz untuk menemukan kelemahannya, yang diungkapkan secara bertanggung jawab pada bulan September, dan melihat Microsoft memberi tahu pelanggan tentang masalah tersebut sebelum mengungkapkannya dalam posting blog tertanggal 22 Desember.

Sumber : The Register

Serangan firmware dapat menyusupkan malware persisten di area tersembunyi pada SSD

by

Satu serangan yang dimodelkan oleh para peneliti di Universitas Korea di Seoul menargetkan area data yang tidak valid dengan informasi yang tidak terhapus yang berada di antara ruang SSD yang dapat digunakan dan area over-provisioning (OP), dan yang ukurannya bergantung pada keduanya.

Makalah penelitian menjelaskan bahwa seorang peretas dapat mengubah ukuran area OP dengan menggunakan manajer firmware, sehingga menghasilkan ruang data tidak valid yang dapat dieksploitasi.

Masalahnya di sini adalah banyak produsen SSD memilih untuk tidak menghapus area data yang tidak valid untuk menghemat sumber daya.

Ruang ini tetap diisi dengan data untuk waktu yang lama, dengan asumsi bahwa pemutusan tautan tabel pemetaan sudah cukup untuk mencegah akses yang tidak sah.

Dengan demikian, aktor ancaman yang memanfaatkan kelemahan ini dapat memperoleh akses ke informasi yang berpotensi sensitif.

Para peneliti mencatat bahwa aktivitas forensik pada memori flash NAND dapat mengungkapkan data yang belum dihapus selama lebih dari enam bulan.

Dalam model serangan kedua, area OP digunakan sebagai tempat rahasia yang tidak dapat dipantau atau dihapus oleh pengguna, tempat aktor ancaman dapat menyembunyikan malware.

Sebagai pertahanan terhadap jenis serangan pertama, para peneliti mengusulkan pembuat SSD menghapus area OP dengan algoritma penghapusan semu yang tidak akan memengaruhi kinerja waktu nyata.

Untuk jenis serangan kedua, tindakan keamanan yang berpotensi efektif terhadap penyuntikan malware di area OP adalah dengan menerapkan sistem pemantauan laju data valid-tidak valid yang mengamati rasio di dalam SSD secara real-time.

Selengkapnya: Bleeping Computer

Peretas APT China Menggunakan Eksploitasi Log4Shell untuk Menargetkan Institusi Akademik

by

Kelompok intrusi bertarget berbasis di China yang belum pernah dilihat sebelumnya yang dijuluki Aquatic Panda telah diamati memanfaatkan kelemahan kritis di perpustakaan logging Apache Log4j sebagai vektor akses untuk melakukan berbagai operasi pasca-eksploitasi, termasuk pengintaian dan pengambilan kredensial pada sistem yang ditargetkan.

Perusahaan keamanan siber CrowdStrike mengatakan penyusupan itu, yang akhirnya berhasil digagalkan, ditujukan pada “lembaga akademis besar” yang tidak disebutkan namanya. Kelompok yang disponsori negara diyakini telah beroperasi sejak pertengahan 2020 dalam mengejar pengumpulan intelijen dan spionase industri, dengan serangannya terutama ditujukan terhadap perusahaan di sektor telekomunikasi, teknologi, dan pemerintah.

Upaya intrusi mengeksploitasi kelemahan Log4Shell yang baru ditemukan (CVE-2021-44228, skor CVSS: 10.0) untuk mendapatkan akses ke instance rentan dari desktop VMware Horizon dan produk virtualisasi aplikasi, diikuti dengan menjalankan serangkaian perintah jahat yang diatur untuk mengambil ancaman muatan aktor yang dihosting di server jauh.

“Versi modifikasi dari eksploitasi Log4j kemungkinan digunakan selama operasi aktor ancaman,” catat para peneliti, menambahkan itu melibatkan penggunaan eksploitasi yang diterbitkan di GitHub pada 13 Desember 2021.

Perilaku jahat Aquatic Panda lebih dari sekadar melakukan pengintaian terhadap host yang disusupi, dimulai dengan berupaya menghentikan layanan deteksi dan respons titik akhir (EDR) pihak ketiga, sebelum melanjutkan untuk mengambil muatan tahap berikutnya yang dirancang untuk mendapatkan shell terbalik dan pencurian kredensial.

Selengkapnya: The Hacker News

Peretas mencuri lebih dari $4 miliar dalam cryptocurrency tahun ini, berikut daftar lengkap pencurian crypto terbesar pada tahun 2021

by

Decentralized finance (DeFi) mengalami lonjakan pencurian terbesar ​​sektor yang baru dan masih berkembang, menjadikannya target yang menarik bagi pencuri.
Eksploitasi Poly Network, yang menghasilkan lebih dari $610 juta dalam koin kripto yang tersedot, bukan hanya serangan DeFi terbesar tahun ini, tetapi yang terbesar dalam semua sejarah DeFi.

Tahun ini peretas berhasil lolos dengan $4,25 miliar. Itu hampir tiga kali lipat dari tahun 2020, ketika sekitar $ 1,49 miliar aset crypto dicuri. Comparitech mengumpulkan data untuk menunjukkan bahwa pada tahun 2021 terjadi enam dari sepuluh peretasan crypto paling mahal sepanjang masa. cara mereka mencuri crypto tahun ini adalah melalui peretasan protokol keuangan terdesentralisasi (DeFi) dengan itu saja terhitung $ 1,4 miliar dari total dana crypto yang dicuri tahun ini.

Pertumbuhan popularitas token non-fungible (NFT) juga telah mendorong aktivitas baru di mana aktor jahat menemukan cara baru dan inovatif untuk mengelabui orang agar membeli aset digital palsu atau berinvestasi dalam penipuan.

Poly Network $610 juta dicuri pada Agustus 2021
Seorang peretas ‘topi putih’ melakukan peretasan cryptocurrency tunggal terbesar tahun ini, mengklaim telah melakukannya untuk mengekspos lubang keamanan dalam kontrak pintar ‘rantai silang’ yang digunakan oleh perusahaan.

Perusahaan kemudian menangguhkan transaksi dan memperbaiki bug, bahkan ketika bernegosiasi dengan peretas dan pertukaran untuk membekukan cryptocurrency yang dicuri untuk sementara. Seluruh jumlah yang dicuri diambil kembali selama seminggu. Mereka menawarkan pekerjaan dan hadiah $500.000, yang ditolak oleh peretas tetapi kemudian mengeluh karena tidak mendapatkan hadiah.

Poly Network adalah platform keuangan terdesentralisasi (DeFi) yang memungkinkan pengguna untuk meminjamkan, meminjam, dan memperdagangkan mata uang kripto dengan keuntungan. Kontrak pintar dibangun ke dalam token kripto, dengan persyaratan yang dijalankan sendiri yang menentukan apa yang harus dilakukan token dalam keadaan yang berbeda, misalnya, menjual ke entitas X seharga $17,99 jika harga turun di bawah $18.

Platform lintas rantai memungkinkan pengguna untuk bertransaksi di blockchain yang sama sekali berbeda, tetapi teknologinya masih berkembang, menjadikannya target yang menarik untuk diretas. Sejumlah peretasan kripto baru-baru ini menargetkan platform kripto DeFi yang menggunakan teknologi lintas rantai.

BitMart – $196 juta dicuri pada Desember 2021

Perusahaan mengatakan $ 100 juta dari kerugian itu ada di blockchain Ethereum, yang paling sering menjadi sasaran peretasan terbesar tahun ini.

CEO BitMart Sheldon Xia mengumumkan bahwa mereka akan berbicara dengan tim proyek crypto untuk mengidentifikasi solusi, dan menggunakan dana perusahaan sendiri untuk memberi kompensasi kepada pengguna yang terpengaruh.

Dompet panas digunakan oleh pertukaran crypto seperti BitMart, untuk menyimpan bagian paling likuid dari aset digital mereka, untuk transaksi yang lebih cepat atas nama pengguna. Dompet dingin, di sisi lain, menyimpan aset digital secara offline tanpa paparan internet, sehingga kurang rentan terhadap peretas.

Boy X Highspeed (BXH) – $139 juta dicuri pada November 2021

Kunci administrator yang bocor kehilangan BXH sebagian besar kepemilikan mereka di Binance Smart Chain (BSC). Penarikan pada blockchain BSC mereka ditangguhkan pada hari yang sama, dilanjutkan hanya empat minggu kemudian. Penyisiran keamanan mereka memakan waktu seminggu, dengan semua celah keamanan diklaim dapat dihilangkan dalam waktu dua minggu setelah serangan.

CEO mereka dan PeckShield, seorang peneliti keamanan blockchain independen, berspekulasi bahwa eksploitasi ini bisa menjadi ‘pekerjaan orang dalam’. Perusahaan menawarkan hadiah hingga $ 10 juta untuk mengidentifikasi para peretas, meskipun tidak ada pengumuman lebih lanjut mengenai identifikasi.

Vulcan Forged – $135 juta dicuri pada Desember 2021

Peretas membantu diri mereka sendiri ke kunci pribadi dompet crypto dari 96 pengguna, dari total 6501 pada saat itu. Mereka kemudian mencuri 9% dari semua token PYR yang tersedia (4,5 juta PYR), meninggalkan kerugian $135 juta. Pengguna yang terkena dampak telah dijanjikan penggantian dari cadangan perusahaan sendiri.

CEO Jamie Thomson mengatakan mereka akan menggunakan dompet terdesentralisasi, untuk mencegah masalah seperti itu di masa depan. Perusahaan telah memberikan hadiah sebesar $500.000 untuk mengidentifikasi peretas, dan juga berkoordinasi dengan bursa besar untuk mencoba dan mencegah peretas menjual token yang dicuri.

Vulcan Forged menyebut dirinya sebagai studio game GameFi yang membuat game play-to-earn (P2E) seperti Vulcan Verse dan Vulcan Chess, yang beroperasi menggunakan token PYR dan NFT mereka sendiri. Ini menjalankan pasar NFT untuk memungkinkan pemain menguangkan, dan pertukaran terdesentralisasi (DEX) untuk memperdagangkan cryptocurrency. Studio merencanakan peningkatan untuk mata uang PYR, tetapi peretasan menurunkan harganya sebesar 26% menurunkan kapitalisasi pasarnya sebesar 35%.

Cream Finance – $130 juta dicuri pada Oktober 2021

Dalam serangan yang mengeksploitasi fasilitas pinjaman kilatnya, peretas berhasil mencuri semua aset likuid yang dimiliki platform di blockchain Ethereum.

Perusahaan mengeluarkan pernyataan bahwa kerentanan telah ditambal dengan bantuan komunitas, dan bahwa aset blockchain mereka yang lain tidak terpengaruh. Dalam waktu kurang dari sebulan, perusahaan mengumumkan kompensasi untuk pengguna yang terkena dampak dari kantong mereka sendiri, yang didanai oleh alokasi token tim mereka.

KRIM. Finance, yang merupakan platform pinjaman DeFi, melaporkan tiga serangan lain tahun ini – pada bulan September ($18,8 juta), Agustus ($29 juta), dan Februari ($37 juta) – menambah kerugian sebesar $215 juta.

Badger DAO – $120 juta dicuri pada Desember 2021

Peretas mencuri aset berbasis Bitcoin dan Ethereum dari lusinan dompet pengguna, dalam serangan yang direncanakan secara strategis kode berbahaya disuntikkan ke front-end situs web platform hampir sebulan sebelumnya.

PeckShield mengidentifikasi kerugian terbesar 896 Bitcoin dari satu dompet yang bernilai $44 juta dengan harga saat ini. DAO telah menangguhkan aktivitas setelah mengetahui serangan itu, tetapi menyelesaikan penyelidikannya dalam seminggu dan kembali ke operasi normal. Komunitas Badger sedang mempertimbangkan rencana untuk memulihkan dana yang hilang, dan solusi untuk mengganti kerugian.

Liquid Global – $97 juta dicuri pada Agustus 2021

Peretas memperoleh akses ke dompet panas Liquid, menjarah Ether, Bitcoin, XRP, dan 66 mata uang lainnya. Aset berbasis Ethereum menyumbang lebih dari 78% dari kerugian.

Peretas mengalihkan sebagian dari jarahan mereka melalui platform terdesentralisasi seperti UniSwap, sementara aset yang ditransfer ke bursa kripto besar lainnya dibekukan atas permintaan Liquid. Bursa Jepang melanjutkan perdagangan setelah mentransfer dana yang tidak terpengaruh ke dompet dingin, dan meningkatkan keamanan untuk menerapkan brankas yang aman.

Pada akhir Agustus, Liquid mengatakan tidak akan ada dampak pada saldo pengguna. Untuk mengkompensasi pengguna dan menutupi kerugian mereka sendiri, perusahaan mengumpulkan $ 120 juta sebagai pinjaman dari pertukaran crypto FTX.

EasyFi – $80 juta dicuri pada April 2021

Seorang peretas menargetkan perangkat komputasi pendiri untuk mendapatkan kunci adminnya dan mentransfer mata uang ke dirinya sendiri. Kerugian awal adalah $6 juta stablecoin dan EASY senilai $120 juta, token asli dari proyek EasyFi.

Dampaknya pada pengguna terbatas ketika harga token EASY turun 50% dalam skenario likuiditas rendah, sehingga menyulitkan peretas untuk menjual tokennya. Selain itu, token ditingkatkan menjadi ‘EZ 2.0’ empat hari kemudian, membuat kepemilikan peretas tidak berguna. Dalam blognya, pendiri Ankitt Gaur menulis bahwa pengguna yang terkena dampak akan diberi kompensasi, 25% dalam bentuk stablecoin dan 75% sebagai token IOU.

AscendEX – $77,7 juta dicuri pada Desember 2021

Peretas membobol dompet panas AscendEX, pertukaran cryptocurrency yang berbasis di Singapura. Menurut perusahaan keamanan blockchain PeckShield, hampir 77% dari total kerugian terdiri dari aset berdasarkan blockchain Ethereum.

Pertukaran mengkonfirmasi bahwa dompet dingin mereka tidak terpengaruh, dan bahwa setiap pengguna yang terpengaruh akan “dilindungi sepenuhnya.” Layanan penyetoran dan penarikan ditangguhkan untuk peninjauan keamanan, tetapi layanan perdagangan telah dilanjutkan dalam seminggu. Perusahaan mengumumkan pada 23 Desember bahwa penyetoran dan penarikan telah dilanjutkan untuk sebagian besar mata uang utama.

bZx – $55 million stolen in November 2021
Dimulai sebagai serangan phishing sederhana dalam dokumen Word, peretas berhasil mengakses kunci pribadi platform dan ‘meningkatkan’ kontrak pintar untuk mentransfer dana. Sebagian besar kerugian berada di jaringan Polygon dan Binance Smart Chain (BSC), sementara infrastruktur terdesentralisasi mereka mengalami kerugian yang relatif lebih rendah dalam mata uang Ethereum.

platform bZx memberi tahu proyek dan pertukaran crypto lainnya untuk membekukan cryptocurrency yang dicuri. Perusahaan meminta perusahaan keamanan Kaspersky untuk menyelidiki, yang percaya para peretas adalah Grup Lazarus yang memiliki hubungan dengan Korea Utara.

Bahkan saat mereka terus melacak dana dan bekerja dengan lembaga penegak hukum, komunitas telah menyetujui rencana kompensasi untuk membantu mereka yang menderita kerugian akibat peretasan. bZx DAO (organisasi otonom terdesentralisasi) menyebut dirinya sebagai platform DeFi untuk perdagangan margin dan pinjaman.

Selengkapnya : Bussines Insider

Detektor Logam Garrett Walk-Through Dapat Diretas dari Jarak Jauh

by

Sejumlah kelemahan keamanan telah ditemukan dalam komponen jaringan di Detektor Logam Garrett yang memungkinkan penyerang jarak jauh untuk melewati persyaratan otentikasi, merusak konfigurasi detektor logam, dan bahkan mengeksekusi kode arbitrer pada perangkat.

“Seorang penyerang dapat memanipulasi modul ini untuk memantau statistik dari detektor logam dari jarak jauh, seperti apakah alarm telah dipicu atau berapa banyak pengunjung yang telah melewatinya,” kata Cisco Talos “Mereka juga dapat membuat perubahan konfigurasi, seperti mengubah tingkat sensitivitas perangkat, yang berpotensi menimbulkan risiko keamanan bagi pengguna yang mengandalkan detektor logam ini.”

Peneliti keamanan Talos Matt Wiseman telah dikreditkan dengan menemukan dan melaporkan kerentanan ini pada 17 Agustus 2021. Patch telah dirilis oleh vendor pada 13 Desember 2021.

Kekurangannya terletak pada Garrett iC Module, yang memungkinkan pengguna untuk berkomunikasi dengan detektor logam seperti Garrett PD 6500i atau Garrett MZ 6100 menggunakan komputer melalui jaringan, baik kabel maupun nirkabel. Hal ini memungkinkan pelanggan untuk mengontrol dan memantau perangkat dari lokasi yang jauh secara real-time.

Daftar kerentanan keamanan di bawah ini :

  • CVE-2021-21901 (skor CVSS: 9,8), CVE-2021-21903 (skor CVSS: 9,8), CVE-2021-21905, dan CVE-2021-21906 (skor CVSS: 8,2) – Kerentanan buffer overflow berbasis stack yang dapat dipicu dengan mengirimkan paket berbahaya ke perangkat
  • CVE-2021-21902 (skor CVSS: 7.5) – Kerentanan bypass otentikasi yang berasal dari kondisi balapan yang dapat dipicu dengan mengirimkan urutan permintaan
  • CVE-2021-21904 (skor CVSS: 9.1), CVE-2021-21907 (skor CVSS: 4.9), CVE-2021-21908, dan CVE-2021-21909 (skor CVSS: 6.5) – Kerentanan traversal direktori yang dapat dieksploitasi dengan mengirimkan perintah yang dibuat khusus.

Eksploitasi yang berhasil dari kelemahan yang disebutkan di atas dalam iC Module CMA versi 5.0 memungkinkan penyerang untuk membajak sesi pengguna yang diautentikasi, membaca, menulis, atau menghapus file arbitrer pada perangkat, dan lebih buruk lagi, menyebabkan eksekusi kode jarak jauh.

Sumber : The Hacker News

Pengguna LastPass Memperingatkan Kata Sandi Utama Mereka Dikompromikan

by

Banyak pengguna LastPass melaporkan bahwa kata sandi utama mereka telah dikompromikan setelah menerima peringatan email bahwa seseorang mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak dikenal.

Pemberitahuan email juga menyebutkan bahwa upaya login telah diblokir karena dibuat dari lokasi yang tidak dikenal di seluruh dunia.

“Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali,” peringatan login memperingatkan.

“LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Apakah ini kamu?”

Laporan kata sandi master LastPass yang dikompromikan mengalir melalui beberapa situs media sosial dan platform online, termasuk Twitter, Reddit, dan Hacker News (laporan asli dari Greg Sadetsky).

Notifikasi LastPass

Namun, pengguna yang menerima peringatan ini telah menyatakan bahwa kata sandi mereka unik untuk LastPass dan tidak digunakan di tempat lain. BleepingComputer telah bertanya kepada LastPass tentang masalah ini tetapi belum menerima jawaban.

Sementara LastPass tidak berbagi rincian mengenai bagaimana aktor ancaman di balik upaya isian kredensial ini, peneliti keamanan Bob Diachenko mengatakan dia baru-baru ini menemukan ribuan kredensial LastPass saat melalui log malware Redline Stealer.

Pengguna LastPass disarankan untuk mengaktifkan autentikasi multifaktor untuk melindungi akun mereka bahkan jika kata sandi utama mereka dikompromikan.

Dua tahun lalu, pada September 2019, LastPass memperbaiki kerentanan keamanan dalam ekstensi Chrome pengelola kata sandi yang dapat memungkinkan aktor ancaman mencuri kredensial yang terakhir digunakan untuk masuk ke situs.

Selengkapnya: Bleepingcomputer

Malware RedLine Menunjukkan Mengapa Kata Sandi Tidak Boleh Disimpan di Browser

by Leave a Comment

Malware pencuri informasi RedLine menargetkan browser web populer seperti Chrome, Edge, dan Opera, menunjukkan mengapa menyimpan kata sandi Anda di browser adalah ide yang buruk.

Malware ini adalah komoditas pencuri informasi yang dapat dibeli dengan harga sekitar $ 200 di forum kejahatan cyber dan digunakan tanpa memerlukan banyak pengetahuan atau usaha.

Namun, sebuah laporan baru oleh AhnLab ASEC memperingatkan bahwa kenyamanan menggunakan fitur auto-login pada browser web menjadi masalah keamanan besar yang mempengaruhi organisasi dan individu.

Dalam contoh yang disajikan oleh para analis, seorang karyawan jarak jauh kehilangan kredensial akun VPN kepada aktor RedLine Stealer yang menggunakan informasi tersebut untuk meretas jaringan perusahaan tiga bulan kemudian.

Meskipun komputer yang terinfeksi memiliki solusi anti-malware yang diinstal, ia gagal mendeteksi dan menghapus RedLine Stealer.

Malware ini menargetkan file ‘Login Data’ yang ditemukan di semua browser web berbasis Chromium dan merupakan database SQLite di mana nama pengguna dan kata sandi disimpan.

Kredensial yang tersimpan di dalam sebuah file database

Ketika pengguna menolak untuk menyimpan kredensial mereka di browser, sistem manajemen kata sandi masih akan menambahkan entri untuk menunjukkan bahwa situs web tertentu “masuk daftar hitam.”

Sementara aktor ancaman mungkin tidak memiliki kata sandi untuk akun “daftar hitam” ini, tapi hal itu mengindikasi bahwa akun tersebut ada, memungkinkan mereka untuk melakukan isian kredensial atau serangan rekayasa sosial / phishing.

Fitur-fitur RedLine Stealer

Setelah mengumpulkan kredensial yang dicuri, aktor ancaman menggunakannya dalam serangan lebih lanjut atau mencoba memonetisasinya dengan menjualnya di pasar web gelap.

Contoh betapa populernya RedLine bagi peretas adalah munculnya pasar web gelap ‘2easy’, di mana setengah dari semua data yang dijual dicuri menggunakan malware ini.

Kasus lain baru-baru ini dari distribusi RedLine adalah kampanye spamming formulir kontak situs web yang menggunakan file Excel XLL yang mengunduh dan menginstal malware pencurian kata sandi.

Sepertinya RedLine ada di mana-mana sekarang, dan alasan utama di balik ini adalah efektivitasnya dalam mengeksploitasi celah keamanan yang tersedia secara luas yang ditolak oleh browser web modern.

Apa yang harus dilakukan sebagai gantinya

Menggunakan browser web Anda untuk menyimpan kredensial login Anda menggoda dan nyaman, tetapi hal itu berisiko bahkan tanpa infeksi malware.

Dengan demikian, aktor lokal atau jarak jauh dengan akses ke mesin Anda dapat mencuri semua kata sandi Anda dalam hitungan menit.

Sebaliknya, akan lebih baik menggunakan pengelola kata sandi khusus yang menyimpan semuanya di lemari besi terenkripsi dan meminta kata sandi utama untuk membukanya.

Selain itu, Anda harus mengonfigurasi aturan khusus untuk situs web sensitif seperti portal e-banking atau halaman web aset perusahaan, yang memerlukan input kredensial manual.

Akhirnya, aktifkan autentikasi multi-faktor di mana pun ini tersedia, karena langkah tambahan ini dapat menyelamatkan Anda dari insiden pengambilalihan akun bahkan jika kredensial Anda telah dikompromikan.

Sumber: Bleepingcomputer