Vulnerability

Grup ransomware baru menggunakan zero-day SonicWall untuk menerobos jaringan

April 30, 2021 by Mally

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Sonicwall SMA 100 Series untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 Sonicwall untuk menembus jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian backdoor SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

Ransomware FiveHands yang digunakan dalam serangan UNC2447 pertama kali diamati di alam liar selama Oktober 2020.

Ini juga sangat mirip dengan ransomware HelloKitty, keduanya menulis ulang ransomware DeathRansom.

Selengkapnya: Bleeping Computer

Pemilik GPU Nvidia diperingatkan tentang bug driver yang serius – perbarui sekarang!

April 28, 2021 by Mally

Bagi siapa pun yang memiliki GPU Nvidia, pabrikan kartu grafis merekomendasikan semua orang untuk segera memperbarui driver mereka. Bug ini memengaruhi GPU konsumen dan pelanggan perusahaan.

Bug pertama yang perlu Anda waspadai adalah CVE-2021-1074. Ini dapat memungkinkan penyerang jahat mengganti konten aplikasi dengan file yang disusupi. Bug kedua, CVE-2021-1075, merinci masalah dengan lapisan mode kernel. Bug ini dapat membocorkan informasi sistem, memungkinkan penyerang untuk mengeksekusi kode atau mengunci Anda dari komputer Anda sendiri.

Bug CVE-2021-1076 dan 1077 keduanya memiliki kerentanan di lapisan model kernel.

Bug terakhir diberi peringkat sebagai yang paling parah, tetapi CVE-2021-1078 dapat menyebabkan komputer Anda macet jika kerentanan diserang di driver kernel nvlddmkm.sys.

Kebanyakan orang kemungkinan besar akan memiliki driver grafis yang up-to-date, karena performa game terbaik biasanya ditemukan di driver yang lebih baru, terutama untuk game baru. Namun jika Anda tetap menggunakan driver lama karena alasan tertentu, misalnya kompatibilitas, Anda mungkin ingin mempertimbangkan untuk memperbarui jika bisa.

Selengkapnya: Tom’s Guide

Cellebrite Physical Analyzer tidak lagi tersedia sepenuhnya untuk iPhone setelah posting blog Signal

April 28, 2021 by Mally

Cellebrite Physical Analyzer – alat peretas telepon paling mengganggu yang ditawarkan oleh perusahaan – tidak lagi mendukung iPhone sepenuhnya, menurut dokumen yang dibagikan kepada 9to5mac.

Perusahaan telah berhenti menawarkan penyelaman mendalam ini ke data yang disimpan di iPhone setelah penemuan dan eksploitasi kerentanan oleh Signal, aplikasi perpesanan yang aman.

Signal menemukan beberapa kerentanan keamanan di perangkat lunak Cellebrite, dan dapat menemukan cara untuk menjebak iPhone agar merusak hasil pemindaian menggunakan Physical Analyzer …

Cellebrite menawarkan perangkat keras dan perangkat lunak yang dirancang untuk memungkinkan pengguna masuk ke smartphone, dan mengekstrak data dari mereka. Produk perusahaan tersebut digunakan oleh lembaga penegak hukum di seluruh dunia, termasuk mereka yang berada di beberapa negara bagian yang tidak menyenangkan yang cenderung menggunakannya untuk menindak para pembangkang politik.

Signal berhasil mendapatkan rangkaian perangkat lunak, termasuk modul Physical Analyzer, yang menawarkan penyelaman terdalam ke dalam data yang disimpan di smartphone.

Cellebrite menanggapi dengan memperbarui perangkat lunaknya untuk menutup beberapa lubang keamanan. Namun, tampaknya itu tidak dapat melindungi terhadap metode yang digunakan Signal untuk merusak perangkat lunak Physical Analyzer, karena ia memberi tahu pengguna bahwa aplikasi tidak lagi memungkinkan iPhone untuk dianalisis menggunakan modul paling mengganggu yang tersedia.

Selengkapnya: 9to5mac

Peretasan Cellebrite Signal Sudah Menyebabkan Duka bagi Hukum

April 28, 2021 by Mally

Seorang pengacara pembela Maryland telah memutuskan untuk menantang keyakinan salah satu kliennya setelah baru-baru ini ditemukan bahwa produk pembobol telepon yang digunakan dalam kasus ini, yang diproduksi oleh perusahaan forensik digital Cellebrite, memiliki kelemahan keamanan siber yang parah yang dapat membuatnya rentan terhadap peretasan.

Ramon Rozas, yang telah membuka praktek hukum selama 25 tahun, mengatakan kepada Gizmodo bahwa dia terpaksa mengejar uji coba baru setelah membaca posting blog yang dibagikan secara luas yang ditulis oleh CEO aplikasi obrolan enkripsi Signal, Moxie Marlinspike.

Mengingat fakta bahwa perangkat lunak ekstraksi Cellebrite digunakan oleh lembaga penegak hukum di seluruh dunia, secara alami muncul pertanyaan tentang integritas investigasi yang menggunakan teknologi tersebut untuk mengamankan keyakinan.

Bagi Rozas, kekhawatiran berpusat pada fakta bahwa “bukti Cellebrite sangat diandalkan” untuk menghukum kliennya, yang didakwa terkait dengan perampokan bersenjata.

“Cellebrite telah ada selama beberapa waktu, tetapi saya merasa jaksa dan petugas polisi menjadi jauh lebih nyaman dengannya,” kata Rozas kepada Gizmodo melalui telepon.

Sebelumnya, ekstraksi data hanya digunakan pada jenis kasus tertentu — biasanya pornografi anak atau, terkadang, pelanggaran narkoba. Namun, sekarang, langkah pertama polisi biasanya adalah menemukan semacam bukti yang memberatkan di ponsel tersangka, katanya, terlepas dari jenis kasusnya.

Penggunaan alat-alat semacam itu secara luas berpotensi mengkhawatirkan, mengingat salah satu klaim yang lebih asing yang dibuat di blog Marlinspike: bahwa aplikasi yang rusak pada ponsel yang ditargetkan pada dasarnya dapat menimpa data apa pun yang diekstrak oleh alat Cellebrite — pada dasarnya memungkinkan pihak luar untuk memanipulasi data pada perangkat yang disita.

Selengkapnya: Gizmodo

Bug perangkat lunak memungkinkan malware melewati pertahanan keamanan macOS

April 27, 2021 by Mally

Selama bertahun-tahun, macOS menandai aplikasi yang berpotensi berbahaya yang menyamar sebagai dokumen yang telah diunduh dari internet. Dan jika macOS belum meninjau aplikasi – proses yang disebut Apple sebagai notarization – atau jika tidak mengenali pengembangnya, aplikasi tidak akan diizinkan untuk berjalan tanpa campur tangan pengguna.

Namun peneliti keamanan Cedric Owens mengatakan bug yang dia temukan pada pertengahan Maret melewati pemeriksaan tersebut dan memungkinkan aplikasi jahat untuk berjalan.

Owens memberi tahu TechCrunch bahwa bug tersebut memungkinkannya membuat aplikasi yang berpotensi berbahaya agar terlihat seperti dokumen yang tidak berbahaya, yang saat dibuka akan melewati pertahanan bawaan macOS saat dibuka.

Apple memberi tahu TechCrunch bahwa mereka memperbaiki bug di macOS 11.3. Apple juga menambal versi macOS sebelumnya untuk mencegah penyalahgunaan, dan menerapkan aturan yang diperbarui ke XProtect, mesin anti-malware bawaan macOS, untuk memblokir malware agar tidak mengeksploitasi kerentanan tersebut.

Owens meminta peneliti keamanan Mac Patrick Wardle untuk menyelidiki bagaimana – dan mengapa – bug itu bekerja. Dalam postingan blog teknis hari ini, Wardle menjelaskan bahwa kerentanan dipicu karena bug logika dalam kode yang mendasari macOS.

Dengan pengetahuan tentang cara kerja bug, Wardle meminta perusahaan keamanan Mac Jamf untuk melihat apakah ada bukti bahwa bug telah dieksploitasi sebelum penemuan Owens. Pimpinan deteksi Jamf, Jaron Bradley, mengonfirmasi bahwa sampel keluarga malware Shlayer yang mengeksploitasi bug telah terlihat pada awal Januari, beberapa bulan sebelum penemuan Owens.

Jamf juga menerbitkan blog teknis tentang malware tersebut.

Selengkapnya: Tech Crunch

Peretasan VPN Adalah Bencana Dalam Mode Slow-Motion

April 26, 2021 by Mally

Tahun ini tidak pernah ada kekurangan peretasan blockbuster, mulai dari kehancuran rantai pasokan SolarWinds hingga serangan kilat China terhadap server Microsoft Exchange. Contoh terbaru dari kehancuran VPN — yang kita bicarakan adalah koneksi perusahaan, bukan pengaturan pribadi Anda — adalah yang paling dramatis.

Perusahaan keamanan FireEye minggu ini mengungkapkan bahwa mereka telah menemukan selusin keluarga malware, tersebar di beberapa grup peretasan, berpesta dengan kerentanan di Pulse Secure VPN.

Para korban tersebar di seluruh dunia dan menjangkau target bernilai tinggi: kontraktor pertahanan, lembaga keuangan, dan pemerintah. Para penyerang menggunakan tempat bertengger mereka untuk mencuri kredensial yang sah, meningkatkan peluang mereka untuk mendapatkan akses yang mendalam dan berkelanjutan.

Namun, tambalan untuk memperbaiki kerentanan di jantung serangan tidak akan tersedia hingga bulan depan. Dan bahkan kemudian, itu mungkin tidak memberikan banyak penawar. Perusahaan sering kali lambat dalam memperbarui VPN mereka, sebagian karena waktu henti berarti karyawan tidak dapat menyelesaikan pekerjaannya secara efektif.

Perangkat lunak dari semua jalur memiliki kerentanan, tetapi karena VPN menurut definisi bertindak sebagai saluran informasi yang dimaksudkan untuk menjadi pribadi, bug mereka memiliki implikasi yang serius.

Lebih banyak kekurangan berarti lebih banyak peluang bagi penyerang. Lebih banyak pengguna pada VPN tertentu juga membuatnya semakin sulit untuk menemukan orang jahat, terutama untuk perusahaan multinasional yang besar.

Selengkapnya: Wired

Patchstack Whitepaper: 582 Masalah Keamanan WordPress Ditemukan pada 2020, Lebih Dari 96% Dari Ekstensi Pihak Ketiga

April 23, 2021 by Mally

Patchstack, yang baru-baru ini diganti namanya dari WebARX, merilis whitepaper keamanan 2020-nya.

Laporan tersebut mengidentifikasi total 582 kerentanan keamanan. Namun, hanya 22 masalah yang berasal dari WordPress itu sendiri. Plugin dan tema pihak ketiga menyumbang 96,22% sisanya.

Patchstack adalah perusahaan keamanan yang berfokus pada ekstensi pihak ketiga ke WordPress. Basis data kerentanannya bersifat publik dan tersedia untuk dilihat siapa saja.

Pada kuartal kedua tahun 2020, Patchstack mensurvei hampir 400 pengembang web, freelancer, dan agensi tentang keamanan web. “Lebih dari 70% menjawab bahwa mereka semakin khawatir tentang keamanan situs web mereka, dan alasan utamanya adalah ‘kerentanan di plugin pihak ketiga,’” menurut whitepaper.

“Sekitar 45% responden melihat peningkatan serangan pada situs web yang mereka kelola, dan 25% harus berurusan dengan situs web yang diretas pada bulan sebelum berpartisipasi dalam survei”.

Peringkat teratas, 211 kerentanan yang ditemukan adalah masalah Cross-Site Scripting (XSS), 36,2% dari total.

Kerentanan injeksi menduduki peringkat kedua dengan 70 kasus unik. Itu diikuti oleh 38 masalah Cross-Site Request Forgery (CSRF) dan 29 contoh eksposur data sensitif.

Selengkapnya: WordPress Tavern

Botnet backdoors server Microsoft Exchange, menambang cryptocurrency

April 23, 2021 by Mally

Server Microsoft Exchange yang tidak ditambal sedang ditargetkan oleh botnet Prometei dan ditambahkan ke pasukan penambangan mata uang kripto Monero (XMR) operatornya.

Malware modular ini dapat menginfeksi sistem Windows dan Linux, dan pertama kali terlihat tahun lalu saat menggunakan eksploitasi EternalBlue untuk menyebar ke seluruh jaringan yang disusupi dan memperbudak komputer Windows yang rentan.

Tim Nocturnus Cybereason baru-baru ini menemukan bahwa botnet kemungkinan besar telah aktif selama hampir setengah dekade, menurut artefak Prometei yang dikirimkan ke VirusTotal pada Mei 2016.

Berdasarkan sampel malware baru yang baru-baru ini ditemukan oleh Cybereason selama respons insiden baru-baru ini, botnet juga telah diperbarui untuk mengeksploitasi kerentanan Exchange Server yang ditambal oleh Microsoft pada bulan Maret.

Fokus utama serangan Prometei pada server Exchange adalah untuk menyebarkan muatan cryptomining, mulai menghasilkan uang untuk operatornya, dan menyebar ke perangkat lain di jaringan menggunakan eksploitasi EternalBlue dan BlueKeep, mengambil kredensial, dan modul penyebar SSH atau SQL.

“Ketika penyerang mengendalikan mesin yang terinfeksi, mereka tidak hanya mampu menambang bitcoin dengan mencuri kekuatan pemrosesan, tetapi juga dapat mengekstraks informasi sensitif,” kata Assaf Dahan, direktur senior Cybereason dan kepala penelitian ancaman.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings