Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Hacker Semakin Mengklaim Penargetan Sistem OT

by

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Malware Pesanan ‘NapListener’, Sebuah Mimpi Buruk untuk Deteksi Berbasis Jaringan

by

Aktor ancaman menggunakan aset jaringan yang sah dan kode open-source untuk terbang di bawah radar dalam serangan mencuri data menggunakan serangkaian malware kustom yang ditekuk pada penghindaran.

Peneliti mengamati Naplistener dalam bentuk baru yang dapat dieksekusi, dibuat dan diinstal pada jaringan korban sebagai layanan Windows pada 20 Januari. Aktor ancaman menciptakan yang dapat dieksekusi, wmdtc.exe, menggunakan konvensi penamaan yang mirip dengan biner sah yang digunakan oleh tersebut Layanan Koordinator Transaksi Terdistribusi Microsoft.

Fokus pada penghindaran deteksi
Menurut King, Naplistener adalah yang terbaru dari serangkaian jenis malware pesanan baru yang telah diamati oleh para peneliti elastis Ref2924 dalam serangannya yang mendukung fokus khusus pada menghindari deteksi berbasis jaringan. Kesamaan yang dimiliki keluarga malware baru ini yaitu mereka menggunakan aset jaringan yang akrab dan sah untuk menutupi kegiatan mereka.

Sementara kelompok ancaman lain juga mengadopsi pendekatan ini dengan malware pesanan, mereka melakukannya lebih jarang, dan kurang konsisten daripada ref2924. Catatannya menunjukkan bahwa Ref2924 bertaruh berat untuk menghindari deteksi untuk sukses.

Menurut para peneliti, secara khusus NapListener membuat pendengar permintaan HTTP yang dapat memproses permintaan yang masuk dari Internet, membaca data apa pun yang dikirimkan, memecahkan kode dari format Base64, dan menjalankannya dalam memori.

Melampaui deteksi tingkat jaringan
Perusahaan dalam garis silangnya dapat menghindari kompromi oleh kelompok terutama dengan memprioritaskan teknologi deteksi berbasis titik akhir, lebih dikenal sebagai deteksi dan respons titik akhir (EDR), karena REF2024 sangat fokus pada menghindari metode deteksi berbasis jaringan.

Teknologi lain yang dapat digunakan organisasi untuk memerangi malware yang dapat menghindari deteksi berbasis jaringan adalah penyaringan keluar, atau membatasi jenis komunikasi jaringan keluar yang diizinkan.

Selengkapnya: DARKReading

Bug privasi Windows 11 Snipping Tool memperlihatkan konten gambar yang dipangkas

by

Sebuah cacat privasi serius bernama ‘acropalypse’ telah ditemukan mempengaruhi Snipping tool Windows dan Alat Markup Google Pixel.

Cacat ini memungkinkan pemulihan sebagian konten yang telah diedit dari gambar, yang dapat menimbulkan masalah privasi yang signifikan jika gambar tersebut memuat informasi sensitif seperti nomor kartu kredit atau wajah yang dihapus.

Para peneliti telah meluncurkan utilitas pemulihan tangkapan layar online untuk memulihkan gambar yang telah diedit dengan Google Pixel. Selain itu, Software engineer Chris Blume telah mengonfirmasi bahwa kelemahan privasi ‘acropalypse’ juga memengaruhi Alat Snipping Windows 11.

Ketika memotong atau mengedit file dalam Alat Snipping Windows 11, data yang tidak terpakai tidak dipotong dan dapat dipulihkan sebagian. Hal ini telah dikonfirmasi oleh pakar kerentanan.

Meskipun gambar yang dipotong sekarang berisi data yang jauh lebih sedikit daripada aslinya, ukuran file untuk file gambar asli (office-screenshot-original.png) dan file gambar yang dipotong (office-screenshot.png) sama, seperti yang terlihat di bawah.

Original and cropped images have the same file size
Source: BleepingComputer

Spesifikasi format file PNG mempersyaratkan agar file gambar PNG selalu diakhiri dengan potongan data ‘IEND’. Data apa pun yang ditambahkan setelah itu akan diabaikan oleh editor gambar dan penampil.

Sebagai contoh, di bawah ini adalah tangkapan layar asli yang saya ambil dari situs Microsoft. Seperti yang terlihat, file tersebut diakhiri dengan ‘IEND’ dan tidak mengandung data apapun setelah itu.

Potongan IEND di akhir gambar PNG asli
Sumber: BleepingComputer

Namun, menggunakan Snipping tool Windows 11 untuk menimpa gambar asli dengan versi yang dipotong, program tidak memotong data yang tidak digunakan dengan benar, dan tetap ada setelah potongan data IEND.

Data tidak terpotong setelah potongan data IEND
Sumber: BleepingComputer

Dalam penampil gambar, membuka file hanya akan menampilkan gambar yang dipotong, karena apapun setelah IEND pertama akan diabaikan. Namun, data yang tidak dipotong dapat digunakan untuk memulihkan bagian dari gambar asli yang berpotensi mengungkapkan informasi sensitif.

Saat ini, aplikasi pemulihan tangkapan layar acropalypse online tidak berfungsi dengan file Windows. Namun, Buchanan membagikan skrip Python yang dapat digunakan untuk memulihkan file Windows.

Perlu dicatat bahwa tidak semua file PNG terpengaruh oleh kelemahan ini, misalnya PNG yang dioptimalkan. Buchanan menjelaskan bahwa PNG asli disimpan dengan satu blok zlib, sedangkan tangkapan layar sebenarnya disimpan dengan beberapa blok zlib yang diperlukan untuk dieksploitasi.

Jika Anda membuka file PNG yang tidak terpotong di editor gambar seperti Photoshop dan menyimpannya ke file lain, data yang tidak digunakan akan dihapus sehingga tidak dapat dipulihkan lagi.

Alat Snipping di Windows 11 juga melakukan perilaku yang sama dengan file JPG, membiarkan data tidak terpotong jika ditimpa. Buchanan menegaskan bahwa saat ini eksploitasi tidak berfungsi pada file JPG, tetapi masih memungkinkan untuk dilakukan.

Sumber: Bleeping Computer

Pengguna Windows Perlu Segera Memperbarui Outlook

by

Menurut Microsoft, peretas secara aktif mengeksploitasi kerentanan kritis eskalasi hak istimewa (EoP) di Outlook. Pengguna Outlook di Windows perlu memperbarui klien email hari ini untuk menambal kerentanan kritis. Organisasi besar harus berkonsultasi dengan instruksi Microsoft untuk mengurangi ancaman ini dengan cepat.

Kerentanan zero-day CVE-2023-23397 ini diberi peringkat 9,8 dari 10 pada skala CVSS, menandakan bahwa berbahaya dan mudah dieksploitasi. Menurut Microsoft, email yang dibuat khusus secara otomatis memicu eksploit saat diterima oleh Outlook, tanpa interaksi apa pun dari korban.

Peretas dapat memperoleh akses ke jaringan korban untuk serangan atau observasi lebih lanjut melalui hash Net-NTLMv2 korban. Aktor ancaman berbasis di Rusia telah memanfaatkan eksploitasi ini untuk menargetkan organisasi di sektor pemerintahan, transportasi, energi, dan militer di Eropa.

Cara memperbarui Outlook yaitu tekan tab “File”, pilih “Microsoft Account” dari menu pop-out, klik “Update Options”, dan pilih “Update Now”.

Microsoft mencantumkan beberapa metode mitigasi pada daftar CVE-nya untuk mengantisipasi sebagian besar organisasi yang mengalami kesulitan memperbarui semua contoh Outlook. Ditawarkan juga skrip PowerShell yang memungkinkan organisasi melihat apakah mereka telah menjadi sasaran kerentanan ini.

Selengkapnya: reviewgeek

Setelah diretas, data dari raksasa teknologi Australia Atlassian dibuang secara online

by

Kru peretasan yang kurang dikenal bernama SiegedSec memposting data tentang ribuan karyawan Atlassian dan denah lantai untuk dua kantor vendor perangkat lunak Australia.

File karyawan yang diposting online Rabu berisi lebih dari 13.200 entri dan tinjauan sepintas terhadap file tersebut tampaknya menunjukkan beberapa data karyawan saat ini, termasuk nama, alamat email, departemen kerja, dan informasi lainnya. Denah lantai adalah untuk satu lantai kantor perusahaan di San Francisco dan satu lagi untuk kantornya di Sydney, Australia.

“BENAR SEKALI, SiegedSec di sini untuk mengumumkan bahwa kami telah meretas perusahaan perangkat lunak Atlassian,” kata sebuah pesan yang diposting dengan file tersebut. “Perusahaan senilai $44 miliar ini telah dimiliki oleh para peretas berbulu uwu.”

Perwakilan Atlassian awalnya memberi tahu CyberScoop melalui email pada hari Kamis bahwa pada 15 Februari perusahaan mengetahui bahwa data dari Utusan, aplikasi pihak ketiga yang digunakan Atlassian untuk mengoordinasikan sumber daya di kantor, diterbitkan secara online, tetapi bahwa “produk Atlassian dan data pelanggan ” adalah “tidak berisiko”. Perusahaan tersebut kemudian memberi tahu TechCrunch bahwa tinjauan internalnya mengungkapkan bahwa data tersebut diakses dari aplikasi Utusan “menggunakan kredensial karyawan Atlassian yang secara keliru diposting di repositori publik oleh karyawan tersebut.”

Seorang juru bicara Utusan memberi tahu CyberScoop bahwa sistem perusahaan tidak terganggu atau dilanggar. Orang tersebut mengatakan bahwa kedua perusahaan telah berkolaborasi untuk mengidentifikasi sumber kompromi data. “Kami menemukan bukti di log permintaan yang mengonfirmasi bahwa peretas memperoleh kredensial pengguna yang valid dari akun karyawan Atlassian dan menggunakan akses tersebut untuk mengunduh data yang terpengaruh dari aplikasi Envoy. Kami dapat mengonfirmasi bahwa sistem Utusan tidak disusupi atau dilanggar dan tidak ada data pelanggan lain yang diakses.”

Selengkapnya: Cyberscoop

Peretas dapat mengambil alih beberapa ponsel Samsung atau Pixel hanya dengan nomor telepon Anda

by

mereka mengaktifkan eksekusi kode jarak jauh hanya dengan nomor telepon korban. Hanya satu dari eksploitasi paling serius yang memiliki nomor Common Vulnerabilities and Exposures (CVE) yang ditetapkan secara publik, dengan Google menahan sejumlah CVE yang terkait dengan kerentanan ini dalam pengecualian yang jarang terjadi pada protokol pengungkapan bug normal.

Perangkat berikut terpengaruh, menurut Project Zero Google.

  • Samsung; S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 and A04 series;
  • Vivo; S16, S15, S6, X70, X60 and X30 series;
  • Seri perangkat Pixel 6 dan Pixel 7 dari Google; Dan
  • kendaraan apa pun yang menggunakan chipset Exynos Auto T5123.

Bug ini telah diperbaiki dalam pembaruan keamanan bulan Maret, yang sudah dimiliki oleh seri Pixel 7. Namun, seri Pixel 6 belum memilikinya, dan Google mengatakan bahwa pengguna yang menggunakan perangkat yang belum ditambal harus menonaktifkan Panggilan VoLTE dan Wi-Fi.

Adapun eksploitasi utama yang kami miliki informasinya, CVE-2023-24033, deskripsinya hanya mengatakan bahwa chipset modem baseband yang terpengaruh

Empat belas kerentanan lainnya (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, dan sembilan lainnya menunggu CVE) tidak begitu kritis tetapi masih membawa risiko kepada pengguna akhir. Agar eksploitasi berhasil, mereka membutuhkan “operator jaringan seluler jahat atau penyerang dengan akses lokal ke perangkat.”

Untuk pengguna yang menunggu pembaruan dan menggunakan perangkat yang terpengaruh, pastikan untuk menonaktifkan Panggilan VoLTE dan Wi-Fi untuk saat ini. Jika Anda memiliki pembaruan keamanan bulan Maret yang tersedia tetapi belum diperbarui, mungkin sudah waktunya untuk melakukannya.

selengkapnya : xda-developers.com

Badan federal diretas oleh 2 grup berkat cacat yang tidak ditambal selama 4 tahun

by

Berbagai aktor ancaman—salah satunya bekerja atas nama negara-bangsa—mendapatkan akses ke jaringan agen federal AS dengan mengeksploitasi kerentanan berusia empat tahun yang masih belum ditambal, pemerintah AS memperingatkan.

Aktivitas eksploitasi oleh satu kelompok kemungkinan besar dimulai pada Agustus 2021 dan Agustus lalu oleh kelompok lain, menurut sebuah penasehat yang diterbitkan bersama oleh Cybersecurity and Infrastructure Security Agency, FBI, dan Pusat Analisis dan Berbagi Informasi Multi-State. Dari November lalu hingga awal Januari, server menunjukkan tanda-tanda kompromi.

Kedua grup mengeksploitasi kerentanan eksekusi kode yang dilacak sebagai CVE-2019-18935 di alat pengembang yang dikenal sebagai antarmuka pengguna Telerik (UI) untuk ASP.NET AJAX, yang terletak di server web Microsoft Internet Information Services (IIS) agensi. Penasihat itu tidak mengidentifikasi badan tersebut selain mengatakan bahwa itu adalah Badan Cabang Eksekutif Sipil Federal di bawah otoritas CISA.

UI Telerik untuk ASP.NET AJAX dijual oleh perusahaan bernama Progress, yang berkantor pusat di Burlington, Massachusetts, dan Rotterdam di Belanda. Alat ini menggabungkan lebih dari 100 komponen UI yang dapat digunakan pengembang untuk mengurangi waktu yang diperlukan untuk membuat aplikasi Web kustom. Pada akhir 2019, Progress merilis versi 2020.1.114, yang menambal CVE-2019-18935, kerentanan deserialisasi tidak aman yang memungkinkan eksekusi kode dari jarak jauh pada server yang rentan. Kerentanan membawa peringkat keparahan 9,8 dari kemungkinan 10. Pada tahun 2020, NSA memperingatkan bahwa kerentanan sedang dieksploitasi oleh aktor yang disponsori negara China.

“Eksploitasi ini, yang menghasilkan akses interaktif dengan server web, memungkinkan pelaku ancaman berhasil mengeksekusi kode jarak jauh di server web yang rentan,” jelas penasehat hari Kamis. “Meskipun pemindai kerentanan agensi memiliki plugin yang sesuai untuk CVE-2019-18935, ia gagal mendeteksi kerentanan karena perangkat lunak Telerik UI dipasang di jalur file yang biasanya tidak dipindai. Ini mungkin terjadi pada banyak penginstalan perangkat lunak, karena jalur file sangat bervariasi tergantung pada organisasi dan metode penginstalan.”

Selengkapnya: ars TECHNICA

Vulnerability dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya

by

Makalah ini menggambarkan vulnerability dalam beberapa implementasi algoritma hash aman 3 (SHA-3) yang telah dirilis oleh desainernya. vulnerability telah hadir sejak pembaruan putaran akhir Keccak diserahkan ke Kompetisi Fungsi Hash Institute of Standards and Technology (NIST) SHA-3 pada Januari 2011, dan hadir dalam Paket Kode Keccak (XKCP) yang diperluas dari Tim Keccak. Ini mempengaruhi semua proyek perangkat lunak yang telah mengintegrasikan kode ini, seperti bahasa skrip Python dan php hypertext preprocessor (PHP).

vulnerability adalah overflow buffer yang memungkinkan nilai yang dikendalikan penyerang menjadi eksklusif (XORED) ke dalam memori (tanpa batasan nilai yang harus disedot dan bahkan jauh di luar lokasi buffer asli), dengan demikian membuat banyak langkah perlindungan standar terhadap Buffer overflows (mis., Nilai kenari) sama sekali tidak efektif.

Pertama, kami menyediakan skrip Python dan PHP yang menyebabkan kesalahan segmentasi ketika versi rentan penafsir digunakan. Kemudian, kami menunjukkan bagaimana vulnerability ini dapat digunakan untuk membangun preimage dan preimage kedua untuk implementasi, dan kami menyediakan file yang dibangun secara khusus yang, ketika hash, memungkinkan penyerang untuk menjalankan kode sewenang -wenang pada perangkat korban. vulnerability berlaku untuk semua ukuran nilai hash, dan semua sistem operasi Windows, Linux, dan MacOS 64-bit, dan juga dapat memengaruhi algoritma kriptografi yang memerlukan SHA-3 atau variannya, seperti algoritma tanda tangan digital Edwards-Curve (EDDSA) Edward Ketika kurva Edwards448 digunakan. Kami memperkenalkan uji init-update-final (IUFT) untuk mendeteksi vulnerability ini dalam implementasi.

@misc{cryptoeprint:2023/331,
author = {Nicky Mouha and Christopher Celi},
title = {A Vulnerability in Implementations of SHA-3, SHAKE, EdDSA, and Other NIST-Approved Algorithm},
howpublished = {Cryptology ePrint Archive, Paper 2023/331},
year = {2023},
note = {\url{https://eprint.iacr.org/2023/331}},
url = {https://eprint.iacr.org/2023/331}
}

sumber : eprint.iacr.org