Zero Day

Google Menemukan Lebih Banyak Android, iOS Zero-days Digunakan untuk Menginstal Spyware

March 30, 2023 by Flamango

Grup Analisis Ancaman Google (TAG) menemukan beberapa rantai eksploit menggunakan Android, iOS, dan Chrome kerentanan zero-day dan n-day untuk menginstal spyware komersial dan aplikasi berbahaya di perangkat target.

Penyerang menargetkan pengguna iOS dan Android dengan rantai eksploitasi terpisah, sebagai bagian dari kampanye pertama yang terlihat pada November 2022.

Penyerang menggunakan pesan teks yang mendorong tautan singkat bit.ly untuk mengarahkan korban ke situs web pengiriman yang sah dari Italia, Malaysia, dan Kazakhstan setelah pertama kali mengirim mereka ke halaman yang memicu eksploitasi yang menyalahgunakan eksekusi kode jarak jauh WebKit iOS zero-day (CVE-2022-42856) dan bug sandbox escape (CVE-2021-30900).

Pada perangkat iOS yang disusupi, pelaku ancaman menjatuhkan muatan yang memungkinkan mereka melacak lokasi korban dan memasang file .IPA.

Ini merupakan bagian dari upaya berkelanjutan untuk mengawasi pasar spyware tentara bayaran dan melacak kerentanan zero-day yang mereka manfaatkan untuk memasang alat mereka pada perangkat rentan hak asasi manusia dan aktivis politik, jurnalis, politisi, dan petinggi lainnya. pengguna risiko di seluruh dunia.

Peneliti Google TAG menautkan kerangka eksploit yang Heliconia dan menargetkan kerentanan Chrome, Firefox, dan Microsoft Defender ke perusahaan perangkat lunak Variston IT Spanish pada November 2022.

Kemudian pada Juni 2022, beberapa Penyedia Layanan Internet (ISP) membantu vendor spyware Italia, RCS Labs, untuk menginfeksi perangkat pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial pada Juni

Selengkapnya: BleepingComputer

Procter & Gamble mengonfirmasi pencurian data melalui GoAnywhere zero-day

March 29, 2023 by Coffee Bean

“P&G dapat mengonfirmasi bahwa itu adalah salah satu dari banyak perusahaan yang terkena dampak insiden GoAnywhere Fortra. Sebagai bagian dari insiden ini, pihak ketiga yang tidak berwenang memperoleh beberapa informasi tentang karyawan P&G,” kata Procter & Gamble kepada BleepingComputer.

“Data yang diperoleh pihak yang tidak berwenang tidak mencakup informasi seperti nomor Jaminan Sosial atau nomor KTP, detail kartu kredit, atau informasi rekening bank.”

P&G mengatakan tidak memiliki bukti bahwa pelanggaran data ini memengaruhi data pelanggan dan berhenti menggunakan layanan berbagi file aman GoAnywhere Fortra setelah menemukan insiden tersebut.

Clop mengklaim mencuri file dari lebih dari 130 organisasi
Geng ransomware Clop sebelumnya memberi tahu Bleeping Computer bahwa mereka mengeksploitasi kerentanan CVE-2023-0669 GoAnywhere sebagai zero-day untuk menembus dan mencuri data dari server penyimpanan aman lebih dari 130 organisasi.

Mereka diduga mencuri data selama sepuluh hari setelah melanggar server yang terpapar Internet yang rentan terhadap eksploitasi yang menargetkan bug ini.

Pelaku ancaman juga mengklaim bahwa mereka hanya mencuri dokumen yang disimpan di platform berbagi file korban yang disusupi, meskipun mereka juga dapat dengan mudah dipindahkan secara lateral melalui jaringan mereka untuk menyebarkan muatan ransomware.

Clop mulai secara terbuka memeras korban serangan GoAnywhere pada 10 Maret ketika menambahkan tujuh perusahaan ke situs kebocoran datanya.

Sejauh ini, daftar korban yang mengakui pelanggaran GoAnywhere dan bahwa Clop memeras mereka juga termasuk raksasa kesehatan Community Health Systems (CHS), platform fintech Hatch Bank, perusahaan keamanan siber Rubrik, Hitachi Energy, peritel merek mewah Saks Fifth Avenue, dan Kota Toronto, Kanada.

Dalam catatan tebusan yang dikirim ke para korban dan dilihat oleh BleepingComputer, geng ransomware memperkenalkan diri mereka sebagai “kelompok peretas Clop”, memperingatkan para korban bahwa mereka telah mencuri dokumen sensitif, yang akan dipublikasikan secara online di situs kebocoran Clop dan dijual di pasar gelap. jika korban tidak mau bernegosiasi.

selengkapnya : bleepingcomputer

Windows 11, Tesla, Ubuntu, dan macOS diretas di Pwn2Own 2023

March 25, 2023 by Coffee Bean

Pada hari pertama Pwn2Own Vancouver 2023, peneliti keamanan berhasil mendemonstrasikan eksploitasi Tesla Model 3, Windows 11, dan macOS zero-day dan rantai eksploitasi untuk memenangkan $375.000 dan Tesla Model 3.

Yang pertama jatuh adalah Adobe Reader dalam kategori aplikasi perusahaan setelah Abdul Aziz Hariri dari Haboob SA (@abdhariri) menggunakan rantai eksploitasi yang menargetkan rantai logika 6-bug yang menyalahgunakan beberapa tambalan gagal yang lolos dari kotak pasir dan melewati daftar API yang dilarang di macOS untuk dapatkan $50.000.

Sepanjang kontes Pwn2Own Vancouver 2023, peneliti keamanan akan menargetkan produk dalam aplikasi perusahaan, komunikasi perusahaan, eskalasi hak istimewa (EoP) lokal, server, virtualisasi, dan kategori otomotif.

Pada hari kedua, pesaing Pwn2Own akan mendemonstrasikan eksploitasi zero-day yang menargetkan Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root, dan Desktop Ubuntu.

Pada hari terakhir kontes, peneliti keamanan akan menetapkan target mereka lagi di Desktop Ubuntu dan mencoba meretas Microsoft Teams, Windows 11, dan VMware Workstation.

Antara 22 Maret dan 24 Maret, kontestan dapat memperoleh $1.080.000 dalam bentuk tunai dan hadiah, termasuk mobil Tesla Model 3. Penghargaan tertinggi untuk meretas Tesla sekarang adalah $150.000, dan mobil itu sendiri.

Setelah kerentanan zero-day didemonstrasikan dan diungkapkan selama Pwn2Own, vendor memiliki waktu 90 hari untuk membuat dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan sebelum Zero Day Initiative dari Trend Micro mengungkapkannya secara publik.

selengkapnya : bleepingcomputer

Hacker Menguras ATM Bitcoin Sebesar $1,5 Juta dengan Mengeksploitasi Bug Zero-Day

March 23, 2023 by Flamango

Hacker meninggalkan pelanggan dalam bahaya kerugian yang tidak dapat dikembalikan, produsen kios mengungkapkannya.

Pencurian menargetkan ATM yang dijual oleh General Bytes, perusahaan dengan banyak lokasi di seluruh dunia. BATM atau ATM Bitcoin dapat dipasang di toserba dan bisnis lain untuk memungkinkan orang menukar bitcoin dengan mata uang lain dan sebaliknya. Pelanggan menghubungkan BATM ke server aplikasi crypto (CAS) yang dapat mereka kelola atau, hingga sekarang, yang dapat dikelola oleh General Bytes untuk mereka.

BATM menawarkan opsi yang memungkinkan pelanggan mengunggah video dari terminal ke CAS menggunakan mekanisme yang dikenal sebagai antarmuka server master.

Aktor ancaman tak dikenal mengeksploitasi kerentanan yang sebelumnya tidak diketahui, memungkinkannya menggunakan antarmuka ini untuk mengunggah dan menjalankan aplikasi Java berbahaya untuk melakukan pencurian. Kemudian ia menguras berbagai dompet panas sekitar $1,5 juta Bitcoin.

General Bytes menambal kerentanan 15 jam setelah mempelajarinya, tetapi karena cara kerja cryptocurrency, kerugian tidak dapat dipulihkan.

Pejabat General Bytes menulis bahwa seluruh tim bekerja keras untuk mengumpulkan semua data terkait pelanggaran keamanan dan terus bekerja menyelesaikan semua kasus untuk membantu klien kembali online dan terus mengoperasikan ATM mereka sesegera mungkin.

Ditulis juga permohonan maaf atas apa yang terjadi dan akan meninjau semua prosedur keamanan, dan saat ini sedang diupayakan untuk menjaga pelanggan yang terdampak tetap bertahan.

Praktisi keamanan telah lama menyarankan orang untuk menyimpan dana di dompet dingin yang tidak dapat diakses langsung ke Internet. Sayangnya, BATM dan jenis ATM cryptocurrency lainnya umumnya tidak dapat mengikuti praktik ini, menandakan bahwa BATM kemungkinan tetap menjadi target utama para hacker.

Selengkapnya: arsTECHNICA

Apple Merilis Perbaikan Baru untuk iPhone zero-day yang Dieksploitasi oleh Hacker

February 14, 2023 by Flamango

Apple pada hari Senin merilis versi baru sistem operasi iPhone dan iPad untuk memperbaiki kerentanan yang dieksploitasi oleh hacker, yang berarti mereka memanfaatkannya untuk meretas perangkat Apple.

Di halaman pembaruan keamanan, Apple menulis bahwa menyadari laporan jika masalah ini mungkin telah dieksploitasi secara aktif. Ini adalah bahasa yang digunakan Apple saat seseorang memberitahu perusahaan bahwa mereka telah mengamati hacker mengeksploitasi bug terhadap target di dunia nyata, berlawanan dengan kerentanan yang ditemukan oleh peneliti di lingkungan yang terkendali.

Juru bicara Apple, Scott Radcliffe, mengatakan bahwa perusahaan tidak menambahkan apa pun selain dari apa yang ada di catatan rilis.

Bug terbaru ini ada di WebKit, mesin browser Apple yang digunakan di Safari, dan secara historis merupakan target populer bagi hacker, karena dapat membuka akses ke data perangkat lainnya.

Motherboard melaporkan bahwa hanya dalam empat bulan pertama tahun itu, Apple telah menambal tujuh bug yang dieksploitasi secara liar pada tahun 2021. Sejak itu, banyak hal telah membaik.

Hitungan kerentanan TechCrunch sejak Januari tahun lalu, menunjukkan sembilan bug di iOS yang mungkin telah dieksploitasi secara aktif.

Kemungkinan rata-rata pengguna iPhone akan menjadi sasaran zero-day seperti ini sangat kecil, tetapi ponsel harus tetap harus diperbarui.

Selengkapnya: TechCrunch+

Eksploitasi dirilis untuk GoAnywhere MFT Zero-day yang Dieksploitasi Secara Aktif

February 8, 2023 by Coffee Bean

Kode eksploit telah dirilis untuk kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi konsol administrator MFT GoAnywhere yang terpapar Internet.

GoAnywhere MFT adalah alat transfer file berbasis web dan terkelola yang dirancang untuk membantu organisasi mentransfer file secara aman dengan mitra dan menyimpan log audit siapa yang mengakses file bersama.

Pengembangnya adalah Fortra (sebelumnya dikenal sebagai HelpSystems), pakaian di balik alat emulasi ancaman Cobalt Strike yang banyak disalahgunakan.

Fortra mengatakan bahwa “vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam banyak kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di cloud lingkungan, seperti Azure atau AWS).”

Namun, pemindaian Shodan menunjukkan bahwa hampir 1.000 instans GoAnywhere terekspos di Internet, meskipun lebih dari 140 berada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).

Untuk menonaktifkan server lisensi, admin harus mengomentari atau menghapus servlet dan konfigurasi pemetaan servlet untuk Servlet Respons Lisensi di file web.xml untuk menonaktifkan titik akhir yang rentan. Restart diperlukan untuk menerapkan konfigurasi baru.

“Ini termasuk kata sandi dan kunci yang digunakan untuk mengakses sistem eksternal apa pun yang terintegrasi dengan GoAnywhere.

“Pastikan bahwa semua kredensial telah dicabut dari sistem eksternal tersebut dan tinjau log akses relevan yang terkait dengan sistem tersebut. Ini juga termasuk kata sandi dan kunci yang digunakan untuk mengenkripsi file di dalam sistem.”

Fortra juga merekomendasikan untuk mengambil langkah-langkah berikut setelah mitigasi di lingkungan dengan kecurigaan atau bukti adanya serangan:

Rotate Master Encryption Key.
Reset credentials – keys and/or passwords – for all external trading partners/systems.
Review audit logs dan delete semua suspicious admin and/or web user accounts
kontak support via the portal https://my.goanywhere.com/, email goanywhere.support@helpsystems.com, atau telephone 402-944-4242 for further assistance.

sumber : bleepingcomputer

Peneliti Menjatuhkan Lexmark RCE Zero-day Daripada Menjual Vuln ‘for peanuts’

February 2, 2023 by Coffee Bean

Seorang peneliti keamanan menghentikan rantai kerentanan eksekusi kode jarak jauh (RCE) zero-day yang memengaruhi printer Lexmark setelah mengklaim bahwa hadiah pengungkapan yang ditawarkan kepadanya “menggelikan”.

Peneliti independen Peter Geissler (@bl4sty) mengatakan bahwa pengungkapan bug secara publik, cacat zero-day pada saat rilis tetapi sekarang ditambal, lebih disukai daripada laporan yang dijual “untuk kacang”.

Dalam penasihat keamanan yang dirilis pada 23 Januari, Lexmark mengatakan masalah tersebut, dilacak sebagai CVE-2023-23560 (CVSSv3 9.0) dan dirilis di bawah satu penugasan CVE, memengaruhi lebih dari 100 model tetapi kini telah ditambal.

Perusahaan mengatakan tidak ada bukti penggunaan berbahaya di alam liar. Ketika didekati untuk memberikan komentar, Lexmark berkata: “Lexmark mengetahui detail kerentanan ini ketika diungkapkan kepada publik. Kami telah menyediakan tambalan kepada pelanggan kami.

Menurut peneliti, Lexmark tidak diberi tahu sebelum rilis zero-day karena dua alasan.

Pertama, Geissler ingin menyoroti bagaimana kontes Pwn2Own “rusak” dalam beberapa hal, seperti yang ditunjukkan saat hadiah uang rendah ditawarkan untuk “sesuatu yang berpotensi berdampak besar” – seperti rantai eksploit yang dapat membahayakan lebih dari 100 model printer.

Lebih lanjut, dia mengatakan bahwa proses keterbukaan informasi seringkali bertele-tele dan berbelit-belit.

selengkapnya : portswigger.net

Tim Merah NSA akan Menyerang Penyedia JWCC untuk Menguji Keamanan Tanpa Kepercayaan

January 21, 2023 by Coffee Bean

WASHINGTON – Tidak ada kepercayaan, tetapi verifikasi: Itulah strategi yang sedang dicoba Pentagon untuk penyedia cloud sektor swasta yang baru

Mulai musin semi ini, peretas tim merah dari National Security Agency – dan mungkin juga tim merah angkatan bersenjata – akan meluncurkan serangkaian serangan selama berbulan-bulan terhadap sistem keamanan tanpa kepercayaan di cloud yang dijalankan oleh Amazon Web Services, Google, Microsoft dan Oracle, menurut kepala kantor tanpa kepercayaan Departemen Pertahanan.

Penting untuk dipahami bahwa ini adalah permintaan, bukan mandat, dan bahwa kepatuhan terhadap standar tanpa kepercayaan Resnick bukanlah persyaratan dari kontrak JWCC itu sendiri. Sebaliknya, ini adalah eksperimen untuk melihat seberapa cepat CSP komersial kelas atas dapat menerapkan standar tersebut, yang ditetapkan oleh Strategi Zero Trust [PDF] Pentagon.

setidaknya ke level “Target” dasar, yang membutuhkan 91 perlindungan khusus. Satu atau lebih dari empat vendor mungkin mencapai tingkat “Lanjutan” yang lebih menuntut, yang membutuhkan tambahan 61.

DoD Information ENterprise - Zero Trust Guidance — Tinjauan tentang Strategi Zero Trust Pentagon 2022 (grafik DoD CIO)

Tujuannya adalah untuk memberikan banyak pilihan kepada angkatan bersenjata, badan pertahanan dan organisasi DoD lainnya, bukan jaket pengekang, kata Resnick. Beberapa fungsi mission-critical mungkin tidak akan pernah bisa dipindahkan ke cloud sama sekali, katanya. Dalam kasus tersebut, perlindungan zero-trust harus dicangkokkan ke sistem on-premise yang ada, sebuah proses yang melelahkan yang diharapkan Resnick akan memakan waktu hingga 2027. “Itulah mengapa kami memiliki rencana lima tahun,” katanya.

selengkapnya : breakingdefense

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zero Day

Cookies Settings