News 115 - Naga Cyber Defense

Lebih dari 45.000 server VMware ESXi baru saja mencapai akhir masa pakainya

October 16, 2022 by Søren

Lebih dari 45.000 server VMware ESXi yang diinventarisasi oleh Lansweeper baru saja mencapai akhir masa pakai (EOL), dengan VMware tidak lagi menyediakan pembaruan perangkat lunak dan keamanan kecuali perusahaan membeli kontrak dukungan yang diperpanjang.

Lansweeper mengembangkan manajemen aset dan perangkat lunak penemuan yang memungkinkan pelanggan melacak perangkat keras dan perangkat lunak apa yang mereka jalankan di jaringan mereka.

Mulai 15 Oktober 2022, VMware ESXi 6.5 dan VMware ESXi 6.7 mencapai akhir masa pakainya dan hanya akan menerima dukungan teknis tetapi tidak ada pembaruan keamanan, yang menempatkan perangkat lunak pada risiko kerentanan.

Perusahaan menganalisis data dari 6.000 pelanggan dan menemukan 79.000 server VMware ESXi yang diinstal.

Dari server tersebut, 36,5% (28.835) menjalankan versi 6.7.0, dirilis pada April 2018, dan 21,3% (16.830) berada di versi 6.5.0, dirilis pada November 2016. Secara total, ada 45.654 server VMware ESXi mencapai End of Hidup mulai hari ini

Temuan Lansweeper mengkhawatirkan karena selain 57% yang memasuki periode risiko tinggi, ada juga 15,8% instalasi lain yang menjalankan versi yang lebih lama, mulai dari 3.5.0 hingga 5.5.0, yang mencapai EOL beberapa waktu lalu. .

Singkatnya, saat ini, hanya sekitar satu dari empat server ESXi (26,4%) yang diinventarisasi oleh Lansweeper yang masih didukung dan akan terus menerima pembaruan keamanan reguler hingga 02 April 2025.

Namun, pada kenyataannya, jumlah server VMware yang mencapai EOL hari ini, kemungkinan jauh lebih besar, karena laporan ini hanya didasarkan pada pelanggan Lansweeper.

Selengkapnya: Bleeping Computer

Enkripsi email Microsoft Office 365 dapat mengekspos konten pesan

October 16, 2022 by Søren

Peneliti keamanan di WithSecure, sebelumnya F-Secure Business, menemukan bahwa sebagian atau seluruh isi pesan terenkripsi yang dikirim melalui Microsoft Office 365 dimungkinkan untuk disadap karena penggunaan mode operasi sandi blok yang lemah.

Organisasi menggunakan Enkripsi Pesan Office 365 untuk mengirim atau menerima email, baik eksternal maupun internal, untuk memastikan kerahasiaan konten dari tujuan ke sumber.

Namun, fitur tersebut mengenkripsi data menggunakan mode Buku Kode Elektronik (ECB), yang memungkinkan menyimpulkan pesan teks biasa dalam kondisi tertentu.

Masalah utama dengan ECB adalah bahwa area berulang dalam data plaintext memiliki hasil terenkripsi yang sama ketika kunci yang sama digunakan, sehingga menciptakan sebuah pola.

Masalah ini disorot setelah pelanggaran data besar-besaran Adobe pada tahun 2013 ketika puluhan juta kata sandi bocor dan para peneliti menemukan bahwa perusahaan menggunakan mode ECB untuk mengenkripsi data, sehingga memungkinkan untuk mendapatkan kata sandi teks biasa.

Kelemahan ini kembali disorot pada tahun 2020 ketika ditemukan bahwa aplikasi telekonferensi Zoom yang banyak digunakan menggunakan kunci 128-bit yang sama untuk mengenkripsi semua audio dan video menggunakan algoritma AES dengan mode ECB.

Harry Sintonen dari WithSecure menggarisbawahi bahwa dengan Enkripsi Pesan Office 365, konten pesan terenkripsi tidak dapat diuraikan secara langsung, tetapi informasi struktural tentang pesan tersebut dapat ditangkap.

Penyerang yang dapat mengumpulkan beberapa pesan terenkripsi dapat mencari pola yang dapat menyebabkan bagian-bagian pesan menjadi dapat dibaca secara bertahap tanpa memerlukan kunci enkripsi.

Selengkapnya: Bleeping Computer

Hampir 900 server diretas menggunakan Zimbra zero-day flaw

October 16, 2022 by Søren

Hampir 900 server telah diretas menggunakan kerentanan kritis Zimbra Collaboration Suite (ZCS), yang pada saat itu adalah zero-day tanpa patch selama hampir 1,5 bulan.

Kerentanan yang dilacak sebagai CVE-2022-41352 adalah kelemahan eksekusi kode jarak jauh yang memungkinkan penyerang mengirim email dengan lampiran arsip berbahaya yang menanam web shell di server ZCS sementara, pada saat yang sama, melewati pemeriksaan antivirus.

Menurut perusahaan keamanan siber Kaspersky, berbagai kelompok APT (ancaman persisten lanjutan) secara aktif mengeksploitasi kelemahan tersebut segera setelah dilaporkan di forum Zimbra.

Kaspersky mengatakan kepada BleepingComputer bahwa mereka mendeteksi setidaknya 876 server yang disusupi oleh penyerang canggih yang memanfaatkan kerentanan sebelum dipublikasikan secara luas dan menerima pengenal CVE.

Pekan lalu, laporan Rapid7 memperingatkan tentang eksploitasi aktif CVE-2022-41352 dan mendesak admin untuk menerapkan solusi yang tersedia karena pembaruan keamanan tidak tersedia saat itu.

Pada hari yang sama, bukti konsep (PoC) ditambahkan ke kerangka Metasploit, memungkinkan peretas dengan keterampilan rendah untuk meluncurkan serangan efektif terhadap server yang rentan.

Zimbra telah merilis perbaikan keamanan dengan ZCS versi 9.0.0 P27, mengganti komponen rentan (cpio) dengan Pax dan menghapus bagian lemah yang memungkinkan eksploitasi.

Namun, eksploitasi telah mengambil langkah pada saat itu, dan banyak aktor ancaman sudah mulai meluncurkan serangan oportunistik.

Volexity melaporkan kemarin bahwa analisnya telah mengidentifikasi sekitar 1.600 server ZCS yang mereka yakini telah disusupi oleh pelaku ancaman yang memanfaatkan CVE-2022-41352 untuk menanam webshell.

Selengkapnya: Bleeping Computer

Android dan Chrome mengambil langkah pertama menuju masa depan yang bebas sandi

October 14, 2022 by Eevee

Google membagikan kabar bahwa masa depan tanpa kata sandi baru yang berani sedang dalam perjalanan ke Android dan Chrome. Berkat kunci sandi yang ditandatangani secara kriptografis yang tersimpan di ponsel Anda, Anda akan dapat mengakses layanan favorit dengan aman dan mudah dan semuanya dimulai hari ini.

Inti dari konsep ini adalah gagasan tentang “kunci sandi” catatan digital yang menghubungkan informasi pribadi Anda dengan layanan tertentu, ditandatangani dengan aman melalui rantai kepercayaan, dan disimpan di perangkat seperti telepon Anda.

Dan seperti data lain yang Anda simpan dengan aman di ponsel, Anda dapat mengaksesnya dengan biometrik yang nyaman seperti sidik jari yang jauh lebih mudah dan lebih aman daripada mengetikkan kata sandi.

Android mendapatkan dukungan untuk kunci sandi melalui Pengelola Kata Sandi Google, yang akan membantunya tetap disinkronkan di seluruh perangkat keras Anda ini semua dienkripsi ujung ke ujung, dengan Google yang mengoordinasikan distribusi kunci sandi Anda, Android tidak dapat mengaksesnya dan menggunakannya untuk masuk ke akun Anda.

Dukungan awal sebagian besar dibangun untuk mengakses layanan web, dan selain menggunakan kunci sandi di ponsel Anda untuk merampingkan akses di seluler, Anda juga dapat menggunakannya untuk terhubung di desktop: Chrome di PC Anda dapat menampilkan kode QR untuk layanan, yang kemudian Anda pindai dengan telepon Anda, dan otorisasi kunci sandi. Selanjutnya, Google sedang berupaya memberikan akses pengembang ke API Android untuk dukungan kunci sandi asli, yang akan tiba sekitar akhir tahun ini.

Ada banyak pekerjaan yang harus dilakukan sebelum semua ini terasa mainstream: aplikasi dan situs web perlu diperbarui, pengelola kata sandi pihak ketiga harus bersiap untuk perubahan besar ini, dan pengguna harus dididik tentang interaksi baru ini.

Sumber: Android Police

Perusahaan asuransi Australia membuat sistem offline karena kemungkinan peretasan

October 14, 2022 by Eevee

Salah satu perusahaan asuransi kesehatan swasta terbesar di Australia telah membuat sistem offline menyusul kemungkinan serangan siber, hanya beberapa minggu setelah sebuah perusahaan telekomunikasi besar terjebak dalam salah satu pelanggaran data terburuk di negara itu.

Medibank Group mengatakan pada hari Kamis bahwa pihaknya telah melibatkan pakar keamanan siber dan mengambil langkah-langkah untuk melindungi sistemnya setelah mendeteksi “aktivitas yang tidak biasa di jaringannya”.

Perusahaan asuransi, yang memiliki hampir empat juta pelanggan di Australia, mengatakan belum menemukan bukti bahwa data sensitif telah diakses dalam insiden tersebut.

“Sebagai bagian dari tanggapan kami terhadap insiden ini, Medibank akan mengisolasi dan menghapus akses ke beberapa sistem yang dihadapi pelanggan untuk mengurangi kemungkinan kerusakan sistem atau kehilangan data,” kata perusahaan itu dalam sebuah pernyataan.

CEO Medibank David Koczkar menawarkan permintaan maaf dan mengatakan perusahaan itu “bekerja sepanjang waktu” untuk memahami sifat insiden dan bagaimana pelanggan mungkin terpengaruh.

Insiden itu terjadi kurang dari sebulan setelah Optus, operator telekomunikasi terbesar kedua di Australia, mengumumkan bahwa mereka telah menjadi sasaran serangan siber yang berpotensi membahayakan data pribadi hingga 10 juta pelanggan.

Optus, yang dimiliki oleh Singtel Singapura, dapat menghadapi denda jutaan dolar oleh regulator Australia atas pelanggaran data, yang mencakup nama pelanggan, tanggal lahir, nomor telepon, dan nomor paspor.

Pekan lalu, Singtel mengumumkan bahwa unit Australia lainnya, perusahaan layanan konsultasi TI Dialog, telah mengalami serangan siber yang berpotensi memengaruhi data milik 1.000 karyawan dan mantan karyawan dan kurang dari dua lusin klien.

Sumber: Aljazeera

Spyware ‘Zero-Click’ Muncul sebagai Ancaman Seluler yang Mengancam

October 14, 2022 by Eevee

Pada Juli 2020, iPhone seorang jurnalis Azerbaijan diam-diam menerima perintah untuk membuka aplikasi Apple Music. Tanpa sepengetahuan atau interaksi jurnalis, aplikasi tersebut terhubung ke server jahat dan mengunduh spyware ke ponsel yang tetap berada di sana selama 17 bulan, menguping panggilan telepon dan pesan teks.

Peretasan itu adalah contoh serangan “zero-click” metode menempatkan spyware di ponsel tanpa menipu pengguna untuk melakukan apa pun, seperti mengklik tautan jahat yang dikirim dalam email atau pesan teks. Teknik tersebut digunakan pemerintah untuk menargetkan lawan mereka dalam skala yang lebih besar dan untuk durasi yang lebih lama daripada yang diketahui sebelumnya, menurut penelitian terbaru dari Amnesty International dan Citizen Lab.

Beberapa pemerintah telah menyalahgunakan spyware NSO dikenal sebagai Pegasus untuk menargetkan kritik di lebih dari selusin negara, kata kelompok hak asasi.

NSO telah membantu pemerintah meretas ponsel dengan malware zero-click setidaknya sejak Juli 2017 dan telah menggunakan setidaknya enam eksploitasi zero-click berbeda yang digunakan untuk meretas Apple iOS versi 10 hingga 14 secara diam-diam, menurut penelitian Amnesty dan Citizen Lab, yang dipresentasikan pada konferensi Virus Bulletin di Praha pada 28 September.

Serangan zero-click bekerja dengan memanfaatkan kerentanan keamanan di perangkat Apple, dalam beberapa kasus mengirimkan iMessage yang akan memaksa ponsel untuk terhubung ke situs web berbahaya tanpa keterlibatan pengguna, menurut penelitian. Cacat dieksploitasi di iMessage, podcast Apple dan aplikasi musik, foto Apple dan fitur panggilan Wi-Fi, para peneliti menemukan.

NSO Group juga merancang serangan tanpa klik yang dapat membahayakan ponsel Android dengan mengeksploitasi kelemahan di WhatsApp yang digunakan untuk mengirimkan kode berbahaya ke perangkat. Pada April 2019, WhatsApp memperbaiki kerentanan dengan mengatakan telah digunakan untuk menargetkan lebih dari 1.400 orang selama periode dua bulan dan mengajukan gugatan terhadap NSO Group.

Amnesty dan Citizen Lab mengatakan mereka menemukan bukti yang menunjukkan bahwa NSO telah menggunakan eksploitasi zero-click WhatsApp pada awal Juli 2018, hampir sembilan bulan sebelum diperbaiki, menunjukkan bahwa itu digunakan untuk menargetkan lebih banyak orang daripada 1.400 orang.

Ada indikasi bahwa peneliti keamanan dapat mengganggu operasi NSO Group dan segelintir perusahaan lain yang menjual alat peretasan tanpa klik kepada pemerintah. Pada Juli 2019, sebuah tim di Project Zero Google menemukan kerentanan di iMessage yang dapat digunakan untuk peretasan tanpa klik, yang kemudian diperbaiki oleh Apple.

Penemuan itu tampaknya berdampak pada NSO Group, untuk sementara mengganggu kemampuan pelanggannya untuk menyusup ke beberapa ponsel.

Sumber: Bloomberg

Microsoft menambahkan umpan RSS baru untuk pemberitahuan pembaruan keamanan

October 14, 2022 by Eevee

Microsoft kini telah menambahkan pembaruan yang memungkinkan untuk menerima pemberitahuan tentang pembaruan keamanan baru melalui umpan RSS baru untuk Panduan Pembaruan Keamanan.

Saat Microsoft memperbaiki kerentanan keamanan di salah satu produknya, mereka mengungkapkan detailnya di Panduan Pembaruan Keamanan (SUG).

Biasanya, Microsoft mengungkapkan kerentanan baru dua kali sebulan, sebagian besar adalah Patch Selasa bulanan dan ketika Microsoft memperbaiki kerentanan di Microsoft Edge.

Namun, jika kerentanan baru diungkapkan kepada publik sebelum Microsoft dapat memperbaikinya dan Microsoft percaya bahwa penting bagi pelanggan untuk menyadarinya, mereka akan menambahkan entri baru ke SUG saat merilis saran out-of-band.

Misalnya, bulan lalu, Microsoft menambahkan dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082 ke SUG.

Meskipun bug ini belum menerima pembaruan keamanan apa pun, Microsoft merilis mitigasi yang dapat membantu melindungi server yang terpapar Internet, yang menggambarkan perlunya tetap waspada terhadap masalah keamanan baru.

Sementara pemberitahuan email untuk penambahan Panduan Pembaruan Keamanan, mereka mengharuskan pengguna untuk membuat akun Microsoft untuk menerimanya dan tidak segera dikirim.

Karena itu, banyak pelanggan telah meminta Microsoft untuk menambahkan umpan RSS ke Panduan Pembaruan Keamanan sehingga mereka bisa mendapatkan pemberitahuan segera ketika CVE baru ditambahkan.

URL untuk umpan RSS baru sekarang aktif di https://api.msrc.microsoft.com/update-guide/rss dan juga dibagikan di SUG menggunakan ikon RSS, seperti yang ditunjukkan di bawah ini.

Ikon RSS baru di Panduan Pembaruan Keamanan

Untuk menggunakan fitur RSS feed baru, Anda perlu menginstal pembaca RSS Feed, baik aplikasi desktop, aplikasi seluler, atau ekstensi browser.

Setelah Anda berlangganan umpan, Anda akan secara otomatis menerima pemberitahuan saat Microsoft menambahkan CVE baru ke Panduan Pembaruan Keamanan, membantu Anda tetap waspada terhadap risiko keamanan terbaru.

Setelah Anda berlangganan feed, Anda akan mulai menerima pemberitahuan saat Microsoft menambahkan CVE baru ke Panduan Pembaruan Keamanan, membantu Anda tetap waspada terhadap risiko keamanan terbaru.

Sumber: Bleeping Computer

Bug Kritis di PLC SIMATIC Siemens Dapat Membiarkan Penyerang Mencuri Kunci Kriptografis

October 14, 2022 by Eevee

Kerentanan di Siemens Simatic Programmable Logic Controller (PLC) dapat dieksploitasi untuk mengambil kunci kriptografi pribadi global yang dikodekan secara keras dan mengambil kendali perangkat.

Kerentanan kritis, diberi pengenal CVE-2022-38465, diberi peringkat 9,3 pada skala penilaian CVSS dan telah ditangani oleh Siemens sebagai bagian dari pembaruan keamanan yang dikeluarkan pada 11 Oktober 2022.

Daftar produk dan versi yang terpengaruh ada di bawah –

Keluarga Pengendali Drive SIMATIC (semua versi sebelum 2.9.2)
SIMATIC ET 200SP Open Controller CPU 1515SP PC2, termasuk varian SIPLUS (semua versi sebelum 21.9)
SIMATIC ET 200SP Open Controller CPU 1515SP PC, termasuk varian SIPLUS (semua versi)
Keluarga CPU SIMATIC S7-1200, termasuk varian SIPLUS (semua versi sebelum 4.5.0)
Keluarga CPU SIMATIC S7-1500, termasuk CPU ET200 terkait dan varian SIPLUS (semua versi sebelum V2.9.2)
Pengontrol Perangkat Lunak SIMATIC S7-1500 (semua versi sebelum 21.9), dan SIMATIC S7-PLCSIM Lanjutan (semua versi sebelum 4.0)

Claroty mengatakan bahwa ia bisa mendapatkan hak baca dan tulis ke pengontrol dengan mengeksploitasi kelemahan yang diungkapkan sebelumnya di PLC Siemens (CVE-2020-15782), yang memungkinkan pemulihan kunci pribadi.

Melakukan hal itu tidak hanya akan mengizinkan penyerang untuk menghindari kontrol akses dan mengesampingkan kode asli, tetapi juga mendapatkan kontrol penuh atas setiap PLC per lini produk Siemens yang terpengaruh.

CVE-2022-38465 mencerminkan kelemahan parah lainnya yang diidentifikasi dalam Rockwell Automation PLCs (CVE-2021-22681) tahun lalu dan yang dapat memungkinkan musuh untuk terhubung dari jarak jauh ke pengontrol, dan mengunggah kode berbahaya, mengunduh informasi dari PLC, atau instal firmware baru.

Sebagai solusi dan mitigasi, Siemens merekomendasikan pelanggan untuk menggunakan komunikasi PG/PC dan HMI lama hanya di lingkungan jaringan tepercaya dan akses aman ke Portal TIA dan CPU untuk mencegah koneksi yang tidak sah.

Perusahaan manufaktur industri Jerman juga telah mengambil langkah untuk mengenkripsi komunikasi antara stasiun teknik, PLC, dan panel HMI dengan Transport Layer Security (TLS) di TIA Portal versi 17, sambil memperingatkan bahwa “kemungkinan pelaku jahat menyalahgunakan kunci pribadi global sebagai meningkat.”

Temuan ini merupakan yang terbaru dari serangkaian kelemahan utama yang ditemukan pada perangkat lunak yang digunakan dalam jaringan industri. Awal Juni ini, Claroty merinci lebih dari selusin masalah dalam sistem manajemen jaringan (NMS) Siemens SINEC yang dapat disalahgunakan untuk mendapatkan kemampuan eksekusi kode jarak jauh.

Kemudian pada April 2022, perusahaan membuka dua kerentanan di Rockwell Automation PLCs (CVE-2022-1159 dan CVE-2022-1161) yang dapat dieksploitasi untuk memodifikasi program pengguna dan mengunduh kode berbahaya ke pengontrol.

Sumber: The Hackernews

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings