Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

RPKI tidak aman – Mekanisme keamanan Internet rusak

by

Menurut pakar keamanan dari ATHENE Jerman, Pusat Riset Nasional untuk Keamanan Siber Terapan, mekanisme keamanan internet yang disebut Resource Public Key Infrastructure (RPKI), yang dimaksudkan untuk melindungi routing lalu lintas data, rusak.

Internet adalah jaringan dari jaringan yang terhubung. Jaringan ini berkomunikasi menggunakan Border Gateway Protocol (BGP) untuk akhirnya membangun routing map internet, sehingga ketika Anda mencoba menyambung ke sesuatu, paket data Anda dikirim melalui pipa yang tepat ke tempat yang tepat.

Secara spesifik, internet terdiri dari jaringan yang disebut sistem otonom/autonomous systems (AS) yang mengiklankan prefix alamat IP mereka melalui router ke jaringan tetangga menggunakan BGP, untuk akhirnya membangun peta perutean ini (routing map internet). AS berbahaya dapat berbohong kepada tetangga mereka, mengklaim prefix alamat IP yang tidak mereka miliki.

RPKI ditujukan untuk mencegah pembajakan prefix dengan mengikat alamat IP ke AS menggunakan tanda tangan digital yang disebut ROA (Route Origin Authorizations). Hanya sekitar 40 persen dari semua blok alamat IP yang memiliki sertifikat RPKI dan hanya sekitar 27 persen yang memverifikasinya, menurut ATHENE.

Tetapi ketika digunakan, RPKI menyediakan AS dengan kemampuan untuk memvalidasi iklan prefix IP dari AS lainnya. Menggunakan ROV (Route Origin Validation), router BGP dapat mengklasifikasikan rute sebagai valid atau tidak valid. Tetapi ketika ROV tidak tersedia dari titik publikasi jaringan, router BGP menganggap rute tidak diketahui dan RPKI tidak digunakan untuk keputusan perutean.

Pilihan desain ini – memprioritaskan jangkauan jaringan daripada keamanan – mewakili sumber kerentanan, kata para peneliti ATHENE.

Selengkapnya: The Register

Tidak ada perbaikan yang terlihat untuk celah yang mengganggu pertahanan utama Windows selama bertahun-tahun

by

Pekan lalu, peneliti dari perusahaan keamanan ESET mengungkapkan bahwa sekitar setahun yang lalu, Lazarus, sebuah kelompok peretasan yang didukung oleh pemerintah Korea Utara, mengeksploitasi celah selebar satu mil tahun lalu yang ada di driver signature enforcement (DSE) Microsoft sejak awal.

Dokumen berbahaya yang Lazarus mampu mengelabui target agar dibuka mampu mendapatkan kontrol administratif dari komputer target, tetapi perlindungan kernel modern Windows menghadirkan hambatan besar bagi Lazarus untuk mencapai tujuannya menyerbu kernel.

Jadi Lazarus memilih salah satu langkah tertua dalam buku pedoman eksploitasi Windows — teknik yang dikenal sebagai BYOVD, kependekan dari membawa driver Anda sendiri yang rentan.

Alih-alih menemukan dan mengembangkan beberapa zero-day yang eksotis untuk menembus perlindungan kernel Windows, anggota Lazarus hanya menggunakan akses admin yang sudah mereka miliki untuk menginstal driver yang telah ditandatangani secara digital oleh Dell sebelum ditemukannya kerentanan kritis tahun lalu yang dapat dieksploitasi untuk mendapatkan hak istimewa kernel.

Peneliti ESET Peter Kálnai mengatakan Lazarus mengirim dua target—satu karyawan perusahaan kedirgantaraan di Belanda dan yang lainnya seorang jurnalis politik di Belgia—dokumen Microsoft Word yang telah dijebak dengan kode berbahaya yang menginfeksi komputer yang membukanya.

Tujuan peretas adalah memasang pintu belakang canggih yang disebut Blindingcan, tetapi untuk mewujudkannya, pertama-tama mereka harus menonaktifkan berbagai perlindungan Windows. Jalur yang paling sedikit resistensinya, dalam hal ini, hanyalah menginstal dbutil_2_3.sys, driver Dell buggy, yang bertanggung jawab untuk memperbarui firmware Dell melalui Utilitas Bios kustom Dell.

Selengkapnya: ars TECHNICA

Cacat Zimbra yang belum ditambal sedang diserang memungkinkan peretas untuk melakukan backdoor server

by

Kerentanan eksekusi kode yang tidak ditambal dalam perangkat lunak Kolaborasi Zimbra sedang dieksploitasi secara aktif oleh penyerang yang menggunakan serangan ke server pintu belakang.

Serangan dimulai paling lambat 7 September, ketika seorang pelanggan Zimbra melaporkan beberapa hari kemudian bahwa server yang menjalankan mesin penyaringan spam Amavis perusahaan memproses email yang berisi lampiran berbahaya.

Dalam hitungan detik, pemindai menyalin file Java berbahaya ke server dan kemudian menjalankannya. Dengan itu, penyerang telah menginstal web shell, yang kemudian dapat mereka gunakan untuk masuk dan mengambil kendali server.

Zimbra belum merilis tambalan yang memperbaiki kerentanan. Sebagai gantinya, perusahaan menerbitkan panduan ini yang menyarankan pelanggan untuk memastikan pengarsipan file yang dikenal sebagai pax diinstal.

Kecuali pax diinstal, Amavis memproses lampiran yang masuk dengan cpio, pengarsip alternatif yang mengetahui kerentanan yang tidak pernah diperbaiki.

“Jika paket pax tidak diinstal, Amavis akan kembali menggunakan cpio,” tulis karyawan Zimbra Barry de Graaff. “Sayangnya fall-back diimplementasikan dengan buruk (oleh Amavis) dan akan memungkinkan penyerang yang tidak diautentikasi untuk membuat dan menimpa file di server Zimbra, termasuk webroot Zimbra.”

Posting selanjutnya menjelaskan cara menginstal pax. Utilitas ini dimuat secara default pada distribusi Ubuntu di Linux, tetapi harus diinstal secara manual di sebagian besar distribusi lainnya. Kerentanan Zimbra dilacak sebagai CVE-2022-41352.

Selengkapnya: ars TECHNICA

Facebook memperingatkan 1 juta pengguna tentang nama pengguna dan kata sandi yang dicuri

by

Meta Platforms mengatakan akan memberi tahu sekitar 1 juta pengguna Facebook bahwa kredensial akun mereka mungkin telah disusupi karena masalah keamanan dengan aplikasi yang diunduh dari toko perangkat lunak Apple dan Alphabet.

Perusahaan mengumumkan pada hari Jumat bahwa mereka mengidentifikasi lebih dari 400 aplikasi Android dan iOS berbahaya tahun ini yang menargetkan pengguna internet untuk mencuri informasi login mereka. Meta mengatakan itu memberi tahu Apple dan Google tentang masalah ini untuk memfasilitasi penghapusan aplikasi.

Aplikasi tersebut bekerja dengan menyamar sebagai editor foto, game seluler, atau pelacak kesehatan, kata Facebook.

Apple mengatakan 45 dari 400 aplikasi bermasalah ada di App Store dan telah dihapus. Google menghapus semua aplikasi berbahaya yang dimaksud, kata seorang juru bicara.

“Penjahat dunia maya tahu betapa populernya jenis aplikasi ini, dan mereka akan menggunakan tema serupa untuk mengelabui orang dan mencuri akun dan informasi mereka,” kata David Agranovich, direktur gangguan ancaman global di Meta. “Jika sebuah aplikasi menjanjikan sesuatu yang terlalu bagus untuk menjadi kenyataan, seperti fitur yang belum dirilis untuk platform lain atau situs media sosial, kemungkinan besar aplikasi tersebut memiliki motif tersembunyi.”

Penipuan tipikal akan terungkap, misalnya, setelah pengguna mengunduh salah satu aplikasi berbahaya. Aplikasi akan membutuhkan login Facebook untuk bekerja di luar fungsi dasar, sehingga menipu pengguna untuk memberikan nama pengguna dan kata sandi mereka. Pengguna kemudian dapat, misalnya, mengunggah foto yang diedit ke akun Facebook mereka. Namun dalam prosesnya, mereka tanpa sadar mengkompromikan akun mereka dengan memberi penulis akses aplikasi.

Selengkapnya: Seattle Times

Fortinet Memperingatkan Cacat Bypass Otentikasi Baru yang Mempengaruhi FortiGate dan FortiProxy

by

Fortinet secara pribadi telah memperingatkan pelanggannya tentang kelemahan keamanan yang memengaruhi firewall FortiGate dan proksi web FortiProxy yang berpotensi memungkinkan penyerang melakukan tindakan tidak sah pada perangkat yang rentan.

Dilacak sebagai CVE-2022-40684 (skor CVSS: 9,6), kelemahan kritis berkaitan dengan kerentanan bypass otentikasi yang dapat mengizinkan musuh yang tidak diautentikasi untuk melakukan operasi sewenang-wenang pada antarmuka administratif melalui permintaan HTTP(S) yang dibuat khusus.
Keamanan cyber

Masalah ini berdampak pada versi berikut, dan telah diatasi di FortiOS versi 7.0.7 dan 7.2.2, dan FortiProxy versi 7.0.7 dan 7.2.1 dirilis minggu ini:

  • FortiOS – Dari 7.0.0 hingga 7.0.6 dan dari 7.2.0 hingga 7.2.1
  • FortiProxy – Dari 7.0.0 hingga 7.0.6 dan 7.2.0

“Karena kemampuan untuk mengeksploitasi masalah ini dari jarak jauh, Fortinet sangat menyarankan semua pelanggan dengan versi rentan untuk melakukan peningkatan segera,” perusahaan memperingatkan dalam peringatan yang dibagikan oleh peneliti keamanan yang menggunakan alias Gitworm di Twitter.

Sebagai solusi sementara, perusahaan merekomendasikan pengguna untuk menonaktifkan Administrasi HTTPS yang terhubung ke internet hingga pemutakhiran dapat dilakukan, atau sebagai alternatif, menerapkan kebijakan firewall untuk “lalu lintas masuk lokal.”

Ketika dihubungi untuk memberikan komentar, Fortinet mengakui nasihat itu dan mencatat bahwa itu menunda pemberitahuan publik sampai pelanggannya menerapkan perbaikan.

“Komunikasi yang tepat waktu dan berkelanjutan dengan pelanggan kami adalah komponen kunci dalam upaya kami untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Komunikasi pelanggan sering kali merinci panduan terbaru dan merekomendasikan langkah selanjutnya untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya.”

Selengkapnya: The Hacker News

Pertukaran crypto terbesar di dunia diretas dengan kemungkinan kerugian $500 juta

by

Binance, pertukaran mata uang kripto terbesar di dunia, mungkin telah kehilangan setengah miliar dolar setelah meretas jaringannya.

Perusahaan untuk sementara menangguhkan transaksi dan transfer dana setelah mendeteksi eksploitasi antara dua blockchain, sebuah metode pencurian digital yang telah digunakan baru-baru ini di setidaknya satu peretasan besar lainnya.

“Masalahnya sudah tertangani sekarang. Dana Anda aman. Kami mohon maaf atas ketidaknyamanan ini dan akan memberikan pembaruan lebih lanjut,” kata CEO Binance, Changpeng Zhao, dalam sebuah tweet.

Binance awalnya mengatakan bahwa dana $100 juta hingga $110 juta telah diambil. Sejak itu, CNBC melaporkan bahwa perusahaan crypto telah kehilangan $570 juta.

Dalam sebuah posting blog pada hari Jumat, Binance mengatakan sedang bekerja untuk mengunci semua area kerentanan. “Pertama, kami ingin meminta maaf kepada masyarakat atas eksploitasi yang terjadi. Kami memiliki ini,” tulis perusahaan itu. “Berkat bantuan semua pakar keamanan, proyek, dan validator, sebagian besar dana tetap terkendali.”

Tahun lalu Binance mengatakan bahwa sudah waktunya bagi regulator global untuk menetapkan aturan untuk pasar kripto. Perusahaan mengakui pada saat itu bahwa platform crypto memiliki kewajiban untuk melindungi pengguna dan menerapkan proses untuk mencegah kejahatan keuangan, bersama dengan tanggung jawab untuk bekerja dengan regulator dan pembuat kebijakan untuk menetapkan standar agar pengguna tetap aman.

Selengkapnya: The Guardian

Peretas Menargetkan Pembeli Rumah yang Bersemangat Dengan Penipuan Bodoh yang Terus Bekerja

by

Penipuan BEC tanpa pandang bulu menargetkan semua jenis industri, tetapi selama beberapa tahun terakhir mereka telah menemukan jenis korban baru: pembeli rumah yang bersemangat.

Individu dan pasangan yang, ingin sekali menutup rumah impian mereka dan dibanjiri dengan dokumen dan email, mengira mereka mentransfer uang muka mereka ke perusahaan judul atau pengacara yang menangani proses penutupan.

Alih-alih—dengan melewatkan detail yang sangat halus dalam email, seperti kesalahan ejaan atau karakter tambahan, yang menunjukkan bahwa itu palsu—mereka keliru mengirimkan puluhan atau ratusan ribu dolar ke peretas.

Dalam satu saat, mereka kehilangan seluruh sarang telur mereka, bersama dengan rumah yang mereka pikir akan mereka pindahi, dengan sedikit peluang untuk mendapatkan uang kembali.

“Saya terguncang selama beberapa hari. Saya hanya tidak tidur,” kata Christopher Garris, asisten profesor berusia 35 tahun yang kehilangan hampir $ 150.000 pada tahun 2021 ketika dia mencoba membeli sebuah kondominium di Boston setelah mendapatkan posisi di Harvard.

“Itu menyebabkan masalah antara saya dan istri, dan itu menyebabkan banyak stres. Setelah kehilangan banyak uang, kami menabung untuk waktu yang lama—itu telah menjadi sumber kecemasan yang besar bagi kami.”

Selengkapnya: Bloomberg

Peretas Pertahanan Email Microsoft

by

Semakin banyak penyerang siber yang berfokus pada pembuatan serangan yang dikhususkan untuk melewati keamanan default Microsoft

“Banyak peretas menganggap email dan Microsoft 365 sebagai titik awal kompromi mereka, [sehingga mereka] akan menguji dan memverifikasi bahwa mereka dapat melewati keamanan default Microsoft,” menurut laporan baru dari Avanan yang menandai peningkatan dalam telemetri pelanggannya. email berbahaya yang mendarat di kotak email yang dilindungi Microsoft.

Beberapa angka yang menarik dalam laporan, diperoleh dari analisis 3 juta email perusahaan pada tahun lalu, termasuk:

Sekitar 19% email phishing yang diamati oleh Avanan melewati Microsoft Exchange Online Protection (EOP) dan Defender.
Sejak tahun 2020, tingkat phishing yang terlewatkan Defender di antara pelanggan Avanan telah meningkat sebesar 74%.
Rata-rata, Defender hanya mengirimkan 7% dari pesan phishing yang diterima oleh pelanggan Avanan ke folder Junk.
Kabar baiknya: Microsoft menandai dan memblokir 93% upaya kompromi email bisnis.

Microsoft menangkap 90% email yang dijebak dengan lampiran yang sarat malware.
Sekali lagi, angka tersebut menunjukkan evolusi phishing dan fakta bahwa penyerang semakin sering menggunakan taktik seperti memanfaatkan layanan yang sah untuk menghindari menyertakan tautan yang jelas-jelas berbahaya dalam email, menggunakan teknik penyamaran seperti URL cantik, dan menghindari lampiran sama sekali.

Untuk mempertahankan diri terhadap serangan yang dibuat khusus ini, organisasi dapat menggunakan pendekatan dasar pertahanan mendalam dengan empat cabang utama, menurut Roger Grimes, penginjil pertahanan berbasis data di KnowBe4.

Cabang-cabang tersebut meliputi: Fokus yang lebih baik untuk mencegah rekayasa sosial, menggunakan kombinasi kebijakan, pertahanan teknis, dan pendidikan terbaik; patch perangkat lunak dan firmware, terutama yang terdaftar di Katalog Kerentanan yang Diketahui CISA yang Dieksploitasi; menggunakan otentikasi multifaktor tahan phishing (MFA); dan menggunakan kata sandi yang berbeda dan aman untuk setiap situs dan layanan di mana MFA tidak dapat digunakan.

“Tidak ada pertahanan lain, selain empat ini, yang akan berdampak paling besar pada penurunan risiko keamanan siber,” kata Grimes. “Kurangnya fokus dunia pada empat pertahanan inilah yang telah membuat peretas dan malware begitu sukses begitu lama.”

Sumber: Dark Reading