Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Seorang Mahasiswa Menemukan Bug di Perutean Email Cloudflare yang Memungkinkan Anda Membaca Email Setiap Pengguna

by

Tahun lalu, perusahaan IT Cloudflare meluncurkan layanan perutean email, yang memberi pengguna kemampuan untuk mengatur sejumlah besar alamat yang terhubung ke kotak masuk yang sama.

Perutean email dapat menjadi alat privasi yang kuat, karena memungkinkan Anda untuk menyembunyikan alamat email Anda yang sebenarnya di balik jaringan alamat sementara atau “dapat dibakar”.

Sayangnya, seperti yang ditunjukkan dalam penelitian yang diterbitkan Rabu oleh seorang mahasiswa dari Denmark, layanan Cloudflare memiliki bug raksasa di dalamnya. Cacatnya, ketika dieksploitasi dengan benar, memungkinkan pengguna mana pun untuk membaca—atau bahkan memanipulasi—email pengguna lain.

Albert Pedersen, yang saat ini menjadi mahasiswa di Skive College di Midtjylland, menulis bahwa ia menemukan kerentanan invasif pada bulan Desember. Dalam sebuah tulisan yang diterbitkan di situs webnya, Pedersen menjelaskan bahwa bug tersebut akan memungkinkan peretas untuk “memodifikasi konfigurasi perutean domain apa pun menggunakan layanan.”

Kerentanan, yang telah dikonfirmasi oleh Cloudflare tetapi dikatakan tidak pernah dieksploitasi, melibatkan cacat dalam sistem “verifikasi kepemilikan zona” program, yang berarti bahwa peretas dapat mengonfigurasi ulang perutean dan penerusan email untuk domain email yang tidak dimiliki oleh mereka.

Manipulasi eksploit yang tepat akan memungkinkan seseorang yang mengetahui bug tersebut untuk merutekan ulang email pengguna ke alamat mereka sendiri. Itu juga akan memungkinkan peretas untuk mencegah email tertentu dikirim ke target sama sekali.

Dalam tulisannya, Pedersen mencatat bahwa tidak sulit untuk menemukan daftar alamat email online yang dilampirkan ke layanan Cloudflare. Menggunakan salah satu daftar itu, orang jahat bisa dengan mudah menargetkan siapa saja yang menggunakan layanan penerusan.

Setelah menemukan eksploit, Pedersen berhasil mereproduksinya beberapa kali menggunakan beberapa domain pribadi dan memutuskan untuk melaporkan masalah tersebut ke program hadiah bug Cloudflare. Program ini akhirnya memberinya total $6.000 untuk usahanya. Pedersen juga mengatakan blognya diterbitkan dengan izin dari Cloudflare.

Dalam email ke Gizmodo, perwakilan perusahaan menegaskan kembali bahwa bug telah diperbaiki segera setelah ditemukan: “Seperti yang dirangkum dalam blog peneliti, kerentanan ini diungkapkan melalui program bug bounty kami. Kami kemudian menyelesaikan masalah dan memverifikasi bahwa kerentanan belum dieksploitasi.”

Untung saja tidak, karena jika seorang peretas mendapatkan eksploitasi ini, mereka dapat menyebabkan kekacauan kotak masuk yang nyata. Dalam tulisannya, Pederson mencatat bahwa penjahat dunia maya dapat menggunakan bug ini untuk mengatur ulang kata sandi, yang akan mengancam akun lain yang terhubung ke alamat email yang dieksploitasi:

“Ini bukan hanya masalah privasi yang besar, tetapi karena fakta bahwa tautan pengaturan ulang kata sandi sering dikirim ke alamat email pengguna, aktor jahat juga berpotensi mendapatkan kendali atas akun apa pun yang ditautkan ke alamat email itu. Ini adalah contoh bagus mengapa Anda harus menggunakan otentikasi 2 faktor,” tulisnya.

Sumber: GIZMODO

35.000 kode repo tidak diretas, tetapi klon membanjiri GitHub untuk menyajikan malware

by

Ribuan repositori GitHub disalin dengan klon mereka diubah untuk memasukkan malware, seorang insinyur perangkat lunak ditemukan hari ini.

Sementara mengkloning repositori open source adalah praktik pengembangan umum dan bahkan didorong di antara pengembang, kasus ini melibatkan aktor ancaman yang membuat salinan proyek yang sah tetapi mencemari ini dengan kode jahat untuk menargetkan pengembang yang tidak curiga dengan klon jahat mereka.

GitHub telah membersihkan sebagian besar repositori berbahaya setelah menerima laporan insinyur.

Hari ini, pengembang perangkat lunak Stephen Lacy membuat semua orang bingung ketika dia mengklaim telah menemukan “serangan malware yang tersebar luas” di GitHub yang memengaruhi sekitar 35.000 repositori perangkat lunak.

Bertentangan dengan apa yang tampaknya disarankan oleh tweet asli, bagaimanapun, “35.000 proyek” di GitHub belum terpengaruh atau dikompromikan dengan cara apa pun.

Sebaliknya, ribuan proyek pintu belakang adalah salinan (garpu atau klon) dari proyek sah yang konon dibuat oleh pelaku ancaman untuk mendorong malware.

Proyek resmi seperti crypto, golang, python, js, bash, docker, k8s, tetap tidak terpengaruh. Tapi, bukan berarti, temuan itu tidak penting, seperti yang dijelaskan di bagian berikut.

Saat meninjau proyek sumber terbuka Lacy telah “menemukan dari pencarian google,” insinyur memperhatikan URL berikut dalam kode yang dia bagikan di Twitter:

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

Bleeping Computeretika mencari di GitHub untuk URL ini, ada 35.000+ hasil pencarian yang menunjukkan file yang berisi URL berbahaya. Oleh karena itu, angka tersebut mewakili jumlah file yang mencurigakan daripada repositori yang terinfeksi:

Kami selanjutnya menemukan, dari 35.788 hasil kode, lebih dari 13.000 hasil pencarian berasal dari satu repositori yang disebut ‘redhat-operator-ekosistem.’

Repositori ini, dilihat oleh BleepingComputer pagi ini, tampaknya sekarang telah dihapus dari GitHub, dan menunjukkan kesalahan 404 (Tidak Ditemukan).

Insinyur tersebut telah mengeluarkan koreksi dan klarifikasi [1, 2] pada tweet aslinya.

Pengembang James Tucker menunjukkan bahwa repositori kloning yang berisi URL berbahaya tidak hanya mengekstrak variabel lingkungan pengguna tetapi juga berisi backdoor satu baris.

Repositori kloning yang diubah dengan malware mengandung backdoor (BleepingComputer)

Eksfiltrasi variabel lingkungan dengan sendirinya dapat memberikan rahasia penting kepada pelaku ancaman seperti kunci API, token, kredensial Amazon AWS, dan kunci kripto Anda, jika berlaku.

Namun, instruksi satu baris (baris 241 di atas) selanjutnya memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada sistem semua orang yang menginstal dan menjalankan klon jahat ini.

Sebagian besar repositori kloning diubah dengan kode berbahaya sekitar bulan lalu—dengan hasil mulai dari enam hingga tiga belas hari hingga dua puluh hari yang lalu. Namun, kami mengamati beberapa repositori dengan komit berbahaya sejak tahun 2015.

Komit berbahaya dibuat 13 hari yang lalu di salah satu klon (BleepingComputer)

Komit terbaru yang berisi URL berbahaya yang dibuat untuk GitHub hari ini sebagian besar berasal dari pembela, termasuk analis intel ancaman Florian Roth yang telah memberikan aturan Sigma untuk mendeteksi kode berbahaya di lingkungan Anda.

Ironisnya, beberapa pengguna GitHub mulai secara keliru melaporkan repo GitHub Sigma, yang dikelola oleh Roth, sebagai jahat saat melihat adanya string jahat (untuk digunakan oleh para pembela HAM) di dalam aturan Sigma.

GitHub telah menghapus klon berbahaya dari platformnya pada beberapa jam yang lalu, BleepingComputer dapat mengamati. Tim Keamanan GitHub juga mengeluarkan pernyataan:

Sebagai praktik terbaik, ingatlah untuk menggunakan perangkat lunak dari repo proyek resmi dan hati-hati terhadap kemungkinan kesalahan ketik atau fork/klon repositori yang mungkin tampak identik dengan proyek asli tetapi menyembunyikan malware.

Ini bisa menjadi lebih sulit dikenali karena repositori yang dikloning dapat terus mempertahankan komit kode dengan nama pengguna dan alamat email dari penulis asli, memberikan kesan menyesatkan bahwa bahkan komit yang lebih baru dibuat oleh penulis proyek asli. Komit kode sumber terbuka yang ditandatangani dengan kunci GPG dari penulis proyek otentik adalah salah satu cara untuk memverifikasi keaslian kode.

Sumber: Bleeping Computer

Ukraina menghapus 1.000.000 bot yang digunakan untuk disinformasi

by

Polisi siber Ukraina (SSU) telah menutup sebuah peternakan bot besar-besaran dari 1.000.000 bot yang digunakan untuk menyebarkan disinformasi di jejaring sosial.

Tujuan dari bot farm adalah untuk mendiskreditkan informasi yang berasal dari sumber resmi negara Ukraina, mengacaukan situasi sosial dan politik di negara itu, dan menciptakan perselisihan internal.

Pesan yang disebarkan oleh bot sejalan dengan propaganda Rusia, sehingga operator mesin disinformasi diyakini sebagai anggota layanan khusus Rusia.

Bahkan, penyelidikan SSU mengarah pada pemimpin kelompok kriminal, seorang “pakar politik” Rusia yang pada masa lalu tinggal di Kyiv.

Investigasi polisi Ukraina masih berlangsung untuk mengungkap peserta lain dalam operasi yang akan didakwa atas pelanggaran Pasal 361.2 KUHP negara itu.

Kebun bot yang dibongkar oleh SSU terletak di Kyiv, Kharkiv, dan Vinnytsia dan mengandalkan 1.000.000 bot untuk menyebarkan disinformasi. Untuk membuat tentara online ini, para pelaku ancaman menggunakan 5.000 kartu SIM untuk mendaftarkan akun media sosial baru.

Selain itu, operator menggunakan 200 server proxy yang memalsukan alamat IP sebenarnya dan menghindari deteksi aktivitas penipuan dan pemblokiran oleh platform media sosial.

Menurut SSU, operator bot farm mengembangkan dan menyebarkan perangkat lunak khusus untuk mengelola akun media sosial pseudonim dari jarak jauh, mengoordinasikannya untuk mendorong pesan propaganda yang diperlukan.

Gambar peralatan bot farm (SSU) yang disita

Kekuatan berita palsu tidak dapat diremehkan, terutama selama masa-masa sulit, akses internet terbatas, dan pergolakan umum.

Rusia telah lama terlibat dalam kampanye disinformasi dan telah berinvestasi di peternakan bot yang berbasis di Ukraina yang menargetkan populasi lokal.

Pada Februari 2022, Meta menurunkan beberapa kelompok akun Facebook palsu yang mempromosikan informasi palsu di platform media sosial.

Pada Maret 2022, SSU mengumumkan penemuan dan penutupan lima peternakan bot semacam ini, yang mengoperasikan 100.000 akun media sosial palsu yang menyebarkan berita palsu.

Presiden Ukraina Volodymyr Zelenskyy juga berada di pusat kampanye misinformasi, salah satunya menggunakan deepfake di Facebook dan meretas stasiun radio Ukraina untuk menyebarkan berita palsu bahwa Presiden dalam kondisi kritis. Keduanya diyakini sebagai karya aktor Rusia.

Sejak awal perang, SSU telah mengidentifikasi dan menetralisir lebih dari 1.200 serangan siber terhadap negara dan entitas penting lainnya serta telah melaporkan dan menghapus 500 saluran YouTube yang secara kolektif memiliki 15 juta pelanggan.

Selain itu, agensi telah melaporkan 1.500 saluran dan bot Telegram dan 1.500 akun Facebook, Instagram, dan TikTok lainnya karena menyebarkan propaganda Rusia.

Sumber: Bleeping Computer

VMware Merilis Patch untuk Beberapa Cacat Baru yang Mempengaruhi Banyak Produk

by

VMware telah merilis pembaruan untuk mengatasi 10 kelemahan keamanan yang memengaruhi beberapa produk yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan tindakan jahat.

Masalah, dilacak dari CVE-2022-31656 hingga CVE-2022-31665 (skor CVSS: 4,7 – 9,8), memengaruhi VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Kelemahan paling parah adalah CVE-2022-31656 (skor CVSS: 9,8), kerentanan bypass otentikasi yang memengaruhi pengguna domain lokal yang dapat dimanfaatkan oleh aktor jahat dengan akses jaringan untuk mendapatkan hak administratif.

Juga diselesaikan oleh VMware adalah tiga kerentanan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, dan CVE-2022-31665) terkait dengan JDBC dan injeksi SQL yang dapat dipersenjatai oleh musuh dengan administrator dan akses jaringan.

Di tempat lain, ia juga telah memperbaiki kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31663) yang dikatakan sebagai akibat dari sanitasi pengguna yang tidak tepat, yang dapat menyebabkan aktivasi kode JavaScript berbahaya.

Mengakhiri tambalan adalah tiga bug eskalasi hak istimewa lokal (CVE-2022-31660, CVE-2022-31661, dan CVE-2022-31664) yang mengizinkan aktor dengan akses lokal untuk meningkatkan hak istimewa ke “root”, kerentanan injeksi URL ( CVE-2022-31657), dan bug traversal jalur (CVE-2022-31662).

Sementara keberhasilan eksploitasi CVE-2022-31657 memungkinkan untuk mengarahkan ulang pengguna yang diautentikasi ke domain arbitrer, CVE-2022-31662 dapat melengkapi penyerang untuk membaca file dengan cara yang tidak sah.

VMware mengatakan tidak mengetahui eksploitasi kerentanan ini di alam liar, tetapi mendesak pelanggan yang menggunakan produk rentan untuk segera menerapkan tambalan untuk mengurangi potensi ancaman.

Sumber: The Hacker News

Peretas Tiongkok menggunakan kerangka kerja serangan mirip Cobalt Strike

by

Para peneliti telah mengamati kerangka serangan pasca-eksploitasi baru yang digunakan di alam liar, bernama Manjusaka, yang dapat digunakan sebagai alternatif dari perangkat Cobalt Strike yang banyak disalahgunakan atau paralel dengannya untuk redundansi.

Manjusaka menggunakan implan yang ditulis dalam bahasa pemrograman Rust lintas platform, sedangkan binernya ditulis dalam GoLang yang sama serbagunanya.

Implan RAT (trojan akses jarak jauh) mendukung eksekusi perintah, akses file, pengintaian jaringan, dan banyak lagi, sehingga peretas dapat menggunakannya untuk tujuan operasional yang sama seperti Cobalt Strike.

Manjusaka ditemukan oleh para peneliti di Cisco Talos, yang dipanggil untuk menyelidiki infeksi Cobalt Strike pada pelanggan, sehingga pelaku ancaman menggunakan kedua kerangka kerja dalam kasus itu.

Infeksi datang melalui dokumen jahat yang menyamar sebagai laporan tentang kasus COVID-19 di Kota Golmud di Tibet untuk pelacakan kontak.

Dokumen tersebut menampilkan makro VBA yang dijalankan melalui rundll32.exe untuk mengambil payload tahap kedua, Cobalt Strike, dan memuatnya ke dalam memori.

Namun, alih-alih hanya menggunakan Cobalt Strike sebagai perangkat serangan utama mereka, mereka menggunakannya untuk mengunduh implan Manjusaka, yang bergantung pada arsitektur host, dapat berupa file EXE (Windows) atau ELF (Linux).

Baik versi Windows dan Linux dari fitur implan memiliki kemampuan yang hampir sama dan menerapkan mekanisme komunikasi yang serupa.

Implan terdiri dari RAT dan modul manajemen file, masing-masing menampilkan kemampuan yang berbeda.

RAT mendukung eksekusi perintah sewenang-wenang melalui “cmd.exe”, mengumpulkan kredensial yang disimpan di browser web, SSID WiFi dan kata sandi, dan menemukan koneksi jaringan (TCP dan UDP), nama akun, grup lokal, dll.

Sistem eksekusi perintah Manjusaka (Cisco)

Selain itu, ia dapat mencuri kredensial Premiumsoft Navicat, menangkap tangkapan layar desktop saat ini, membuat daftar proses yang berjalan, dan bahkan memeriksa spesifikasi perangkat keras dan termal.

Modul manajemen file dapat melakukan enumerasi file, membuat direktori, mendapatkan path file lengkap, membaca atau menulis konten file, menghapus file atau direktori, dan memindahkan file antar lokasi.

Kemampuan manajemen file, EXE kiri, ELF kanan (Cisco)

Saat ini, sepertinya Manjusaka sementara dikerahkan di alam liar untuk pengujian, jadi pengembangannya kemungkinan tidak dalam fase akhir. Namun, kerangka kerja baru ini sudah cukup kuat untuk digunakan di dunia nyata.

Cisco mencatat bahwa para penelitinya menemukan diagram desain pada posting promosi oleh pembuat malware, yang menggambarkan komponen yang tidak diimplementasikan dalam versi sampel.

Ini berarti bahwa mereka tidak tersedia dalam versi “gratis” yang digunakan dalam serangan yang dianalisis atau belum diselesaikan oleh penulis.

Pengembang kerangka kerja dapat dengan mudah mengintegrasikan platform target baru seperti MacOSX atau Linux yang lebih eksotis seperti yang berjalan pada perangkat yang disematkan.

Fakta bahwa pengembang menyediakan versi C2 yang berfungsi penuh meningkatkan kemungkinan adopsi yang lebih luas dari kerangka kerja ini oleh aktor jahat.” – Cisco Talos

Dokumen iming-iming ditulis dalam bahasa Cina, dan hal yang sama berlaku untuk menu C2 dan opsi konfigurasi malware, sehingga aman untuk mengasumsikan bahwa pengembangnya berbasis di Cina. OSINT Talos mempersempit lokasi mereka ke wilayah Guangdong.

Jika memang demikian, kita mungkin akan melihat Manjusaka segera dikerahkan dalam kampanye beberapa APT China, karena kelompok ancaman dari negara tersebut dikenal karena berbagi perangkat yang sama.

Baru-baru ini, kami melaporkan tentang munculnya toolkit pasca-eksploitasi bernama ‘Brute Ratel’, yang juga dimaksudkan untuk menggantikan versi Cobalt Strike yang sekarang sudah tua dan lebih mudah dideteksi.

Sumber:

Bagaimana malware menipu pengguna dan antivirus

by

Salah satu metode utama yang digunakan oleh distributor malware untuk menginfeksi perangkat adalah dengan menipu orang agar mengunduh dan menjalankan file berbahaya, dan untuk mencapai penipuan ini, pembuat malware menggunakan berbagai trik.

Beberapa trik ini termasuk menyamarkan malware yang dapat dieksekusi sebagai aplikasi yang sah, menandatanganinya dengan sertifikat yang valid, atau mengorbankan situs tepercaya untuk menggunakannya sebagai titik distribusi.

Menurut VirusTotal, platform keamanan untuk memindai file yang diunggah untuk malware, beberapa trik ini terjadi dalam skala yang jauh lebih besar daripada yang diperkirakan sebelumnya.

Platform ini telah menyusun laporan yang menyajikan statistik dari Januari 2021 hingga Juli 2022, berdasarkan pengiriman dua juta file setiap hari, yang menggambarkan tren bagaimana malware didistribusikan.

Mendistribusikan malware melalui situs web yang sah, populer, dan berperingkat tinggi memungkinkan pelaku ancaman untuk menghindari daftar blokir berbasis IP, menikmati ketersediaan tinggi, dan memberikan tingkat kepercayaan yang lebih besar.

VirusTotal mendeteksi 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa.

Kasus penyalahgunaan yang paling menonjol adalah Discord, yang telah menjadi sarang distribusi malware, dengan layanan hosting dan penyedia layanan cloud Squarespace dan Amazon juga mencatat jumlah besar.

Domain yang paling banyak disalahgunakan untuk distribusi malware (VirusTotal)
Otoritas penandatanganan yang digunakan oleh pembuat malware (VirusTotal)

Menandatangani sampel malware dengan sertifikat valid yang dicuri dari perusahaan adalah cara yang andal untuk menghindari deteksi AV dan peringatan keamanan pada host.

Dari semua sampel berbahaya yang diunggah ke VirusTotal antara Januari 2021 dan April 2022, lebih dari satu juta ditandatangani, dan 87% menggunakan sertifikat yang valid.

Otoritas sertifikasi paling umum yang digunakan untuk menandatangani sampel berbahaya yang dikirimkan ke VirusTotal termasuk Sectigo, DigiCert, USERTrust, dan Sage South Africa.

Menyamarkan malware yang dapat dieksekusi sebagai aplikasi populer yang sah telah mengalami tren peningkatan pada tahun 2022.

Korban mengunduh file-file ini dengan mengira mereka mendapatkan aplikasi yang mereka butuhkan, tetapi setelah menjalankan penginstal, mereka menginfeksi sistem mereka dengan malware.

Aplikasi yang paling banyak ditiru (berdasarkan ikon) adalah Skype, Adobe Acrobat, VLC, dan 7zip.

Program pengoptimalan Windows populer CCleaner yang kami lihat dalam kampanye peracunan SEO baru-baru ini adalah salah satu pilihan utama peretas dan menampilkan rasio infeksi yang sangat tinggi untuk volume distribusinya.

Rasio infeksi malware oleh aplikasi yang ditiru (VirusTotal)

Terakhir, ada trik menyembunyikan malware di dalam penginstal aplikasi yang sah dan menjalankan proses infeksi di latar belakang sementara aplikasi sebenarnya dijalankan di latar depan.

Proses ini membantu dalam mengelabui para korban dan juga menghindari beberapa mesin antivirus yang tidak meneliti struktur sumber daya PR dan konten dalam executable.

Berdasarkan statistik VirusTotal, praktik ini juga tampaknya meningkat tahun ini, menggunakan Google Chrome, Malwarebytes, Pembaruan Windows, Zoom, Brave, Firefox, ProtonVPN, dan Telegram sebagai umpan.

Saat ingin mengunduh perangkat lunak, gunakan toko aplikasi bawaan OS Anda atau kunjungi halaman unduhan resmi aplikasi. Juga, waspadalah terhadap iklan yang dipromosikan pada hasil pencarian yang mungkin berperingkat lebih tinggi karena dapat dengan mudah dipalsukan agar terlihat seperti situs yang sah.

Setelah mengunduh penginstal, selalu lakukan pemindaian AV pada file sebelum menjalankannya untuk memastikan mereka bukan malware yang menyamar.

Terakhir, hindari menggunakan situs torrent untuk crack atau keygens untuk perangkat lunak berhak cipta, karena biasanya menyebabkan infeksi malware.

Sumber: Bleeping Computer

VMware mendesak admin untuk segera menambal bug bypass auth kritis

by

VMware telah memperingatkan admin hari ini untuk menambal kelemahan keamanan bypass otentikasi kritis yang memengaruhi pengguna domain lokal di beberapa produk dan memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan hak istimewa admin.

Cacat (CVE-2022-31656) dilaporkan oleh Petrus Viet dari VNG Security, yang menemukan bahwa itu berdampak pada VMware Workspace ONE Access, Identity Manager, dan vRealize Automation.

VMware menilai tingkat keparahan kerentanan keamanan ini sebagai hal yang kritis, dengan skor dasar CVSSv3 9,8/10.

Perusahaan juga menambal beberapa bug keamanan lain yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, CVE-2022-31665) dan meningkatkan hak istimewa ke ‘root’ (CVE-2022-31660, CVE- 2022-31661, CVE-2022-31664) pada server yang belum ditambal.

Daftar lengkap produk VMware yang terpengaruh oleh kerentanan ini meliputi:

  • VMware Workspace ONE Akses (Akses)
  • VMware Workspace ONE Access Connector (Konektor Akses)
  • Manajer Identitas VMware (vIDM)
  • Konektor Manajer Identitas VMware (Konektor vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Menurut VMware, tidak ada bukti bahwa kerentanan bypass otentikasi CVE-2022-31656 kritis dieksploitasi dalam serangan.

VMware menyediakan tautan unduhan tambalan dan instruksi instalasi terperinci di situs web basis pengetahuannya.

Perusahaan juga membagikan solusi sementara untuk pelanggan yang tidak dapat segera menambal peralatan mereka terhadap CVE-2022-31656.

Langkah-langkah yang dirinci oleh VMware mengharuskan admin untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan dan masuk melalui SSH untuk memulai kembali layanan cakrawala-ruang kerja.

Namun, VMware tidak merekomendasikan penggunaan solusi ini dan mengatakan satu-satunya cara untuk mengatasi kelemahan bypass auth CVE-2022-31656 sepenuhnya adalah dengan menambal produk yang rentan.

Perusahaan juga menyediakan dokumen dukungan dengan daftar pertanyaan dan jawaban mengenai bug kritis yang ditambal hari ini.

Pada bulan Mei, VMware menambal kerentanan kritis yang hampir identik, bug bypass otentikasi lain (CVE-2022-22972) yang ditemukan oleh Bruno López dari Innotec Security di Workspace ONE Access, VMware Identity Manager (vIDM), dan vRealize Automation.

Sumber: Arstechnica

Lebih dari 3.200 aplikasi membocorkan kunci API Twitter, beberapa memungkinkan pembajakan akun

by

Peneliti keamanan siber telah menemukan 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke publik, yang berpotensi memungkinkan aktor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.

Penemuan itu milik perusahaan keamanan siber CloudSEK, yang meneliti kumpulan aplikasi besar untuk kemungkinan kebocoran data dan menemukan 3.207 aplikasi membocorkan Kunci Konsumen dan Rahasia Konsumen yang valid untuk API Twitter.

Saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.

Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler tempat pelaku ancaman dapat menemukannya.

Salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware , penipuan cryptocurrency, dll.

Perincian aplikasi yang rentan (CloudSEK)

CloudSEK menjelaskan bahwa kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis.

Dalam kasus ini, kredensial disimpan dalam aplikasi seluler di lokasi berikut:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

CloudSEK merekomendasikan pengembang menggunakan rotasi kunci API untuk melindungi kunci autentikasi, yang akan membatalkan kunci yang terbuka setelah beberapa bulan.

CloudSEK membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.

Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.

Satu pengecualian penting adalah Ford Motors, yang merespons dan menerapkan perbaikan pada aplikasi ‘Ford Events’ yang juga membocorkan kunci API Twitter.

Sumber: Bleeping Computer