Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Tim kernel Linux telah mengurutkan cacat chip Retbleed

by

Pengembang kernel Linux telah mengatasi bug eksekusi spekulatif Retbleed di silikon Intel dan AMD yang lebih lama, meskipun perbaikannya tidak langsung, jadi penguin kaisar Linus Torvalds telah menunda pengiriman versi kernel berikutnya selama seminggu.

“Ketika kami memiliki salah satu masalah [perangkat keras] yang diembargo yang tertunda, tambalan tidak mendapatkan pengembangan terbuka, dan akibatnya melewatkan semua pemeriksaan kewarasan yang biasa dilakukan oleh semua infrastruktur pembuatan dan pengujian otomatisasi yang kami miliki,” Torvalds tulis dalam sebuah posting yang mengumumkan pengiriman kandidat rilis tujuh untuk kernel versi 5.19.

Retbleed bukan satu-satunya alasan penundaan.

“Minggu lalu ada dua pohon pengembangan lain yang secara independen juga meminta perpanjangan, jadi 5.19 akan menjadi salah satu rilis yang memiliki tambahan rc8 akhir pekan depan sebelum rilis final,” tulis Torvalds.

Dua pohon lain yang membutuhkan lebih banyak waktu menyangkut sistem file btrfs serta firmware untuk pengontrol untuk GPU Intel yang tampaknya kadang-kadang secara tidak sengaja menonaktifkan penguat grafis pada beberapa silikon Intel Alder Lake baru yang mengkilap.

Torvalds melaporkan kedua masalah tampaknya terkendali, “Jadi kita tidak memiliki masalah besar, tetapi satu minggu ekstra pasti diperlukan.”

Yang memalukan, karena minggu lalu Torvalds menyatakan harapannya bahwa kandidat rilis tujuh akan menjadi yang terakhir untuk versi ini sejalan dengan preferensinya untuk tujuh kandidat rilis.

Tidak ada dalam posting Torvalds yang menunjukkan penundaan lebih lanjut dapat diharapkan, jadi kernel baru akan debut minggu depan. Berikutnya akan datang versi 5.20, yang pada bentuk terbaru dapat dipilih sebagai rilis Dukungan Jangka Panjang.

Sumber: The Register

Peretas Mendistribusikan Alat Pembobol Kata Sandi untuk PLC dan HMI untuk Menargetkan Sistem Industri

by

Insinyur dan operator industri menjadi target kampanye baru yang memanfaatkan perangkat lunak pembobol kata sandi untuk menguasai Programmable Logic Controllers (PLC) dan mengkooptasi mesin ke botnet.

Perangkat lunak itu “mengeksploitasi kerentanan dalam firmware yang memungkinkannya mengambil kata sandi sesuai perintah,” kata peneliti keamanan Dragos, Sam Hanson. “Selanjutnya, perangkat lunak itu adalah penetes malware, menginfeksi mesin dengan malware Sality dan mengubah host menjadi rekan di botnet peer-to-peer Sality.”

Perusahaan industri keamanan siber mengatakan bahwa eksploitasi pengambilan kata sandi yang tertanam dalam penetes malware dirancang untuk memulihkan kredensial yang terkait dengan Automation Direct DirectLOGIC 06 PLC.

Eksploitasi, dilacak sebagai CVE-2022-2003 (skor CVSS: 7,7), telah digambarkan sebagai kasus transmisi teks yang jelas dari data sensitif yang dapat menyebabkan pengungkapan informasi dan perubahan yang tidak sah. Masalah ini telah diatasi dalam firmware Versi 2.72 yang dirilis bulan lalu.

Infeksi memuncak dalam penyebaran malware Sality untuk melakukan tugas-tugas seperti penambangan cryptocurrency dan peretasan kata sandi secara terdistribusi, sementara juga mengambil langkah-langkah untuk tetap tidak terdeteksi dengan menghentikan perangkat lunak keamanan yang berjalan di workstation yang disusupi.

Terlebih lagi, artefak yang digali oleh Dragos menjatuhkan muatan crypto-clipper yang mencuri cryptocurrency selama transaksi dengan mengganti alamat dompet asli yang disimpan di clipboard dengan alamat dompet penyerang.

Automation Direct bukan satu-satunya vendor yang terkena dampak karena alat tersebut mengklaim mencakup beberapa PLC, human-machine interfaces (HMI), dan file proyek yang mencakup Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face Schneider Electric , Vigor PLC, Weintek, Allen-Bradley dari Rockwell Automation, Panasonic, Fatek, IDEC Corporation, dan LG.

Ini jauh dari pertama kalinya perangkat lunak trojan memilih jaringan teknologi operasional (OT). Pada Oktober 2021, Mandiant mengungkapkan bagaimana binari executable portabel yang sah dikompromikan oleh berbagai malware seperti Sality, Virus, dan Ramnit, antara lain.

Sumber: The Hacker News

Bug Auditor Netwrix Baru Dapat Membiarkan Penyerang Mengganggu Domain Direktori Aktif

by

Para peneliti telah mengungkapkan rincian tentang kerentanan keamanan dalam aplikasi Auditor Netwrix yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode arbitrer pada perangkat yang terpengaruh.

Auditor adalah platform audit dan visibilitas yang memungkinkan organisasi untuk memiliki tampilan gabungan dari lingkungan TI mereka, termasuk Active Directory, Exchange, server file, SharePoint, VMware, dan sistem lainnya—semua dari satu konsol.

Netwrix, perusahaan di balik perangkat lunak, mengklaim lebih dari 11.500 pelanggan di lebih dari 100 negara, seperti Airbus, Virgin, King’s College Hospital, dan Credissimo, antara lain.

Cacat, yang berdampak pada semua versi yang didukung sebelum 10.5, telah digambarkan sebagai deserialisasi objek yang tidak aman, yang terjadi ketika data yang dapat dikontrol pengguna yang tidak tepercaya diuraikan untuk menimbulkan serangan eksekusi kode jarak jauh.

Akar penyebab bug adalah layanan jarak jauh .NET tanpa jaminan yang dapat diakses pada port TCP 9004 di server Netwrix, memungkinkan aktor untuk mengeksekusi perintah sewenang-wenang di server.

“Karena perintah dijalankan dengan hak istimewa NT AUTHORITY\SYSTEM, mengeksploitasi masalah ini akan memungkinkan penyerang untuk sepenuhnya berkompromi dengan server Netwrix,” kata Jordan Parkin dari Bishop Fox.

Organisasi yang mengandalkan Auditor direkomendasikan untuk memperbarui perangkat lunak ke versi terbaru, 10.5, yang dirilis pada 6 Juni, untuk mencegah potensi risiko apa pun.

Sumber : The Hacker News

Kepala keamanan TikTok mengundurkan diri saat perusahaan memindahkan data AS ke server Oracle

by

Chief Security Officer (CSO) global TikTok, Roland Cloutier, mengundurkan diri saat perusahaan bertransisi menggunakan server Oracle yang berbasis di AS untuk menyimpan data orang Amerika (melalui The Wall Street Journal).

Perusahaan membagikan memo internal tentang perubahan dalam sebuah posting di ruang beritanya, yang menyatakan Cloutier akan mengambil peran sebagai penasihat, dengan kepala risiko keamanan, vendor, dan jaminan klien TikTok, Kim Albarella, mengambil alih sementara.

Pada bulan Juni, TikTok mengumumkan bahwa mereka telah mulai merutekan data pengguna AS ke server Oracle dalam upaya untuk memadamkan kekhawatiran bahwa China tempat perusahaan induk TikTok, ByteDance, berbasis memiliki akses tak terkendali ke informasi ini.

CEO TikTok Shou Zi Chew dan wakil presiden teknologi ByteDance Dingkun Hong mengatakan perubahan itu datang sebagai cara untuk “meminimalkan kekhawatiran tentang keamanan data pengguna di AS,” tetapi juga “mengubah ruang lingkup Global Chief Security Officer (CSO) peran.”

Seorang juru bicara TikTok mengatakan kepada WSJ bahwa Cloutier tidak terlibat dalam mengelola departemen baru TikTok yang didedikasikan untuk menangani data pengguna AS. Dia juga menjelaskan bahwa perubahan organisasi ini telah dilakukan berbulan-bulan sebelum politisi AS memanas di TikTok.

Selama bertahun-tahun, TikTok telah diteliti terkait hubungannya dengan ByteDance yang berbasis di China, dengan beberapa pejabat AS menuduh aplikasi tersebut menyedot data Amerika ke pemerintah China.

Bulan lalu, BuzzFeed News merilis laporan yang mengklaim bahwa karyawan TikTok di China “berulang kali” mengakses data pengguna AS dari setidaknya September 2021 hingga Januari 2022.

Menanggapi laporan tersebut, sekelompok senator Republik menulis surat kepada TikTok yang mempertanyakan validitas kesaksian perusahaan tentang privasi data selama sidang yang berlangsung Oktober lalu.

TikTok menanggapi kekhawatiran ini awal bulan ini, sekali lagi mengulangi rencananya untuk bekerja dengan Oracle untuk “sepenuhnya melindungi data pengguna.”

Sumber: The Verge

Peretas Korea Utara Menargetkan Bisnis Kecil dan Menengah dengan Ransomware H0lyGh0st

by

Grup yang menyebut dirinya H0lyGh0st sedang dilacak oleh Microsoft Threat Intelligence Center di bawah moniker DEV-0530, sebutan yang ditetapkan untuk grup aktivitas ancaman yang tidak diketahui, muncul, atau berkembang.

Entitas yang ditargetkan terutama mencakup usaha kecil hingga menengah seperti organisasi manufaktur, bank, sekolah, dan perusahaan perencanaan acara dan pertemuan.

“Bersama dengan muatan H0lyGh0st mereka, DEV-0530 memelihara situs .onion yang digunakan kelompok untuk berinteraksi dengan korban mereka,” kata para peneliti dalam analisis hari Kamis.

“Metodologi standar grup ini adalah mengenkripsi semua file pada perangkat target dan menggunakan ekstensi file .h0lyenc, mengirimkan sampel file kepada korban sebagai bukti, dan kemudian meminta pembayaran dalam Bitcoin sebagai imbalan untuk memulihkan akses ke file.”

Jumlah tebusan yang diminta oleh DEV-0530 berkisar antara 1,2 dan 5 bitcoin, meskipun analisis dompet cryptocurrency penyerang menunjukkan tidak ada pembayaran tebusan yang berhasil dari korbannya pada awal Juli 2022.

Sebagai tanda yang menunjukkan pengembangan aktif, empat varian berbeda dari ransomware H0lyGh0st dibuat antara Juni 2021 dan Mei 2022 untuk menargetkan sistem Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe, dan BLTC.exe.

Sementara BTLC_C.exe (dijuluki SiennaPurple) ditulis dalam C++, tiga versi lainnya (dengan nama kode SiennaBlue) diprogram dalam Go, menunjukkan upaya dari pihak musuh untuk mengembangkan malware lintas platform.

Strain yang lebih baru juga dilengkapi dengan peningkatan fungsionalitas intinya, termasuk kebingungan string dan kemampuan untuk menghapus tugas terjadwal dan menghapus dirinya sendiri dari mesin yang terinfeksi.

Penyusupan dikatakan telah difasilitasi melalui eksploitasi kerentanan yang belum ditambal dalam aplikasi web yang menghadap publik dan sistem manajemen konten (misalnya, CVE-2022-26352), memanfaatkan pembelian untuk menjatuhkan muatan ransomware dan mengekstrak data sensitif sebelum mengenkripsi file.

Temuan ini muncul seminggu setelah badan keamanan siber dan intelijen AS memperingatkan tentang penggunaan ransomware Maui oleh peretas yang didukung pemerintah Korea Utara untuk menargetkan sektor perawatan kesehatan setidaknya sejak Mei 2021.

Ekspansi dari perampokan finansial ke ransomware dipandang sebagai taktik lain yang disponsori oleh pemerintah Korea Utara untuk mengimbangi kerugian akibat sanksi, bencana alam, dan kemunduran ekonomi lainnya.

Sumber: The Hacker News

Tambalan untuk kerentanan microprocessor AMD dan Intel Retbleed baru mungkin memiliki overhead yang signifikan

by

Microprocessor tertentu dari Intel dan AMD rentan terhadap serangan eksekusi spekulatif baru yang terkait dengan Spectre Variant 2. Serangan dapat digunakan untuk membocorkan data dari memori kernel dan mitigasi dapat menyebabkan overhead dan memengaruhi kinerja sistem yang ditambal.

Para peneliti di ETH Zurich menemukan kerentanan, yang mereka beri nama Retbleed. Serangan tersebut mengeksploitasi kerentanan di retpoline, mitigasi yang diperkenalkan pada tahun 2018 untuk mengurangi serangan eksekusi spekulatif tertentu.

Retpolines bekerja “dengan mengganti lompatan dan panggilan tidak langsung dengan pengembalian”. Kekhawatiran bahwa pengembalian mungkin juga rentan terhadap serangan diabaikan pada tahun 2018, karena tampaknya tidak praktis pada saat itu bagi banyak orang. Penelitian Retpoline mengkonfirmasi bahwa eksploitasi itu “memang praktis”

Para peneliti ETH Zurich mengkonfirmasi kerentanan hanya pada prosesor Intel dan AMD yang lebih tua. Menurut FAQ yang dirilis, prosesor Intel Core generasi 6 hingga 8, dan prosesor AMD Zen 1, Zen 1+, dan Zen 2 rentan.

Kerentanan dikonfirmasi oleh para peneliti untuk perangkat Linux. Para peneliti menyatakan di FAQ bahwa sistem Windows dan Mac juga terpengaruh. Intel, di sisi lain, menyatakan dalam posting blog, bahwa prosesor perusahaan di Windows tidak terpengaruh:

Intel telah bekerja dengan komunitas Linux dan vendor VMM untuk menyediakan panduan mitigasi perangkat lunak kepada pelanggan yang harus tersedia pada atau sekitar tanggal pengungkapan publik hari ini.

Perhatikan bahwa sistem Windows tidak terpengaruh karena sistem ini menggunakan Spekulasi Terbatas Cabang Tidak Langsung (IBRS) secara default yang juga merupakan mitigasi yang tersedia untuk pengguna Linux.

AMD dan Intel tidak menyadari eksploitasi di alam liar yang menargetkan kerentanan baru. Patch untuk distribusi Linux utama sudah disiapkan. Pengujian akan menunjukkan jika dan seberapa besar kinerja akan terpengaruh pada sistem dengan tambalan.

Sumber:

Microsoft merilis eksploitasi PoC untuk kerentanan pelarian Sandbox macOS

by

Microsoft telah menerbitkan kode eksploit untuk kerentanan di macOS yang dapat membantu penyerang melewati batasan sandbox dan menjalankan kode pada sistem.

Perusahaan merilis detail teknis untuk masalah keamanan, yang saat ini diidentifikasi sebagai CVE-2022-26706, dan menjelaskan bagaimana aturan Kotak Pasir Aplikasi macOS dapat dihindari untuk memungkinkan kode makro berbahaya dalam dokumen Word untuk menjalankan perintah pada mesin.

Menyalahgunakan makro dalam dokumen Office untuk menyebarkan malware telah lama menjadi teknik yang efisien dan populer untuk menyusup ke sistem Windows.

Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan bahwa kerentanan ditemukan saat mencari metode untuk menjalankan dan mendeteksi makro berbahaya dalam dokumen Microsoft Office di macOS.

Untuk memastikan kompatibilitas mundur, Microsoft Word dapat membaca dan menulis file yang datang dengan awalan “~$,” yang ditentukan dalam aturan kotak pasir aplikasi.

Sandbox rule untuk Microsoft Word di macOS
sumber: Microsoft

Setelah mempelajari laporan yang lebih lama [1, 2] tentang keluar dari kotak pasir macOS, para peneliti menemukan bahwa menggunakan Layanan Peluncuran untuk menjalankan perintah open –stdin pada file Python khusus dengan awalan yang disebutkan di atas memungkinkan keluar dari Kotak Pasir Aplikasi di macOS, yang berpotensi menyebabkan kompromi sistem.

Para peneliti datang dengan proof-of-concept (PoC) yang menggunakan opsi -stdin untuk Perintah terbuka pada file Python untuk melewati pembatasan atribut tambahan “com.apple.quarantine”.

Kode eksploitasi demo semudah menjatuhkan file Python yang berisi perintah arbitrer dan memiliki awalan khusus untuk Word dalam namanya.

Menggunakan perintah open -stdin memulai aplikasi Python dengan file yang dibuat khusus sebagai input standar.

Sandbox macOS melarikan diri dari PoC
sumber: Microsoft

Para peneliti bahkan berhasil mengompres kode eksploit di atas sedemikian rupa sehingga pas menjadi sebuah tweet.

Versi ukuran tweet dari Sandbox macOS yang lolos dari PoC​​​​​
sumber: Microsoft

Microsoft melaporkan kerentanan terhadap Apple tahun lalu pada bulan Oktober dan perbaikan dikirimkan dengan pembaruan keamanan macOS pada Mei 2022 (Big Sur 11.6.6)

Sumber: Bleeping Computer

Kit phishing PayPal ditambahkan ke situs WordPress yang diretas untuk pencurian ID lengkap

by

Kit phishing yang baru ditemukan yang menargetkan pengguna PayPal mencoba mencuri sejumlah besar informasi pribadi dari para korban yang mencakup dokumen dan foto identitas pemerintah.

Kit ini di-host di situs web WordPress yang sah yang telah diretas, yang memungkinkannya untuk menghindari deteksi hingga tingkat tertentu.

Para peneliti di perusahaan teknologi internet Akamai menemukan kit phishing setelah pelaku ancaman menanamnya di honeypot WordPress mereka.

Pelaku ancaman menargetkan situs web yang kurang aman dan memaksa masuk mereka menggunakan daftar pasangan kredensial umum yang ditemukan secara online. Mereka menggunakan akses ini untuk menginstal plugin manajemen file yang memungkinkan pengunggahan kit phishing ke situs yang dilanggar.

Akamai menemukan bahwa salah satu metode yang digunakan kit phishing untuk menghindari deteksi adalah dengan referensi silang alamat IP ke domain milik sekumpulan perusahaan tertentu, termasuk beberapa organisasi di industri keamanan siber.

Para peneliti memperhatikan bahwa pembuat kit phishing berusaha membuat halaman penipuan terlihat profesional dan meniru situs PayPal asli sebanyak mungkin.

Salah satu aspek yang mereka amati adalah penulis menggunakan htaccess untuk menulis ulang URL sehingga tidak diakhiri dengan ekstensi file PHP. Ini menambah penampilan yang lebih bersih dan lebih halus yang memberikan legitimasi.

Menulis ulang URL untuk menghapus akhiran php (Akamai)

Selain itu, semua elemen antarmuka grafis dalam formulir ditata sesuai dengan tema PayPal, sehingga halaman phishing memiliki tampilan yang tampak autentik.

Mencuri data pribadi korban dimulai dengan memberi mereka tantangan CAPTCHA, sebuah langkah yang menciptakan rasa legitimasi yang salah.

CAPTCHA palsu menginjak situs phishing (Akamai)

Setelah tahap ini, korban diminta untuk masuk ke akun PayPal mereka menggunakan alamat email dan kata sandi mereka, yang secara otomatis dikirimkan ke pelaku ancaman. Setelah itu pelaku ancaman meminta informasi verifikasi lebih lanjut.

Di halaman berikutnya, korban diminta untuk memberikan sejumlah rincian pribadi dan keuangan yang mencakup data kartu pembayaran bersama dengan kode verifikasi kartu, alamat fisik, nomor jaminan sosial, nama gadis ibu.

Tampaknya kit phishing dibuat untuk memeras semua informasi pribadi dari korban. Selain data kartu yang biasanya dikumpulkan dalam penipuan phishing, yang satu ini juga meminta nomor jaminan sosial, nama gadis ibu, dan bahkan nomor PIN kartu untuk transaksi di mesin ATM.

Info lebih lanjut dikumpulkan (Akamai)

Mengumpulkan informasi sebanyak ini tidak khas untuk kit phishing. Namun, yang satu ini melangkah lebih jauh dan meminta korban untuk menautkan akun email mereka ke PayPal. Ini akan memberi penyerang token yang dapat digunakan untuk mengakses konten dari alamat email yang diberikan.

Akun email phishing (Akamai)

Meskipun telah mengumpulkan sejumlah besar informasi pribadi, pelaku ancaman belum selesai. Langkah selanjutnya, mereka meminta korban untuk mengunggah dokumen identitas resmi mereka untuk mengkonfirmasi identitas mereka.

Dokumen yang diterima adalah paspor, ID nasional, atau SIM dan prosedur pengunggahan dilengkapi dengan instruksi khusus, seperti yang diminta PayPal atau layanan resmi dari penggunanya.

Petunjuk tentang cara mengunggah dokumen (Akamai)

Penjahat dunia maya dapat menggunakan semua informasi ini untuk berbagai kegiatan ilegal mulai dari apa pun yang terkait dengan pencurian identitas hingga pencucian uang (misalnya membuat akun perdagangan mata uang kripto, mendaftarkan perusahaan) dan mempertahankan anonimitas saat membeli layanan hingga mengambil alih rekening perbankan atau mengkloning kartu pembayaran.

Meskipun kit phishing tampak canggih, para peneliti menemukan bahwa fitur unggah filenya dilengkapi dengan kerentanan yang dapat dieksploitasi untuk mengunggah shell web dan mengendalikan situs web yang disusupi.

Mengingat sejumlah besar informasi yang diminta, penipuan mungkin tampak jelas bagi sebagian pengguna. Namun, peneliti Akamai percaya bahwa elemen rekayasa sosial khusus inilah yang membuat kit ini berhasil.

Mereka menjelaskan bahwa verifikasi identitas adalah hal yang normal akhir-akhir ini dan ini dapat dilakukan dengan berbagai cara. “Orang-orang menilai merek dan perusahaan berdasarkan langkah-langkah keamanan mereka akhir-akhir ini,” kata para peneliti.

Penggunaan tantangan captcha menandakan dari awal bahwa verifikasi tambahan mungkin diharapkan. Dengan menggunakan metode yang sama seperti layanan yang sah, pelaku ancaman memantapkan kepercayaan korban.

Pengguna disarankan untuk memeriksa nama domain halaman yang meminta informasi sensitif. Mereka juga dapat membuka halaman resmi layanan, dengan mengetiknya secara manual di browser, untuk memeriksa apakah verifikasi identitas sudah dilakukan.

Sumber: Bleeping Computer