Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pakar Merincikan Kerentanan RCE Baru yang Mempengaruhi Google Chrome Developer Channel

by

Detail telah muncul tentang kerentanan eksekusi kode jarak jauh kritis yang baru-baru ini ditambal di JavaScript V8 dan mesin WebAssembly yang digunakan di Google Chrome dan browser berbasis Chromium.

Masalah ini berkaitan dengan kasus penggunaan-setelah-bebas dalam komponen pengoptimalan instruksi, eksploitasi yang berhasil dapat “memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks browser.”

Cacat, yang diidentifikasi dalam versi saluran Dev Chrome 101, dilaporkan ke Google oleh Weibo Wang, seorang peneliti keamanan di perusahaan keamanan siber Singapura Numen Cyber Technology dan sejak itu telah diperbaiki secara diam-diam oleh perusahaan.

“Kerentanan ini terjadi pada tahap pemilihan instruksi, di mana instruksi yang salah telah dipilih dan mengakibatkan pengecualian akses memori,” kata Wang.

Cacat penggunaan-setelah-bebas terjadi ketika memori yang sebelumnya dibebaskan diakses, menyebabkan perilaku tidak terdefinisi dan menyebabkan program macet, menggunakan data yang rusak, atau bahkan mencapai eksekusi kode arbitrer.

Yang lebih memprihatinkan adalah bahwa kelemahan tersebut dapat dieksploitasi dari jarak jauh melalui situs web yang dirancang khusus untuk melewati batasan keamanan dan menjalankan kode arbitrer untuk mengkompromikan sistem yang ditargetkan.

“Kerentanan ini dapat dieksploitasi lebih lanjut dengan menggunakan teknik penyemprotan heap, dan kemudian mengarah pada kerentanan ‘kebingungan tipe’,” jelas Wang. “Kerentanan memungkinkan penyerang untuk mengontrol pointer fungsi atau menulis kode ke lokasi arbitrer di memori, dan akhirnya mengarah pada eksekusi kode.”

Selengkapnya: The Hacker News

380K Server API Kubernetes Terekspos ke Internet

by

Lebih dari 380.000 server API Kubernetes memungkinkan beberapa jenis akses ke internet publik, membuat mesin orkestrasi kontainer sumber terbuka yang populer untuk mengelola penyebaran cloud menjadi target yang mudah dan permukaan serangan yang luas bagi pelaku ancaman, menurut temuan para peneliti.

Yayasan Shadowserver menemukan akses ketika memindai internet untuk server API Kubernetes, yang jumlahnya lebih dari 450.000, menurut sebuah posting blog yang diterbitkan minggu ini.

“ShadowServer melakukan pemindaian harian ruang IPv4 pada port 443 dan 6443, mencari alamat IP yang merespons dengan ‘status HTTP 200 OK’, yang menunjukkan bahwa permintaan telah berhasil,” menurut posting tersebut.

Dari lebih dari 450.000 instance Kubernetes API yang diidentifikasi oleh Shadowserver, 381.645 merespons dengan “200 OK”, kata para peneliti. Secara keseluruhan, Shadowserver menemukan 454.729 server API Kubernetes. Dengan demikian, instans API “terbuka” merupakan hampir 84 persen dari semua instans yang dipindai oleh Shadowserver.

Selain itu, sebagian besar server Kubernetes yang dapat diakses—201.348, atau hampir 53 persen—ditemukan di Amerika Serikat, menurut postingan tersebut.

Meskipun respons terhadap pemindaian ini tidak berarti server ini sepenuhnya terbuka atau rentan terhadap serangan, itu menciptakan skenario di mana server memiliki “permukaan serangan yang tidak perlu,” menurut posting tersebut.

“Tingkat akses ini sepertinya tidak dimaksudkan,” para peneliti mengamati. Eksposur juga memungkinkan kebocoran informasi pada versi dan build, tambah mereka.

Selengkapnya: Threat Post

Serangan Trojan Linux “XorDdos” Melonjak, Menargetkan Cloud & IoT

by

Penggunaan kejahatan dunia maya dari Trojan Linux yang dikenal sebagai XorDdos sedang meningkat, menurut sebuah laporan baru, yang menemukan peningkatan 254% dalam aktivitas jahat terhadap titik akhir Linux menggunakan malware selama enam bulan terakhir.

Ini pertama kali ditemukan pada tahun 2014, dan Tim Riset Pertahanan Microsoft 365 menjelaskan dalam posting blog baru-baru ini bahwa Trojan XorDdos menargetkan titik akhir cloud Linux dan Internet of Things (IoT), dan menyebarkan botnet untuk melakukan penolakan layanan terdistribusi (DDoS). ) serangan.

“Dengan mengkompromikan IoT dan perangkat lain yang terhubung ke internet, XorDdos mengumpulkan botnet yang dapat digunakan untuk melakukan serangan DDoS,” tulis tim tersebut dalam menggambarkan munculnya Trojan XorDdos.

“Serangan DDoS itu sendiri bisa sangat bermasalah karena berbagai alasan, tetapi serangan semacam itu juga dapat digunakan sebagai perlindungan untuk menyembunyikan aktivitas jahat lebih lanjut, seperti menyebarkan malware dan menyusup ke sistem target.”

Dark Reading

Paket Repositori Python Berbahaya Mendistribusikan Cobalt Strike pada Sistem Windows, macOS & Linux

by

Repositori publik open-source adalah bagian penting dari suply chain perangkat lunak yang digunakan banyak organisasi untuk membangun aplikasi. Oleh karena itu, mereka menjadi target yang menarik bagi musuh yang ingin mendistribusikan malware ke audiens massal.

Contoh kasus terbaru adalah paket berbahaya untuk mendistribusikan Cobalt Strike pada sistem Windows, macOS, dan Linux, yang diunggah ke registri Python Package Index (PyPI) yang banyak digunakan untuk pengembang aplikasi Python. Paket “pymafka” memiliki nama yang sangat mirip dengan “PyKafka,” klien Apache Kafka populer untuk Python yang telah diunduh lebih dari 4,2 juta kali sejauh ini.

Lebih dari 300 pengguna tertipu untuk mengunduh paket berbahaya, mengira itu adalah kode yang sah, sebelum peneliti di Sonatype menemukan masalah tersebut dan melaporkannya ke registri PyPI. Sejak itu telah dihapus, tetapi aplikasi yang memasukkan skrip berbahaya tetap menjadi ancaman.

“Jumlah unduhan untuk paket berbahaya termasuk unduhan otomatis yang diprakarsai oleh mirror dan bot selain unduhan yang dimulai oleh pengguna,” kata Ax Sharma, peneliti keamanan di Sonatype.

Menurutnya, unduhan yang melibatkan pengguna yang salah mengetik “pymafka” dan bukan “pykafka” kemungkinan jumlahnya kurang dari 100. “Secara intuitif, tampaknya dampak dari serangan typosquatting terbatas pada satu pengguna yang membuat kesalahan ejaan,” katanya.

“Tetapi segalanya menjadi rumit ketika pengembang salah mengeja nama dependensi di perpustakaan mereka, dan perpustakaan mereka selanjutnya digunakan sebagai dependensi dalam proyek perangkat lunak pihak ketiga lainnya,” katanya. Pengguna aplikasi lain ini kemudian secara otomatis terinfeksi dengan proyek yang salah ketik, tanpa mengambil tindakan atau membuat kesalahan.

Selengkapnya: Dark Reading

Pengguna Tails OS Disarankan untuk Tidak Menggunakan Tor Browser Sampai Bug Firefox Kritis Ditambal

by

Pengelola proyek Tails telah mengeluarkan peringatan bahwa Tor Browser yang dibundel dengan sistem operasi tidak aman digunakan untuk mengakses atau memasukkan informasi sensitif.

“Kami menyarankan Anda berhenti menggunakan Tails hingga rilis 5.1 (31 Mei) jika Anda menggunakan Tor Browser untuk informasi sensitif (kata sandi, pesan pribadi, informasi pribadi, dll.),” kata proyek tersebut dalam sebuah nasihat yang dikeluarkan minggu ini.

Tails, kependekan dari The Amnesic Incognito Live System, adalah distribusi Linux berbasis Debian yang berorientasi pada keamanan yang ditujukan untuk menjaga privasi dan anonimitas dengan menghubungkan ke internet melalui jaringan Tor.

Peringatan itu datang ketika Mozilla pada 20 Mei 2022 meluncurkan perbaikan untuk dua kelemahan kritis zero-day di browser Firefox-nya, versi modifikasi yang bertindak sebagai dasar dari Tor Browser.

Dilacak sebagai CVE-2022-1802 dan CVE-2022-1529, dua kerentanan adalah apa yang disebut sebagai polusi prototipe yang dapat dipersenjatai untuk mendapatkan eksekusi kode JavaScript pada perangkat yang menjalankan versi rentan dari Firefox, Firefox ESR, Firefox untuk Android, dan Thunderbird .

“Misalnya, setelah Anda mengunjungi situs web jahat, penyerang yang mengendalikan situs web ini mungkin mengakses kata sandi atau informasi sensitif lainnya yang Anda kirim ke situs web lain setelahnya selama sesi Tails yang sama,” demikian bunyi nasihat Tails.

Bug tersebut didemonstrasikan oleh Manfred Paul pada kontes peretasan Pwn2Own edisi ke-15 yang diadakan di Vancouver minggu lalu, di mana peneliti dianugerahi $100.000.

Namun, Peramban Tor yang mengaktifkan tingkat keamanan “Teraman” serta klien email Thunderbird di sistem operasi kebal terhadap kelemahan karena JavaScript dinonaktifkan dalam kedua kasus.

Selain itu, kelemahannya tidak merusak anonimitas dan perlindungan enkripsi yang dimasukkan ke dalam Tor Browser, yang berarti bahwa pengguna Tails yang tidak menangani informasi sensitif dapat terus menggunakan browser web.

“Kerentanan ini akan diperbaiki di Tails 5.1 (31 Mei), tetapi tim kami tidak memiliki kapasitas untuk menerbitkan rilis darurat lebih awal,” kata para pengembang.

Sumber: The Hacker News

Laporan Verizon: Ransomware, Kesalahan Manusia Di Antara Risiko Keamanan Teratas

by

Ransomware, ancaman rantai pasokan, dan bagaimana organisasi dan karyawan mereka adalah musuh terburuk mereka sendiri dalam hal keamanan adalah beberapa kesimpulan utama dari laporan tahunan Verizon tentang serangan cyber selama 12 bulan terakhir.

Laporan Investigasi Pelanggaran Data 2022 (DBIR) yang diterbitkan Selasa memberikan beberapa berita mengejutkan bagi organisasi yang bertujuan untuk mengamankan diri mereka sendiri dari ancaman yang dapat mengakibatkan kompromi sistem dan hilangnya data, sumber daya, uang, waktu, dan/atau semua hal di atas.

Para peneliti di balik laporan tersebut–Gabriel Bassett, C. David Hylender, Philippe Langlois, Alex Pinto, dan Suzanne Widup–mengamati bahwa beberapa tahun terakhir telah “luar biasa” bagi semua orang, tanpa menyebutkan faktor yang jelas, yaitu pandemi dan awal mulanya. perang di Ukraina tepat di belakangnya.

Namun, yang paling dipedulikan oleh penjaga laporan adalah data yang terkait dengan insiden dan pelanggaran keamanan yang terjadi—dengan yang pertama adalah kompromi apa pun terhadap aset informasi, dan yang terakhir adalah pengungkapan data kepada pihak yang tidak berwenang. Dan pada tahun 2021, para peneliti menemukan bahwa keduanya mengalami lonjakan kejadian yang belum pernah terjadi sebelumnya.

Ada sedikit kejutan di antara temuan-temuan kunci DBIR bagi mereka yang mengamati lanskap keamanan pada tahun 2021. Faktanya, beberapa temuan tampaknya konsisten dengan apa yang disoroti oleh laporan tersebut sejak dimulainya pada tahun 2008, seorang profesional keamanan mengamati.

Namun, satu temuan yang mencerminkan ancaman yang menjadi terkenal hanya dalam beberapa tahun terakhir adalah bahwa ransomware melanjutkan tren kenaikannya. Jenis kejahatan dunia maya ini yang mengunci data perusahaan melalui penyusupan dan tidak akan merilisnya sampai organisasi membayar sejumlah pemerasan yang besar mengalami peningkatan hampir 13 persen dari tahun ke tahun pada tahun 2021.

Memang, meskipun kelompok ransomware telah datang dan pergi dan otoritas federal telah mengambil langkah besar untuk menindak jenis kejahatan dunia maya ini, keuntungannya sangat menguntungkan bagi penjahat sehingga kemungkinan akan bertahan untuk sementara waktu, catat pakar keamanan.

Serangan signifikan pada rantai pasokan—di mana pelanggaran terjadi pada satu sistem atau perangkat lunak yang dapat dengan mudah menyebar ke seluruh organisasi—yang menunjukkan dampak jangka panjang juga meningkat dan terjadi pada tahun 2021, para peneliti menemukan.

Tanpa menyebutkan namanya, tim Verizon mengutip sebagai contoh serangan rantai pasokan SolarWinds yang sekarang terkenal yang terjadi pada akhir tahun 2020 dan masih membuat perusahaan berebut untuk bereaksi terhadap dampak hingga tahun 2021.

Memang, “rantai pasokan bertanggung jawab atas 62 persen insiden penyusupan sistem tahun ini,” para peneliti melaporkan. Selain itu, tidak seperti aktor ancaman yang bermotivasi finansial, pelaku kejahatan ini sering kali adalah aktor yang disponsori negara yang lebih memilih untuk “melewati pelanggaran dan mempertahankan aksesnya,” mempertahankan kegigihan pada jaringan organisasi untuk beberapa waktu, kata peneliti.

Serangan ini sangat berbahaya karena, karena serangan dapat dimulai dengan satu perusahaan tetapi dengan cepat menyebar ke pelanggan dan mitranya, dapat ada begitu banyak korban yang terlibat, para peneliti.

Lebih lanjut, sering kali pelanggaran yang melewati rantai pasokan tidak ditemukan sampai lama setelah penyerang mendapatkan akses ke sistem organisasi, membuat potensi pelanggaran dan pencurian data dalam jangka panjang lebih mungkin terjadi.

Dua temuan kunci lagi dari laporan tersebut terkait dalam hal di mana letak tanggung jawab utama—seseorang baik di dalam maupun di luar organisasi yang melakukan kesalahan. Memang, kesalahan manusia terus menjadi tren dominan tentang bagaimana dan mengapa pelanggaran terjadi, para peneliti menemukan.

Faktanya, 82 persen dari pelanggaran yang dianalisis dalam DBIR pada tahun 2021 melibatkan apa yang oleh para peneliti disebut “elemen manusia, yang dapat berupa banyak hal, kata mereka.

“Apakah itu penggunaan kredensial yang dicuri, phishing, penyalahgunaan, atau hanya kesalahan, orang terus memainkan peran yang sangat besar dalam insiden dan pelanggaran,” tulis para peneliti.

Pakar keamanan mengungkapkan sedikit kejutan atas temuan “elemen manusia”, yang merupakan salah satu yang menjangkiti industri teknologi bahkan sebelum keamanan dan seluruh industri di sekitarnya menjadi kenyataan, kata seorang profesional keamanan.

Banyak kesalahan yang terjadi saat ini adalah hasil dari rekayasa sosial yang cerdik dari pihak penyerang, terutama dalam serangan phishing yang mengelabui orang agar mengklik file atau tautan berbahaya yang memungkinkan akses komputer atau memberikan kredensial pribadi yang dapat digunakan untuk menyusup ke sistem perusahaan , dia berkata.

Satu-satunya cara untuk mengatasi masalah keamanan yang disebabkan oleh kesalahan manusia adalah melalui pendidikan, apakah itu tentang kesalahan konfigurasi yang salah, pentingnya menambal, kredensial yang dicuri, dan atau hanya “kesalahan biasa, seperti ketika pengguna secara tidak sengaja mengirim email ke data orang yang salah,” kata Grimes.

Sumber: Threat Post

Cybergang Mengklaim REvil Kembali, Menjalankan Serangan DDoS

by

Aktor yang mengaku sebagai kelompok ransomware yang sudah mati menargetkan salah satu pelanggan Akami dengan serangan Layer 7, menuntut pembayaran pemerasan dalam Bitcoin.

Geng ransomware REvil yang mati mengklaim bertanggung jawab atas kampanye penolakan layanan terdistribusi (DDoS) baru-baru ini terhadap pelanggan perhotelan penyedia jaringan cloud Akamai. Namun, sangat mungkin serangan itu bukan kebangkitan kelompok penjahat dunia maya yang terkenal, tetapi operasi peniru, kata para peneliti.

Peneliti Akamai telah memantau serangan DDoS sejak 12 Mei, ketika seorang pelanggan memperingatkan Tim Tanggap Insiden Keamanan (SIRT) perusahaan tentang upaya serangan oleh kelompok yang mengaku terkait dengan REvil, Akamai mengungkapkan dalam sebuah posting blog Rabu.

Namun, sementara penyerang mengklaim sebagai REvil, tidak jelas saat ini apakah kelompok ransomware yang mati bertanggung jawab, karena upaya tersebut tampaknya lebih kecil daripada kampanye serupa sebelumnya yang diklaim oleh kelompok tersebut, kata para peneliti.

Tampaknya juga ada motivasi politik di balik kampanye DDoS, yang tidak konsisten dengan taktik REvil sebelumnya, di mana kelompok tersebut mengklaim bahwa itu dimotivasi semata-mata oleh keuntungan finansial.

REvil, yang menjadi gelap pada Juli 2021, adalah grup ransomware-as-a-service (RaaS) yang berbasis di Rusia yang terkenal dengan serangan profil tinggi terhadap Kaseya, JBS Foods, dan Apple Computer, antara lain.

Akhirnya, pada Maret 2022, Rusia—yang hingga saat itu tidak berbuat banyak untuk menggagalkan operasi REvil—mengklaim bertanggung jawab untuk sepenuhnya membubarkan kelompok tersebut atas permintaan pemerintah AS, dengan menahan anggota individunya.

Salah satu dari mereka yang ditangkap pada saat itu berperan penting dalam membantu kelompok ransomware DarkSide dalam serangan yang melumpuhkan pada Mei 2021 terhadap Colonial Pipeline, yang mengakibatkan perusahaan membayar uang tebusan sebesar $5 juta.

Serangan DDoS baru-baru ini—yang akan menjadi poros REvil—terdiri dari permintaan HTTP GET sederhana di mana jalur permintaan berisi pesan ke target yang berisi pesan 554-byte yang menuntut pembayaran, kata para peneliti. Lalu lintas dalam serangan pada Layer 7 jaringan—lapisan interaksi manusia-komputer tempat aplikasi mengakses layanan jaringan—memuncak pada 15 kRps.

Korban diarahkan untuk mengirim pembayaran BTC ke alamat dompet yang “saat ini tidak memiliki riwayat dan tidak terkait dengan BTC yang diketahui sebelumnya,” tulis Cashdollar.

Serangan itu juga memiliki permintaan geospesifik tambahan yang meminta perusahaan yang ditargetkan untuk menghentikan operasi bisnis di seluruh negara, katanya. Secara khusus, penyerang mengancam akan meluncurkan serangan lanjutan yang akan memengaruhi operasi bisnis global jika permintaan ini tidak dipenuhi dan uang tebusan tidak dibayarkan dalam jangka waktu tertentu.

Modus operandi khas REvil adalah untuk mendapatkan akses ke jaringan atau organisasi target dan mengenkripsi atau mencuri data sensitif, menuntut pembayaran untuk mendekripsi atau mencegah kebocoran informasi kepada penawar tertinggi atau mengancam pengungkapan publik atas informasi sensitif atau merusak, katanya.

Teknik yang terlihat dalam serangan DDoS “menyimpang dari taktik normal mereka,” tulis Cashdollar. “Geng REvil adalah penyedia RaaS, dan tidak ada ransomware dalam insiden ini,” tulisnya.

Namun, ada kemungkinan bahwa REvil sedang mencari kebangkitan dengan mencelupkan kakinya ke dalam model bisnis baru pemerasan DDoS, katanya. Apa yang lebih mungkin adalah bahwa penyerang dalam kampanye hanya menggunakan nama kelompok penjahat dunia maya yang terkenal untuk menakut-nakuti organisasi yang ditargetkan agar memenuhi tuntutan mereka, kata Cashdollar.

Sumber: Threat Post

Eksploitasi dirilis untuk bug bypass autentikasi VMware yang kritis, tambal sekarang

by

Kode eksploit proof-of-concept sekarang tersedia online untuk kerentanan bypass otentikasi kritis di beberapa produk VMware yang memungkinkan penyerang mendapatkan hak istimewa admin.

VMware merilis pembaruan keamanan untuk mengatasi kelemahan CVE-2022-22972 yang memengaruhi Workspace ONE Access, VMware Identity Manager (vIDM), atau vRealize Automation.

Perusahaan juga membagikan solusi sementara untuk admin yang tidak dapat segera menambal peralatan yang rentan, mengharuskan mereka untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan.

Peneliti keamanan Horizon3 merilis eksploitasi proof-of-concept (PoC) dan analisis teknis untuk kerentanan ini hari ini, menyusul pengumuman yang dibuat pada hari Selasa bahwa PoC CVE-2022-22972 akan tersedia akhir pekan ini.

“Script ini dapat digunakan dengan bypass authentication pada vRealize Automation 7.6 menggunakan CVE-2022-22972,” kata para peneliti.

“Workspace ONE dan vIDM memiliki titik akhir otentikasi yang berbeda, tetapi inti dari kerentanannya tetap sama.

Sementara Shodan hanya menunjukkan sejumlah terbatas peralatan VMware yang terkena serangan yang akan menargetkan bug ini, ada beberapa organisasi kesehatan, industri pendidikan, dan pemerintah negara bagian dengan peningkatan risiko menjadi sasaran.

CVE-2022-22972 adalah kerentanan manipulasi header ‘Host’ yang relatif sederhana. Penyerang yang termotivasi tidak akan kesulitan mengembangkan eksploitasi untuk kerentanan ini,” tambah Horizon3.

Login berhasil sebagai admin vRealize Automation (Horizon3)

“Kerentanan kritis ini harus segera ditambal atau dimitigasi sesuai instruksi di VMSA-2021-0014,” VMware memperingatkan minggu lalu.

Cybersecurity and Infrastructure Security Agency (CISA) lebih lanjut menyoroti tingkat keparahan kelemahan keamanan ini dengan mengeluarkan Arahan Darurat baru yang memerintahkan lembaga Federal Civilian Executive Branch (FCEB) untuk segera memperbarui atau menghapus produk VMware dari jaringan mereka.

Pada bulan April, VMware telah menambal dua kerentanan kritis lainnya, bug eksekusi kode jarak jauh (CVE-2022-22954) dan eskalasi hak ‘root’ (CVE-2022-229600) di VMware Workspace ONE Access dan VMware Identity Manager.

Meskipun bypass auth VMware CVE-2022-22972 belum dieksploitasi di alam liar, penyerang telah mulai menyalahgunakan yang ditangani pada bulan April dalam waktu 48 jam ke sistem yang rentan pintu belakang dan menyebarkan penambang koin.

Sumber: Bleeping Computer