Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Zyxel diam-diam memperbaiki kerentanan RCE kritis dalam produk firewall

by

Analis ancaman yang menemukan kerentanan yang memengaruhi beberapa produk Zyxel melaporkan bahwa perusahaan peralatan jaringan memperbaikinya melalui pembaruan diam yang dikeluarkan dua minggu lalu.

Lebih khusus lagi, peneliti keamanan di Rapid7 menemukan kelemahan tersebut, yang sekarang dilacak sebagai CVE-2022-30525 (skor CVSS v3: 9,8 – kritis), dan mengungkapkannya kepada Zyxel pada 13 April 2022.

Cacatnya adalah injeksi perintah jarak jauh yang tidak diautentikasi melalui antarmuka HTTP, yang memengaruhi firewall Zyxel yang mendukung Zero Touch Provisioning (ZTP). Versi firmware yang terpengaruh adalah ZLD5.00 hingga ZLD5.21 Patch 1.

CVE-2022-30525 berdampak pada model berikut:

USG FLEX 50, 50W, 100W, 200, 500, 700 menggunakan firmware 5.21 ke bawah
USG20-VPN dan USG20W-VPN menggunakan firmware 5.21 ke bawah
ATP 100, 200, 500, 700, 800 menggunakan firmware 5.21 dan di bawah
Produk ini biasanya digunakan di cabang kecil dan kantor pusat perusahaan untuk VPN, inspeksi SSL, perlindungan intrusi, keamanan email, dan pemfilteran web.

“Perintah dijalankan sebagai pengguna “bukan siapa-siapa”. Kerentanan ini dieksploitasi melalui /ztp/cgi-bin/handler URI dan merupakan hasil dari meneruskan input penyerang yang tidak bersih ke dalam metode os.system di lib_wan_settings.py,” jelas laporan Rapid 7.

“Fungsi yang rentan dipanggil terkait dengan perintah setWanPortSt. Seorang penyerang dapat menyuntikkan perintah sewenang-wenang ke dalam mtu atau parameter data.”

Zyxel mengkonfirmasi laporan dan validitas cacat dan berjanji untuk merilis pembaruan keamanan perbaikan pada Juni 2022, namun mereka merilis tambalan pada 28 April 2022, tanpa memberikan nasihat keamanan, detail teknis, atau panduan mitigasi kepada pelanggannya.

Hari ini, Rapid 7 menerbitkan laporan pengungkapannya bersama dengan modul Metasploit yang sesuai yang mengeksploitasi CVE-2022-30525 dengan menyuntikkan perintah di bidang MTU.

Peneliti yang menemukan cacat dan mengembangkan eksploitasi yang berfungsi untuk pengujian, Jake Baines, juga telah menerbitkan video demonstrasi berikut.

Konsekuensi khas dari serangan semacam itu adalah modifikasi file dan eksekusi perintah OS, yang memungkinkan pelaku ancaman mendapatkan akses awal ke jaringan dan menyebar secara lateral melalui jaringan.

“Firewall Zxyel yang terpengaruh oleh CVE-2022-30525 adalah apa yang biasanya kami sebut sebagai “poros jaringan”. Eksploitasi CVE-2022-30525 kemungkinan akan memungkinkan penyerang membangun pijakan di jaringan internal korban,” kata Rapid7 kepada BleepingComputer.

“Contoh nyata dari serangan semacam ini adalah serangan Phineas Fisher terhadap Tim Peretasan, di mana Fisher mengeksploitasi firewall/VPN yang menghadap internet.”

“Setelah Fisher memiliki akses penuh ke firewall/VPN, mereka dapat berpindah secara lateral ke sistem internal (misalnya database MongoDB, penyimpanan NAS, server Exchange).”

Karena detail teknis dari kerentanan telah dirilis dan sekarang didukung oleh Metasploit, semua admin harus segera memperbarui perangkat mereka sebelum pelaku ancaman mulai secara aktif mengeksploitasi kelemahan tersebut.

Rapid 7 melaporkan bahwa pada saat penemuan, setidaknya ada 16.213 sistem rentan yang terpapar ke internet, menjadikan kerentanan ini sebagai target yang menarik bagi pelaku ancaman.

Hasil Shodan dari firewall Zyxel yang rentan (Rapid7)

Jika pembaruan ke versi terbaru yang tersedia tidak memungkinkan, Anda disarankan untuk setidaknya menonaktifkan akses WAN ke antarmuka web administratif produk yang terpengaruh.

Sumber: Bleeping Computer

BPFdoor: Malware Linux siluman melewati firewall untuk akses jarak jauh

by

Malware backdoor yang baru-baru ini ditemukan bernama BPFdoor telah diam-diam menargetkan sistem Linux dan Solaris tanpa diketahui selama lebih dari lima tahun.

BPFdoor adalah backdoor Linux/Unix yang memungkinkan pelaku ancaman untuk terhubung dari jarak jauh ke shell Linux untuk mendapatkan akses penuh ke perangkat yang disusupi.

Malware tidak perlu membuka port, tidak dapat dihentikan oleh firewall, dan dapat merespons perintah dari alamat IP mana pun di web, menjadikannya alat yang ideal untuk spionase perusahaan dan serangan terus-menerus.

BPFdoor adalah backdoor pasif, artinya dapat mendengarkan pada satu atau lebih port untuk paket masuk dari satu atau lebih host, yang dapat digunakan penyerang untuk mengirim perintah dari jarak jauh ke jaringan yang disusupi.

Malware menggunakan Berkeley Packet Filter (BPF dalam nama pintu belakang), yang bekerja pada antarmuka lapisan jaringan yang dapat melihat semua lalu lintas jaringan dan mengirim paket pengiriman ke tujuan mana pun.

Karena posisinya pada tingkat yang rendah, BPF tidak mematuhi aturan firewall apa pun.

Ini memiliki versi untuk sistem Linux dan Solaris SPARC tetapi dapat juga di-porting ke BSD, BleepingComputer belajar dari Craig Rowland, pendiri Sandfly Security, sebuah perusahaan yang menawarkan solusi tanpa agen untuk melindungi sistem Linux.

BPFdoor hanya mem-parsing paket ICMP, UDP, dan TCP, memeriksanya untuk nilai data tertentu, dan juga kata sandi untuk dua jenis paket terakhir.

Apa yang membuat BPFDoor menonjol adalah ia dapat memantau port mana pun untuk paket ajaib, bahkan jika port tersebut digunakan oleh layanan sah lainnya, seperti server web, FTP, atau SSH.

Jika paket TCP dan UDP memiliki data “ajaib” yang tepat dan kata sandi yang benar, pintu belakang akan beraksi dengan menjalankan perintah yang didukung, seperti menyiapkan pengikatan atau shell terbalik.

sumber: Sandfly Security

Beaumont memberi tahu kami bahwa paket ICMP tidak memerlukan kata sandi, yang memungkinkannya memindai internet untuk menjalankan implan pintu BPF menggunakan fungsi ping.

Peneliti dapat menemukan aktivitas BPFdoor di jaringan organisasi di berbagai geografi, terutama AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar.

Anehnya, ia menemukan 11 server Speedtest yang terinfeksi BPFdoor. Peneliti mengatakan bahwa tidak jelas bagaimana mesin ini disusupi, terutama karena mereka berjalan pada perangkat lunak sumber tertutup.

Rowland mencatat dalam laporan teknis komprehensif di BPFdoor bahwa malware menggunakan beberapa taktik anti-penghindaran yang cerdas: Selengkapnya

Peneliti mengatakan bahwa tujuan dari tanggal palsu bisa untuk menyembunyikan malware dari pencarian mencari file baru di sistem.

Mengubah aturan firewall sangat penting karena memungkinkan penyerang untuk berkomunikasi dengan pintu belakang melalui lalu lintas yang tidak dapat ditandai oleh firewall sebagai mencurigakan.

Rowland menjelaskan bahwa ketika host yang terinfeksi menerima paket BPFdoor khusus, malware “akan menelurkan instance baru dan mengubah aturan iptables lokal untuk melakukan pengalihan dari host yang meminta ke port shell.”

Untuk lebih memperjelas, Rowland mengatakan bahwa untuk shell lokal, malware memodifikasi konfigurasi ‘iptables’ untuk mengarahkan semua lalu lintas yang datang dari penyerang melalui port yang sah ke kisaran port yang ditentukan dalam malware.

Dengan cara ini, penyerang dapat memilih koneksi melalui port mana pun karena akan dialihkan ke shell di belakang firewall.

Sumber: Craig Rowland, Sandfly Security

Analisis teknis lain pada BPFdoor dari Tristan Pourcelot dari perusahaan intelijen ancaman dan respons insiden ExaTrack, mencatat bahwa malware tersebut hadir dengan beberapa nama hardcode yang cocok dengan string perintah di dalam paket yang relevan:

justtryit, justrobot, dan justforfun untuk membuat shell pengikatan pada port 42391 hingga 42491
socket atau sockettcp untuk mengatur shell terbalik ke alamat IP yang ada dalam paket

Pourcelot mengatakan bahwa aktor ancaman memperbarui BPFdoor secara teratur, meningkatkan setiap rilis dengan nama yang berbeda untuk perintah, proses, atau file.

Misalnya, varian implan yang lebih baru beralih dari menggunakan kata kunci perintah ke hash MD5, kemungkinan dalam upaya untuk menghindari deteksi sepele.

Setidaknya ada 21 versi BPFdoor yang saat ini terdeteksi di platform pemindaian Virus Total, yang paling awal dikirimkan pada Agustus 2018.

Sementara tingkat deteksi untuk implan ini meningkat, terutama setelah Beaumont, Rowland, dan Pourcelot mempublikasikan temuan mereka, malware tersebut hampir tidak terlihat untuk waktu yang lama.

Satu varian BPFdoor untuk Solaris dari 2019 tidak terdeteksi hingga setidaknya 7 Mei ini. Saat ini, 28 mesin antivirus menandainya sebagai berbahaya.

Kevin Beaumont, BleepingComputer

Dalam beberapa kasus, pendeteksian bersifat umum dan secara tidak akurat menandai varian Solaris di atas sebagai malware Linux, meskipun itu bukan biner Linux.

Tristan Pourcelot mengatakan bahwa meskipun BPFdoor tidak menggunakan teknik baru atau rumit, BPFdoor masih tetap tersembunyi untuk waktu yang lama.

Ini dapat dijelaskan oleh fakta bahwa teknologi pemantauan malware tidak umum di lingkungan Linux seperti di Windows. Juga, “vendor memiliki visibilitas yang jauh lebih sedikit,” kata Beaumont

Craig Rowland setuju bahwa ini adalah masalah besar. Bahkan jika ada pemantauan, orang tidak tahu apa yang harus dicari atau menggunakan pendekatan yang salah untuk menemukan malware Linux.

Peneliti memberi tahu kami bahwa beberapa administrator menggunakan hash kriptografis untuk memindai sistem dari malware atau file berbahaya. Ini tidak berfungsi dengan baik karena perubahan terkecil dalam file menghasilkan hash baru.

Rowland mengatakan bahwa berburu BPFdoor itu mudah, setidaknya untuk versi Linux yang dia analisis, karena taktiknya dengan jelas menunjukkan bahwa mereka “hanya berbahaya di luar kotak.”

Sumber: Craig Rowland, Keamanan Sandfly

Kode sumber untuk BPFdoor versi lama dari 2018 telah ditemukan oleh Florian Roth, pencipta pemindai THOR APT Sistem Nextron. Kode sekarang tersedia untuk umum di Pastebin.

Para peneliti BleepingComputer berbicara tentang BPFdoor tidak mengaitkan malware dengan aktor ancaman apa pun. Namun dalam laporan tahunan tentang ancaman siber, peneliti dari PricewaterhouseCoopers (PwC) mencatat bahwa mereka menemukan implan pintu BPF selama keterlibatan respons insiden.

PwC mengaitkan intrusi tersebut dengan aktor berbasis di China yang mereka lacak sebagai Red Menshen (sebelumnya Red Dev 18), yang telah menggunakan BPFdoor pada “penyedia telekomunikasi di seluruh Timur Tengah dan Asia, serta entitas di pemerintahan, pendidikan, dan logistik. sektor.”

Selama penyelidikan, peneliti PwC menemukan bahwa pada tahap pasca-eksploitasi serangan mereka, Red Menshen menggunakan varian khusus dari pintu belakang Mangzamel dan alat akses jarak jauh (RAT) Gh0st bersama dengan alat sumber terbuka seperti Mimikatz (untuk mengekstrak kredensial) dan Metasploit suite pengujian penetrasi, untuk gerakan lateral pada sistem Windows.

Para peneliti mencatat bahwa aktivitas Red Menshen berlangsung dalam interval waktu sembilan jam, antara pukul 01:00 dan 10:00 UTC, yang mungkin sejalan dengan jam kerja lokal.

Sumber: Bleeping Computer

HP memperbaiki bug yang memungkinkan penyerang menimpa firmware di lebih dari 200 model

by

HP telah merilis pembaruan BIOS hari ini untuk memperbaiki dua kerentanan tingkat tinggi yang memengaruhi berbagai produk PC dan notebook, yang memungkinkan kode dijalankan dengan hak istimewa Kernel.

Hak istimewa tingkat kernel adalah hak tertinggi di Windows, memungkinkan pelaku ancaman untuk menjalankan perintah apa pun di tingkat Kernel, termasuk memanipulasi driver dan mengakses BIOS.

Cacat dilacak sebagai CVE-2021-3808 dan CVE-2021-3809, dan keduanya memiliki skor dasar CVSS 3.1 sebesar 8,8, memberi mereka peringkat keparahan yang tinggi. Saat ini, HP tidak memberikan rincian teknis tentang kekurangan ini.

Daftar produk yang terpengaruh termasuk notebook bisnis seperti Zbook Studio, ZHAN Pro, EliteBook, ProBook, dan Elite Dragonfly, PC desktop bisnis seperti EliteDesk dan ProDesk, komputer PoS ritel seperti Engage, workstation seperti Z1 dan Z2, dan PC thin client .

Untuk daftar lengkap semua model yang terpengaruh dan SoftPaq yang sesuai untuk digunakan dalam setiap kasus, periksa halaman saran keamanan dan cari perangkat Anda. Perhatikan bahwa tidak semua produk yang terdaftar telah menerima tambalan perbaikan.

Nicholas Starke, peneliti yang menemukan kekurangan ini pada November 2021, dan melaporkannya ke HP, menjelaskan masalahnya secara lebih rinci dalam posting blog terpisah.

Masalahnya tampaknya penangan SMI dapat dipicu dari lingkungan OS, misalnya, melalui driver kernel Windows.

Pengendali SMI yang rentan (StarkeBlog)

Penyerang perlu menemukan alamat memori dari fungsi “LocateProtocol” dan menimpanya dengan kode berbahaya. Terakhir, penyerang dapat memicu eksekusi kode dengan menginstruksikan pengendali SMI untuk mengeksekusi.

Penting untuk digarisbawahi bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki hak akses root/tingkat SISTEM pada sistem target, dan mengeksekusi kode dalam Mode Manajemen Sistem (SMM).

Tujuan akhir dari serangan semacam itu adalah untuk menimpa Implementasi UEFI (BIOS) dari mesin dengan gambar BIOS yang dikendalikan penyerang. Ini berarti penyerang dapat menanam malware persisten yang tidak dapat dihapus oleh alat antivirus, dan bahkan dengan penginstalan ulang OS.

Terakhir, penting juga untuk menyoroti bahwa beberapa model komputer HP memiliki mitigasi yang harus dilewati penyerang agar eksploitasi berfungsi, seperti sistem HP Sure Start misalnya.

Peneliti menjelaskan bahwa HP Sure Start dapat mendeteksi gangguan semacam ini dan mematikan host pada tindakan korupsi memori. Kemudian, pada startup pertama, peringatan akan ditampilkan kepada pengguna bersama dengan prompt untuk menyetujui boot sistem.

Perbaikan terbaru HP datang hanya dua bulan setelah pembuat komputer memasang 16 bug firmware UEFI dan tiga bulan setelah mengatasi serangkaian kelemahan BIOS yang berbeda.

Sumber: Bleeping Computer

Malware Nerbian RAT siluman baru terlihat dalam serangan yang sedang berlangsung

by

Sebuah trojan akses jarak jauh baru yang disebut Nerbian RAT telah ditemukan yang mencakup serangkaian fitur yang kaya, termasuk kemampuan untuk menghindari deteksi dan analisis oleh para peneliti.

Varian malware baru ditulis dalam Go, menjadikannya ancaman 64-bit lintas platform, dan saat ini didistribusikan melalui kampanye distribusi email skala kecil yang menggunakan lampiran dokumen yang dicampur dengan makro.

Kampanye malware yang mendistribusikan Nerbian RAT meniru Organisasi Kesehatan Dunia (WHO), yang diduga mengirimkan informasi COVID-19 ke target.

Lampiran RAR berisi dokumen Word yang dicampur dengan kode makro berbahaya, jadi jika dibuka di Microsoft Office dengan konten yang disetel ke “diaktifkan”, file bat melakukan langkah eksekusi PowerShell untuk mengunduh penetes 64-bit.

Dropper, bernama “UpdateUAV.exe,” juga ditulis dalam bahasa Golang dan dikemas dalam UPX agar ukurannya tetap dapat diatur.

UpdateUAV menggunakan kembali kode dari berbagai proyek GitHub untuk menggabungkan serangkaian mekanisme anti-analisis dan penghindaran deteksi yang kaya sebelum Nerbian RAT disebarkan.

Selain itu, penetes juga menetapkan ketekunan dengan membuat tugas terjadwal yang meluncurkan RAT itu setiap jam.

Proofpoint merangkum daftar alat anti-analisis sebagai berikut:

  • Periksa keberadaan program rekayasa balik atau debugging dalam daftar proses
  • Periksa alamat MAC yang mencurigakan
  • Periksa string WMI untuk melihat apakah nama disk sah
  • Periksa apakah ukuran hard disk di bawah 100GB, yang merupakan tipikal untuk mesin virtual
  • Periksa apakah ada analisis memori atau program deteksi gangguan yang ada dalam daftar proses
  • Periksa jumlah waktu yang telah berlalu sejak eksekusi dan bandingkan dengan ambang batas yang ditetapkan
  • Gunakan IsDebuggerPresent API untuk menentukan apakah executable sedang di-debug

Semua pemeriksaan ini secara praktis membuat RAT tidak mungkin berjalan di lingkungan tervirtualisasi kotak pasir, memastikan siluman jangka panjang untuk operator malware.

Trojan diunduh sebagai “MoUsoCore.exe” dan disimpan ke “C:\ProgramData\USOShared\”. Ini mendukung beberapa fungsi, sementara operatornya memiliki opsi untuk mengonfigurasinya dengan beberapa di antaranya.

Dua dari fungsi utamanya adalah keylogger yang menyimpan penekanan tombol dalam bentuk terenkripsi dan alat penangkap layar yang berfungsi di semua platform OS.

Komunikasi dengan server C2 ditangani melalui SSL (Secure Sockets Layer), sehingga semua pertukaran data dienkripsi dan dilindungi dari pemeriksaan dalam perjalanan dari alat pemindaian jaringan.

Proses infeksi lengkap (Proofpoint)

Tanpa ragu, Proofpoint telah menemukan malware baru yang menarik dan kompleks yang berfokus pada siluman melalui berbagai pemeriksaan, komunikasi terenkripsi, dan pengaburan kode.

Untuk saat ini, Nerbian RAT didistribusikan melalui kampanye email bervolume rendah, jadi ini belum menjadi ancaman besar, tetapi ini bisa berubah jika pembuatnya memutuskan untuk membuka bisnis mereka ke komunitas kejahatan dunia maya yang lebih luas.

Sumber: Bleeping Computer

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

by

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

AMD, Mitra Google dalam Upaya Keamanan Siber EPYC yang Belum Pernah Ada Sebelumnya

by

AMD dan Google telah mengumumkan kolaborasi tingkat dalam yang rumit pada penelitian keamanan siber untuk CPU EPYC kelas server AMD — yang sekarang telah berjalan selama lima tahun. Menurut Wired, kemitraan ini memanfaatkan dua tim peneliti Google Cloud Security bersama dengan Project Zero Google (bagian penelitian keamanan siber di dalam perusahaan), dan grup firmware AMD.

Tujuannya adalah untuk menempatkan perangkat keras AMD dan prosesor yang aman melalui langkah mereka melalui akses yang tampaknya belum pernah terjadi sebelumnya ke kode sumber dan mekanisme keamanan AMD. Dalam laporan post-mortem tentang kolaborasi (yang sedang berlangsung), kemitraan tersebut mengumumkan penemuan dan penyebaran mitigasi untuk 19 kerentanan keamanan secara total. Itu berarti 19 vektor serangan lebih sedikit di salah satu arsitektur server paling sukses di dunia.

Para peneliti terutama memfokuskan upaya mereka pada AMD’s Secure Processor (ASP) seperti yang diterapkan di EPYC generasi ketiga AMD, Milan. Insinyur Google diberi akses ke kode sumber untuk ASP, di samping sampel produksi untuk menguji serangan perangkat keras. Yang menarik bagi Google adalah implementasi generasi berikutnya dari Secure Nested Paging (SEV-SNP), sebuah kemampuan yang memungkinkan Mesin Virtual (VM) tetap rahasia terhadap hypervisor itu sendiri. Tim teknik meninjau desain dan implementasi kode sumber SEV, menulis kode pengujian khusus, dan menjalankan pengujian keamanan perangkat keras, mencoba mengidentifikasi potensi kerentanan yang muncul.

Brent Hollingsworth, direktur AMD dari ekosistem perangkat lunak EPYC, menunjukkan bahwa kemitraan tersebut menyatukan AMD dan Google yang terbaik dan tercerdas, membuka ruang untuk vektor serangan yang sebelumnya tidak diketahui, dan mendorong kreativitas pada lapisan serangan – baik berbasis perangkat lunak atau perangkat keras.

Sebagai “chip-in-the-chip” yang bertanggung jawab untuk enkripsi data kriptografi, ASP AMD adalah “inti” prosesor generik yang fitur-fiturnya dapat dibangun oleh AMD dan tim desain perangkat keras dan firmware. Tetapi dengan setiap lapisan keamanan tambahan, ada peluang untuk menambahkan vektor serangan terhadap mekanisme keamanan terpusat ini – titik kegagalan yang berpotensi parah yang dapat membuat keamanan seluruh sistem keluar dari jendela pepatah (dengan akses root yang tidak terlihat) jika itu dikompromikan.

Pada tingkat dampak inilah kemitraan AMD-Google dibentuk; menurut Nelly Porter, manajer produk grup dengan Google Cloud, tujuannya bukan untuk menunjuk jari atau menyebut kerentanan AMD — ini adalah upaya gabungan dan kolaboratif bagi perusahaan untuk menopang pertahanan mereka terhadap penyerang yang semakin kreatif dan terampil secara teknis. Keamanan siber selalu dianggap berada di belakang mereka yang akan memecahkannya; baik AMD maupun Google ingin menjadi yang terdepan dalam upaya membalikkan permainan.

Kemitraan ini sebagian besar dimotivasi oleh penawaran Google atas layanan Komputasi Rahasia, yang bertujuan untuk menjaga agar data pelanggan tetap terenkripsi setiap saat – baik saat istirahat, dalam perjalanan, atau selama pemrosesan. Mengikuti meningkatnya ketergantungan pada layanan komputasi awan (mulai dari beban kerja klasik yang diturunkan ke cloud, cloud gaming, atau bahkan sistem operasi berbasis cloud seperti Microsoft Windows 365 Cloud), risiko yang ditimbulkan oleh potensi kerentanan dalam infrastruktur keamanan dapat berasal dari miliaran dolar kerugian. Mempertimbangkan peran AMD dalam upaya penelitian, perusahaan sangat menyadari manfaat yang dapat diperoleh dari keahlian kedua perusahaan dalam meningkatkan produknya.

Keamanan siber adalah salah satu upaya terpenting di dunia, mengikuti digitalisasi layanan yang hampir lengkap, uang (baik dalam rekening bank tradisional berbasis FIAT atau yang sedang berdarah, jalan merah crypto dan DeFi), dan infrastruktur global. Membalik satu biner menuju nol berpotensi menjungkirbalikkan globalisasi dan ekonomi di seluruh dunia. Dan itu adalah sesuatu yang tidak diinginkan oleh perusahaan atau individu mana pun.

Sumber: Tom’s Hardware

Peretas Menghapus Alternatif Rusia Selain YouTube, Rutube

by

Peretas mengklaim bahwa kode sumber layanan streaming video Rusia telah dihapus, dan video yang diunggah tidak dapat dipulihkan.

Kelompok peretas anonim PuckArks mengklaim bahwa peretas telah melanggar Rutube, layanan streaming video Rusia yang populer. Peretas mengklaim bahwa kode Rutube telah dihapus, layanan video tidak dapat diperbaiki, dan kode akses bocor atau dilanggar.

Pada saat penulisan artikel ini, situs web Rutube menampilkan pesan dalam bahasa Rusia, yang mengatakan bahwa situs tersebut telah diserang, namun tim Rutube berhasil menyimpan data pengguna.

Rutube merilis pernyataan di saluran Telegram resminya, mengklaim bahwa informasi tentang hilangnya kode sumber tidak benar. Namun, layanan streaming mengakui menghadapi ‘serangan cyber paling kuat dalam sejarah Rutube’.

“Pemulihan akan memakan waktu lebih lama dari yang diantisipasi para insinyur. Namun, perkiraan suram tidak ada hubungannya dengan keadaan saat ini: kode sumber tersedia, perpustakaannya utuh,” bunyi pernyataan perusahaan.

Rutube dimiliki oleh konglomerat media milik negara Gazprom-Media. Perusahaan juga memiliki VKontakte, jejaring sosial utama Rusia, serta puluhan saluran televisi dan stasiun radio.

Sejak Rusia menginvasi Ukraina pada 24 Februari, otoritas negara itu mulai membatasi akses ke layanan streaming Barat, yang memicu pertumbuhan Rutube.

Menurut similarweb.com, pemirsa Rutube tumbuh dari 8,5 juta pada Februari menjadi 63,6 juta pada April.

Serangan terhadap Rutube tampaknya menjadi bagian dari upaya yang lebih besar untuk menggagalkan jangkauan media Rusia selama perayaan 9 Mei, ketika negara itu memperingati kemenangan Uni Soviet dalam Perang Dunia Kedua.

Sumber: Cybernews

Google Cloud Ternyata Memiliki Masalah Keamanan Bahkan Firewall Tidak Bisa Berhenti

by

Kesalahan konfigurasi di Google Cloud Platform telah ditemukan yang dapat memberi pelaku ancaman kontrol penuh atas titik akhir mesin virtual (VM) target, kata para peneliti.

Dalam posting blog yang diterbitkan oleh pakar respons insiden cloud Mitiga, perusahaan mencatat bahwa dengan menggunakan fitur sistem yang sah, penyerang potensial dapat membaca dan menulis data dari VM yang secara teori dapat mengakibatkan pengambilalihan sistem secara lengkap.

Mitiga menekankan bahwa ini bukan kerentanan, atau kesalahan sistem – ini digambarkan sebagai “fungsi yang berbahaya”.

Mitiga mencatat bahwa pelaku ancaman dapat menggunakan API metadata yang terbuka, bernama “getSerialPortOutput”, yang biasanya melacak dan membaca kunci pada port serial.

Para peneliti menggambarkan panggilan API sebagai “metode lama dari sistem debugging”, karena port serial bukanlah port dalam pengertian TCP/UP, melainkan file dalam bentuk /dev/ttySX, mengingat ini adalah Linux.

Setelah mengungkapkan temuan ke Google, perusahaan setuju bahwa kesalahan konfigurasi dapat digunakan untuk melewati pengaturan firewall. Mitiga menyarankan Google mengubah dua hal dalam fungsi getSerialPortOutput – membatasi penggunaannya hanya untuk akun dengan izin tinggi, dan mengizinkan perusahaan untuk menonaktifkan penambahan atau perubahan metadata Compute VM saat runtime.

Selain itu, perusahaan merekomendasikan Google untuk merevisi dokumentasi GCP-nya, untuk lebih memperjelas bahwa firewall dan kontrol akses jaringan lainnya tidak sepenuhnya membatasi akses ke VM.

Sumber: TechRadar