Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kontrol dan Praktik Keamanan yang Lemah Dieksploitasi Secara Rutin untuk Akses Awal

by

Otoritas keamanan siber Amerika Serikat, Kanada, Selandia Baru, Belanda, dan Inggris telah mengeluarkan Penasihat Keamanan Siber bersama (CSA) pada 10 kontrol keamanan yang lemah yang dieksploitasi secara rutin, konfigurasi yang buruk, dan praktik buruk yang memungkinkan pelaku jahat untuk menyusup ke jaringan. Meskipun praktik buruk ini mungkin umum, organisasi dapat menerapkan praktik dasar, seperti berikut ini, untuk membantu melindungi sistem mereka:

  • Akses kontrol.
  • Memperkuat kredensial.
  • Membangun manajemen log terpusat.
  • Gunakan solusi antivirus.
  • Gunakan alat deteksi.
  • Operasikan layanan yang terpapar pada host yang dapat diakses internet dengan konfigurasi aman.
  • Tetap perbarui perangkat lunak.

CISA mendorong organisasi untuk meninjau Kontrol dan Praktik Keamanan yang Lemah yang Dieksploitasi Secara Rutin untuk Akses Awal dan menerapkan mitigasi yang disarankan.

Sumber: CISA

Hapus Aplikasi Android Ini Sebelum Mereka Mencuri Kata Sandi Facebook dan Kripto Anda

by

Berikut adalah beberapa aplikasi yang harus Anda hapus secepatnya:

  • Daily Fitness OL
  • Enjoy Photo Editor
  • Panorama Camera
  • Photo Gaming Puzzle
  • Swarm Photo
  • Business Meta Manager
  • Cryptomining Farm Your own Coin

Kabar baiknya adalah ketujuh aplikasi pembawa malware ini telah segera dikeluarkan dari Play Store setelah Google diberi tahu tentang niat sebenarnya dan kemampuan mencuri data mereka.

Berita buruknya adalah itu tidak menyelesaikan pelanggaran jelas masalah privasi untuk semua pengguna Android yang menginstal aplikasi ini sebelum pengungkapan ini. Selain menghapus semua penyebab pada daftar di atas yang dapat Anda temukan di ponsel Anda, mungkin bijaksana untuk mengubah kata sandi Facebook Anda dan kredensial masuk lainnya untuk aplikasi dan layanan populer lainnya yang mungkin telah Anda simpan di perangkat Anda saat menggunakan aplikasi ini. Secepatnya!

Anda tidak boleh, selamanya, pernah mempercayai platform semacam itu (terutama platform dengan rekam jejak yang tidak terverifikasi dan tidak dapat diverifikasi) bahkan dengan kripto Anda yang bernilai satu dolar atau Anda akan berisiko kehilangan… semua yang ada di dompet Anda.

Sumber: PhoneArena

Google akan Mulai Mendistribusikan Koleksi Perpustakaan Perangkat Lunak Sumber Terbuka yang Diperiksa Keamanan

by

Google mengumumkan inisiatif baru pada hari Selasa yang bertujuan untuk mengamankan rantai pasokan perangkat lunak sumber terbuka dengan membuat dan mendistribusikan kumpulan paket sumber terbuka yang diperiksa keamanannya kepada pelanggan Google Cloud.

Layanan baru bermerek Assured Open Source Software diperkenalkan dalam posting blog dari perusahaan. Dalam postingan tersebut, Andy Chang, manajer produk grup untuk keamanan dan privasi di Google Cloud, menunjukkan beberapa tantangan dalam mengamankan perangkat lunak sumber terbuka dan menekankan komitmen Google terhadap sumber terbuka.

“Ada peningkatan kesadaran di komunitas pengembang, perusahaan, dan pemerintah tentang risiko rantai pasokan perangkat lunak,” tulis Chang, mengutip kerentanan log4j utama tahun lalu sebagai contoh. “Google terus menjadi salah satu pengelola, kontributor, dan pengguna open source terbesar dan sangat terlibat dalam membantu membuat ekosistem perangkat lunak open source lebih aman.”

Sesuai pengumuman Google, Assured Open Source Software akan memperluas manfaat pengalaman audit perangkat lunak Google yang ekstensif kepada pelanggan Cloud. Semua paket sumber terbuka yang tersedia melalui layanan ini juga digunakan secara internal oleh Google, kata perusahaan itu, dan secara teratur dipindai dan dianalisis untuk mengetahui kerentanannya.

Saat ini, daftar 550 perpustakaan sumber terbuka utama yang terus ditinjau oleh Google tersedia di GitHub. Meskipun semua perpustakaan ini dapat diunduh secara independen dari Google, program Assured OSS akan melihat versi yang diaudit didistribusikan melalui Google Cloud — mengurangi insiden di mana pengembang sengaja atau tidak sengaja merusak perpustakaan sumber terbuka yang banyak digunakan. Saat ini, layanan ini dalam mode akses awal dan diharapkan tersedia untuk pengujian pelanggan yang lebih luas pada Q3 2022.

Sumber: The Verge

Peretas menargetkan plugin Tatsu WordPress dalam jutaan serangan

by

Peretas secara besar-besaran mengeksploitasi kerentanan eksekusi kode jarak jauh, CVE-2021-25094, di plugin Tatsu Builder untuk WordPress, yang diinstal di sekitar 100.000 situs web.

Hingga 50.000 situs web diperkirakan masih menjalankan versi plugin yang rentan, meskipun patch telah tersedia sejak awal April.

Gelombang serangan besar dimulai pada 10 Mei 2022 dan mencapai puncaknya empat hari kemudian. Eksploitasi saat ini sedang berlangsung.

Tatsu Builder adalah plugin populer yang menawarkan fitur pengeditan template canggih yang terintegrasi langsung ke browser web.

Kerentanan yang ditargetkan adalah CVE-2021-25094, memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer di server dengan versi plugin yang kedaluwarsa (semua dibuat sebelum 3.3.12).

Cacat itu ditemukan oleh peneliti independen Vincent Michel, yang mengungkapkannya secara terbuka pada 28 Maret 2022, bersama dengan kode eksploitasi proof of concept (PoC).

Vendor merilis tambalan di versi 3.3.13 dan memberi tahu pengguna melalui email pada 7 April 2022, mendesak mereka untuk menerapkan pembaruan.

Jumlah situs yang diserang (Wordfence)

Wordfence, sebuah perusahaan yang menawarkan solusi keamanan untuk plugin WordPress, telah memantau serangan saat ini. Para peneliti memperkirakan bahwa ada antara 20.000 dan 50.000 situs web yang menjalankan versi Tatsu Builder yang rentan.

Wordfence melaporkan melihat jutaan serangan terhadap pelanggannya, memblokir 5,9 juta upaya kekalahan pada 14 Mei 2022.

Serangan terdeteksi dan diblokir oleh Wordfence

Volume telah menurun pada hari-hari berikutnya, tetapi upaya eksploitasi terus berlanjut pada tingkat yang tinggi.

Pelaku ancaman mencoba menyuntikkan penetes malware ke dalam subfolder dari direktori “wp-content/uploads/typehub/custom/” dan menjadikannya file tersembunyi.

Fungsi pemeriksaan file ekstensi melewatkan file tersembunyi (darkpills)

Dropper bernama “.sp3ctra_XO.php” dan memiliki hash MD5 dari 3708363c5b7bf582f8477b1c82c8cbf8.

Wordfence melaporkan bahwa lebih dari satu juta serangan datang dari hanya tiga alamat IP: 148.251.183[.]254, 176.9.117[.]218, dan 217.160.145[.]62. Administrator situs web disarankan untuk menambahkan IP ini ke daftar blokir mereka.

Tentu saja, indikator kompromi ini tidak stabil dan penyerang dapat beralih ke yang lain, terutama sekarang setelah mereka diekspos ke publik.

Semua pengguna plugin Tatsu Builder sangat disarankan untuk meningkatkan ke versi 3.3.13 untuk menghindari risiko serangan.

Sumber: Bleeping Computer

Pelacak web pihak ketiga mencatat apa yang Anda ketik sebelum mengirimkan

by

Sebuah studi ekstensif yang melihat situs web peringkat 100k teratas telah mengungkapkan bahwa banyak yang membocorkan informasi yang Anda masukkan dalam formulir situs ke pelacak pihak ketiga bahkan sebelum Anda menekan kirim.

Data yang bocor ini mencakup pengenal pribadi, alamat email, nama pengguna, kata sandi, atau bahkan pesan yang dimasukkan ke dalam formulir dan kemudian dihapus dan tidak pernah benar-benar dikirimkan.

Kebocoran data ini licik karena pengguna internet secara otomatis berasumsi bahwa informasi yang mereka ketik di situs web tidak disimpan sampai mereka mengirimkannya, tetapi untuk hampir 3% dari semua situs yang diuji, ini tidak terjadi.

Penelitian dilakukan oleh peneliti universitas yang menggunakan crawler berbasis alat DuckDuckGo Tracker Radar Collector untuk memantau aktivitas eksfiltrasi.

Perayap dilengkapi dengan pengklasifikasi pembelajaran mesin yang telah dilatih sebelumnya yang mendeteksi bidang email dan kata sandi dan mencegat akses skrip ke bidang tersebut.

Diagram fungsi perayap (GitHub)

Para peneliti menguji 2,8 juta halaman di 100.000 situs dengan peringkat tertinggi di dunia dan menemukan bahwa 1.844 situs web memungkinkan pelacak mengeksfiltrasi alamat email sebelum dikirimkan saat dikunjungi dari Eropa.

Namun, ketika mengunjungi situs web yang sama dari AS, jumlah situs yang mengumpulkan informasi sebelum diserahkan melonjak menjadi 2.950.

Akhirnya, peneliti menentukan 52 situs web untuk mengumpulkan kata sandi dengan cara yang sama, tetapi semuanya mengatasi masalah tersebut setelah menerima laporan peneliti.

Tujuan pelacak situs web adalah untuk memantau aktivitas pengunjung, memperoleh titik data yang terkait dengan preferensi, mencatat interaksi, dan mempertahankan ID anonim (secara teoritis) persisten untuk setiap pengguna.

Situs tersebut menggunakan pelacak untuk memberikan pengalaman online yang lebih dipersonalisasi kepada penggunanya, tetapi mereka juga mengizinkan pelacak pihak ketiga untuk membantu pengiklan menayangkan iklan bertarget kepada pengunjung mereka dan meningkatkan keuntungan moneter.

Situs teratas menggunakan pelacak bocor (kuleuven.be)

Banyak dari pelacak pihak ketiga ini menggunakan skrip yang memantau penekanan tombol saat berada di dalam formulir, dan menyimpan konten, bahkan sebelum pengguna menekan tombol kirim

Dampak nyata dari memasukkan data pada formulir yang dicatat adalah kehilangan anonimitas pelacak, dan pada saat yang sama, risiko privasi dan keamanan muncul.

Data yang dikumpulkan oleh peneliti universitas menunjukkan bahwa masalahnya berasal dari sejumlah kecil pelacak yang lazim di web.

Misalnya, pelacak LiveRamp ditemukan di 662 situs yang alamat emailnya dicatat, Taboola ada di 383, Verizon mengumpulkan data dari 255 situs, dan Adobe’s Bizible berjalan di 191 situs.

Pelacak third party dan pemiliknya (kuleuven.be)

Dalam kategori perampasan kata sandi, Yandex berada di puncak daftar dengan jumlah kasus terkonfirmasi tertinggi.

Setengah dari pihak pertama dan ketiga yang terdaftar telah menanggapi para peneliti dengan komentar dan penjelasan, yang menghubungkan pengumpulan dengan kesalahan.

Perbedaan antara statistik UE dan AS dikaitkan dengan keberadaan GDPR, konteks peraturan hukum untuk melindungi data pribadi pengguna internet UE yang diproses oleh entitas online.

Kasus kepatuhan di sini tergantung pada pengungkapan pengumpulan data yang dimasukkan dalam formulir situs web, yang perlu dirinci dan didefinisikan dengan jelas.

Misalnya, ‘kami membagikan data pribadi Anda dengan mitra pemasaran tertentu’ tidak cocok untuk GDPR.

Menurut penelitian, eksfiltrasi email oleh pihak ketiga melalui pelacak melanggar setidaknya tiga persyaratan GDPR, yaitu prinsip transparansi, prinsip pembatasan tujuan, dan tidak adanya permintaan persetujuan.

Pelanggaran GDPR yang dikonfirmasi dapat dihukum dengan denda hingga 20.000.000 Euro atau hingga 4% dari omset tahunan global entitas.

Cara terbaik untuk mengatasi masalah ini adalah dengan memblokir semua pelacak pihak ketiga menggunakan pemblokir internal browser Anda. Semua browser utama memiliki pemblokir bawaan, dan Anda akan menemukannya di bagian privasi menu pengaturan.

Selain itu, layanan relai email pribadi memberi pengguna kemampuan untuk menghasilkan alamat email pseudonim, jadi meskipun seseorang mengambilnya, identifikasi tidak akan mungkin dilakukan.

Terakhir, bagi mereka yang ingin mengambil pendekatan yang lebih terlibat, para peneliti telah membuat dan merilis add-on browser bernama Leak Inspector, yang memantau peristiwa eksfiltrasi di situs mana pun dan memperingatkan pengguna yang sesuai.

Sumber: Bleeping Computer

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

by

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Pembaruan darurat Apple memperbaiki zero-day yang digunakan untuk meretas Mac, Jam Tangan

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dapat dieksploitasi oleh pelaku ancaman dalam serangan yang menargetkan perangkat Mac dan Apple Watch.

Zero-days adalah kelemahan keamanan yang tidak disadari oleh vendor perangkat lunak dan belum ditambal. Dalam beberapa kasus, jenis kerentanan ini mungkin juga memiliki eksploitasi konsep yang tersedia untuk umum sebelum tambalan tiba atau dapat dieksploitasi secara aktif di alam liar.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan bug keamanan ini “mungkin telah dieksploitasi secara aktif.”

Cacat tersebut adalah masalah penulisan di luar batas (CVE-2022-22675) di AppleAVD (ekstensi kernel untuk decoding audio dan video) yang memungkinkan aplikasi mengeksekusi kode arbitrer dengan hak istimewa kernel.

Bug tersebut dilaporkan oleh peneliti anonim dan diperbaiki oleh Apple di macOS Big Sur 11.6., watchOS 8.6, dan tvOS 15.5 dengan pemeriksaan batas yang ditingkatkan.

Daftar perangkat yang terpengaruh termasuk Apple Watch Series 3 atau lebih baru, Mac yang menjalankan macOS Big Sur, Apple TV 4K, Apple TV 4K (generasi ke-2), dan Apple TV HD.

Sementara Apple mengungkapkan laporan eksploitasi aktif di alam liar, itu tidak merilis info tambahan mengenai serangan ini.

Dengan menahan informasi, perusahaan kemungkinan bertujuan untuk memungkinkan pembaruan keamanan menjangkau sebanyak mungkin Apple Watch dan Mac sebelum penyerang mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan lain.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, tetap sangat disarankan untuk menginstal pembaruan keamanan macOS dan watchOS hari ini sesegera mungkin untuk memblokir upaya serangan.

Pada bulan Januari, Apple menambal dua zero-days lainnya yang dieksploitasi di alam liar untuk memungkinkan penyerang mendapatkan eksekusi kode arbitrer dengan hak kernel (CVE-2022-22587) dan melacak aktivitas penelusuran web dan identitas pengguna secara real-time (CVE-2022-22594) .

Satu bulan kemudian, Apple merilis pembaruan keamanan untuk menambal bug zero-day baru (CVE-2022-22620) yang dieksploitasi untuk meretas iPhone, iPad, dan Mac, yang menyebabkan crash OS dan eksekusi kode jarak jauh pada perangkat Apple yang disusupi.

Pada bulan Maret, dua lagi mengeksploitasi zero-days secara aktif di Intel Graphics Driver (CVE-2022-22674) dan dekoder media AppleAVD (CVE-2022-22675), yang terakhir juga di-backport hari ini di versi macOS yang lebih lama, di watchOS 8.6, dan di tvOS 15.5.

Lima zero-days ini berdampak pada iPhone (iPhone 6s dan yang lebih baru), Mac yang menjalankan macOS Monterey, dan beberapa model iPad.

Sepanjang tahun lalu, perusahaan juga menambal daftar panjang zero-days yang dieksploitasi di alam liar untuk menargetkan perangkat iOS, iPadOS, dan macOS.

Berikut daftar produk yang di update:

  • watchOS 8.6
  • tvOS 15.3
  • macOS Catalina
  • macOS Big Sur 11.6.6
  • macOS Monterey 12.4
  • iOS 15.5 and iPad OS 15.5
  • Xcode 13.4

Sumber: Bleeping Computer
Update Links: Software Patches Update

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

by

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs