Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pengembang Linux menambal lubang keamanan lebih cepat daripada siapa pun, kata Google Project Zero

by

Ada banyak FUD tentang bagaimana Linux baru-baru ini terbukti kurang aman daripada sistem berpemilik. Itu tidak masuk akal. Tapi, sekarang ada fakta keras dari Project Zero Google, tim peneliti keamanan Google, yang menunjukkan bahwa pengembang Linux melakukan pekerjaan yang lebih cepat untuk memperbaiki bug keamanan daripada siapa pun, termasuk Google.

Project Zero melihat bug yang diperbaiki yang telah dilaporkan antara Januari 2019 dan Desember 2021. Para peneliti menemukan bahwa programmer open-source memperbaiki masalah Linux rata-rata hanya dalam 25 hari. Selain itu, pengembang Linux telah meningkatkan kecepatan mereka dalam menambal lubang keamanan dari 32 hari di tahun 2019 menjadi hanya 15 hari di tahun 2021.

Persaingannya tidak terlalu bagus. Misalnya, Apple, 69 hari; Google, 44 hari; dan Mozilla, 46 hari. Masuk di bagian bawah adalah Microsoft, 83 hari, dan Oracle, meskipun hanya dengan sedikit masalah keamanan, dengan 109 hari. Menurut hitungan Project Zero, yang lain, yang terutama mencakup organisasi dan perusahaan open-source seperti Apache, Canonical, Github, dan Kubernetes, masuk dengan 44 hari yang terhormat.

Umumnya, semua orang semakin cepat dalam memperbaiki bug keamanan. Pada tahun 2021, vendor membutuhkan waktu rata-rata 52 hari untuk memperbaiki kerentanan keamanan yang dilaporkan. Hanya tiga tahun yang lalu rata-rata adalah 80 hari. Secara khusus, kru Project Zero mencatat bahwa Microsoft, Apple, dan Linux semuanya secara signifikan mengurangi waktu mereka untuk memperbaiki selama dua tahun terakhir.

Selengkapnya: ZDNet

Tim Microsoft Diincar Oleh Trojan yang Mengambil Alih Perangkat

by

Pelaku ancaman menargetkan pengguna Microsoft Teams dengan menanam dokumen berbahaya di utas obrolan yang mengeksekusi Trojan yang pada akhirnya dapat mengambil alih mesin pengguna akhir, menurut temuan para peneliti.

Pada bulan Januari, para peneliti di Avanan, sebuah Perusahaan Check Point, mulai melacak kampanye, yang menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan Teams yang, ketika diklik, akhirnya mengambil alih komputer pengguna, menurut laporan yang diterbitkan Kamis.

“Menggunakan file yang dapat dieksekusi, atau file yang berisi instruksi untuk dieksekusi sistem, peretas dapat menginstal file DLL dan memungkinkan program untuk mengatur sendiri dan mengambil kendali atas komputer,” tulis peneliti dan analis keamanan siber di Avanan Jeremy Fuchs dalam sebuah laporan. “Dengan melampirkan file ke serangan Teams, peretas telah menemukan cara baru untuk menargetkan jutaan pengguna dengan mudah.”

Penjahat dunia maya telah lama menargetkan suite pembuatan dan berbagi dokumen Microsoft yang ada di mana-mana – Office lawas dan versi berbasis cloud-nya, Office 365 – dengan serangan terhadap aplikasi individual dalam suite seperti PowerPoint serta kompromi email bisnis dan penipuan lainnya.

Sekarang Microsoft Teams – rangkaian komunikasi dan kolaborasi bisnis – muncul sebagai permukaan serangan yang semakin populer bagi penjahat dunia maya, kata Fuchs.

Minat ini dapat dikaitkan dengan lonjakan penggunaannya selama pandemi COVID-19, karena banyak karyawan organisasi yang bekerja dari jarak jauh mengandalkan aplikasi untuk berkolaborasi. Memang, jumlah pengguna aktif harian Teams hampir dua kali lipat selama setahun terakhir, meningkat dari 75 juta pengguna pada April 2020 menjadi 145 juta pada kuartal kedua 2021, menurut Statista.

Selengkapnya: Threat Post

Kerentanan dalam program Linux memungkinkan eskalasi hak istimewa lokal, lapor peneliti

by

Kerentanan yang baru diungkapkan dalam program Linux dapat dieksploitasi untuk peningkatan hak istimewa lokal — dan pada akhirnya untuk memperoleh hak akses root, kata peneliti di vendor keamanan siber Qualys hari ini.

Kerentanan (CVE-2021-44731) — yang memengaruhi sistem Snap Canonical untuk mengemas dan menyebarkan perangkat lunak — tidak dapat dieksploitasi dari jarak jauh. Namun, “jika penyerang dapat masuk sebagai pengguna yang tidak memiliki hak istimewa, kerentanan dapat dengan cepat dieksploitasi untuk mendapatkan hak akses root,” kata para peneliti dalam sebuah posting blog.

Snap digunakan untuk sistem operasi berbasis Linux seperti Ubuntu, dan paketnya disebut sebagai “snaps.” Platform snap “telah dikembangkan untuk membawa instalasi aplikasi yang aman ke Ubuntu dan distribusi Linux lainnya,” kata Canonical dalam sebuah pernyataan yang diberikan kepada VentureBeat pada hari Kamis.

Melalui publikasi Pengembang XDA baru-baru ini, “Aplikasi Snap lebih portabel daripada perangkat lunak Linux tradisional, dan kebanyakan dari mereka dikemas untuk mencegah beberapa masalah keamanan umum.”

Alat untuk menggunakan snap, sementara itu, disebut snapd – dan alat ini bekerja “di berbagai distribusi Linux dan memungkinkan pengembang perangkat lunak hulu untuk mendistribusikan aplikasi mereka langsung ke pengguna,” kata peneliti Qualys dalam posting tersebut.

Selengkapnya: Venture Beat

Pejabat DOJ memperingatkan perusahaan ‘bodoh’ untuk tidak menopang keamanan siber di tengah ketegangan Rusia

by

Seorang pejabat tinggi Departemen Kehakiman mengeluarkan peringatan keras pada hari Kamis kepada perusahaan-perusahaan di AS dan luar negeri, menyerukan mereka untuk segera menopang pertahanan keamanan siber mereka di tengah potensi invasi Rusia ke Ukraina.

“Mengingat ketegangan yang sangat tinggi yang kami alami, perusahaan dari berbagai ukuran dan ukuran akan bodoh jika tidak bersiap sekarang saat kita berbicara — untuk meningkatkan pertahanan mereka, melakukan hal-hal seperti menambal, meningkatkan sistem peringatan mereka, untuk memantau keamanan siber mereka secara real-time,” kata wakil jaksa agung Lisa Monaco dalam sambutannya di Konferensi Keamanan Siber Munich.

“Mereka harus seperti yang kita katakan, ‘melindungi’ dan benar-benar berada pada tingkat kewaspadaan paling tinggi yang mereka bisa dan mengambil semua tindakan pencegahan yang diperlukan.”

Monaco mengatakan ancaman itu sama sekali tidak “hipotetis,” mengutip serangan siber NotPetya yang menghancurkan pada tahun 2017 yang dimulai di Ukraina sebelum menyebar secara global dan menyebabkan kerusakan senilai miliaran dolar.

“Saya pikir penjahat dunia maya perlu tahu bahwa – dan pelaku kejahatan dunia maya perlu tahu – bahwa serangan terhadap infrastruktur penting tidak dapat diterima dan akan ditanggapi,” kata Monaco.

Itu terjadi ketika berbagai lembaga AS memperingatkan awal pekan ini tentang serangan siber yang terjadi pada saat yang sama dengan potensi invasi Rusia ke Ukraina.

Pada panggilan telepon dengan pejabat negara bagian dan lokal pada hari Senin, pejabat tinggi keamanan siber dari Departemen Keamanan Dalam Negeri dan FBI memperingatkan potensi serangan terhadap infrastruktur siber AS bersamaan dengan invasi fisik ke Ukraina, menurut seseorang yang mengetahui panggilan tersebut.

Selengkapnya: ABC News

Peretas menyelinap ke obrolan Microsoft Teams untuk mendistribusikan malware

by

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Para peneliti di Avanan menemukan bahwa peretas mulai menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan di platform komunikasi Microsoft Teams.

Serangan dimulai pada bulan Januari, perusahaan mengatakan dalam sebuah laporan hari ini, dan aktor ancaman memasukkan dalam obrolan file yang dapat dieksekusi yang disebut “User Centric” untuk mengelabui pengguna agar menjalankannya. Setelah dijalankan, malware menulis data ke dalam registri sistem, menginstal DLL dan membuat kegigihan pada mesin Windows.

Metode yang digunakan untuk mendapatkan akses ke akun Teams masih belum jelas tetapi beberapa kemungkinan termasuk mencuri kredensial untuk email atau Microsoft 365 melalui phishing atau membahayakan organisasi mitra.

Analisis otomatis dari malware yang didistribusikan dengan cara ini menunjukkan bahwa trojan dapat membangun kegigihan melalui kunci Windows Registry Run atau dengan membuat entri di folder startup.

Itu juga mengumpulkan informasi terperinci tentang sistem operasi dan perangkat keras yang dijalankannya, bersama dengan status keamanan mesin berdasarkan versi OS dan tambalan yang diinstal.

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Lebih dari 270 juta pengguna mengandalkan Microsoft Teams setiap bulan, banyak dari mereka mempercayai platform secara implisit, meskipun tidak ada perlindungan terhadap file berbahaya.

Perusahaan menganalisis data dari rumah sakit yang menggunakan Teams dan menemukan bahwa dokter menggunakan platform untuk berbagi informasi medis tanpa batas.

Sementara individu biasanya curiga terhadap informasi yang diterima melalui email, karena pelatihan kesadaran phishing email, mereka tidak menunjukkan kehati-hatian dengan file yang diterima melalui Teams.

Selain itu, Teams menyediakan kemampuan akses tamu dan eksternal yang memungkinkan kolaborasi dengan orang-orang di luar perusahaan. Avanan mengatakan bahwa undangan ini biasanya dipenuhi dengan sedikit pengawasan.

Para peneliti mengatakan bahwa masalah ini diperparah oleh “fakta bahwa perlindungan default Teams kurang, karena pemindaian tautan dan file berbahaya terbatas” dan “banyak solusi keamanan email tidak menawarkan perlindungan yang kuat untuk Teams.”

Untuk mempertahankan diri dari serangan semacam itu, Avanan merekomendasikan hal berikut:

• Menerapkan perlindungan yang mengunduh semua file di kotak pasir dan memeriksanya untuk konten berbahaya
• Terapkan keamanan suite lengkap yang kuat yang mengamankan semua lini komunikasi bisnis, termasuk Teams
• Dorong pengguna akhir untuk menghubungi TI saat melihat file yang tidak dikenal

Sumber :

FBI memperingatkan penyerang BEC yang menyamar sebagai CEO dalam pertemuan virtual

by

Biro Investigasi Federal (FBI) hari ini memperingatkan bahwa organisasi dan individu AS semakin menjadi sasaran dalam serangan BEC (kompromi email bisnis) pada platform pertemuan virtual.

Penipu BEC dikenal menggunakan berbagai taktik (termasuk rekayasa sosial, phishing, dan peretasan) untuk menyusupi akun email bisnis dengan tujuan akhir mengalihkan pembayaran ke rekening bank mereka sendiri.

Dalam jenis serangan ini, para penjahat menargetkan bisnis kecil, menengah, dan besar, serta individu. Tingkat keberhasilannya juga sangat tinggi karena penipu biasanya berpura-pura sebagai orang yang dipercaya oleh karyawan, seperti mitra bisnis atau CEO.

FBI mengatakan mereka melihat scammers beralih ke platform pertemuan virtual yang cocok dengan tren keseluruhan bisnis yang pindah ke pekerjaan jarak jauh selama pandemi.

Seperti yang dijelaskan dalam PSA FBI, para penjahat menggunakan platform kolaborasi tersebut dalam serangan mereka dengan berbagai cara, termasuk menyamar sebagai CEO dalam rapat virtual dan menyusup ke rapat untuk mengumpulkan informasi bisnis:

  • Mengganggu email majikan atau direktur keuangan, seperti CEO atau CFO, dan meminta karyawan untuk berpartisipasi dalam platform pertemuan virtual di mana penjahat akan menyisipkan gambar diam CEO tanpa audio, atau audio “deep fake1”, dan mengklaim mereka video/audio tidak berfungsi dengan baik. Mereka kemudian melanjutkan untuk menginstruksikan karyawan untuk melakukan transfer dana melalui obrolan platform pertemuan virtual atau dalam email tindak lanjut.
  • Mengkompromikan email karyawan untuk memasukkan diri mereka ke dalam rapat di tempat kerja melalui platform rapat virtual untuk mengumpulkan informasi tentang operasi bisnis sehari-hari.
  • Mengganggu email pemberi kerja, seperti CEO, dan mengirim email palsu kepada karyawan yang menginstruksikan mereka untuk melakukan transfer dana, karena CEO mengklaim sedang sibuk dalam rapat virtual dan tidak dapat melakukan transfer dana melalui komputer mereka sendiri.

      • Menurut laporan tahunan FBI tahun 2020 tentang kejahatan dunia maya, penipuan BEC adalah “bisnis” yang sangat menguntungkan, mengingat serangan BEC berada di balik rekor jumlah keluhan dan kerugian finansial sekitar $1,8 miliar.

      Ini adalah bagian terbesar dari $ 4,2 miliar yang secara resmi hilang karena kejahatan dunia maya oleh orang Amerika pada tahun 2020.

      Dari 791.790 pengaduan yang diterima oleh Pusat Pengaduan Kejahatan Internet (IC3) FBI, 19.369 pengaduan adalah tentang penipuan BEC atau kompromi akun email (EAC).

      FBI juga memperingatkan perusahaan sektor swasta AS pada Maret 2021 tentang serangan BEC yang semakin menargetkan entitas pemerintah negara bagian, lokal, suku, dan teritorial (SLTT).

      Dalam peringatan sebelumnya, FBI mengatakan penipu BEC menyalahgunakan layanan email cloud seperti Google G Suite dan Microsoft Office 365, serta penerusan otomatis email dalam serangan mereka.

      Sumber : Bleeping Computer

Peneliti membuat eksploitasi untuk bug Magento yang kritis, saran pembaruan Adobe

by

Peneliti keamanan telah membuat kode eksploit untuk CVE-2022-24086, kerentanan kritis yang memengaruhi AdobeCommerce dan Magento Open Source yang ditambal oleh Adobe dalam pembaruan out-of-band Minggu lalu.

Kerentanan, yang dilihat Adobe sebagai “dieksploitasi di alam liar dalam serangan yang sangat terbatas,” menerima skor keparahan 9,8 dari 10 dan musuh yang mengeksploitasinya dapat mencapai eksekusi kode jarak jauh pada sistem yang terpengaruh tanpa perlu mengautentikasi.

Sebelumnya hari ini, Adobe memperbarui penasehat keamanannya untuk CVE-2022-24086 menambahkan masalah baru yang sekarang dilacak sebagai CVE-2022-24087, yang memiliki skor keparahan yang sama dan dapat menyebabkan hasil yang sama ketika dimanfaatkan dalam serangan.

Keduanya merupakan kerentanan Validasi Input yang Tidak Tepat dan perusahaan merilis tambalan untuk Adobe Commerce dan Magento Open Source untuk mengatasi dua masalah keamanan tersebut.

Dalam sebuah tweet hari ini, Tim Ofensif dari perusahaan keamanan siber Positive Technologies mengumumkan bahwa mereka menciptakan eksploitasi yang andal untuk CVE-2022-24086.

Para peneliti mengatakan kepada BleepingComputer bahwa penyerang yang memanfaatkan bug bisa mendapatkan “akses penuh ke sistem target dengan hak server web.”

Mereka memperingatkan bahwa mencoba memblokir upaya eksploitasi dengan menyiapkan firewall aplikasi web (WAF) bukanlah solusi yang andal karena ada banyak cara untuk memanfaatkan bug, “tanpa konstruksi spesifik dan tidak dapat dilepas dalam permintaan.”

Peneliti Positive Technologies memberi tahu kami bahwa mengembangkan “eksploitasi lengkap adalah tugas yang cukup sulit” jika detail teknis tidak tersedia. Namun, setelah hambatan ini dihilangkan, menyerang target yang rentan “cukup mudah dan sederhana.”

Toko online adalah target utama bagi peretas yang didorong secara finansial yang mengincar data kartu pembayaran, biasanya ditangkap oleh skimmer web – skrip berbahaya yang disuntikkan ke dalam formulir pembayaran.

Selain itu, seperti yang dicatat Adobe, beberapa pelaku ancaman sudah memanfaatkan CVE-2022-2408 dalam serangan terbatas. Menurut perkiraan para peneliti, ada lebih dari 17.000 situs web yang rentan, beberapa di antaranya dari “bisnis besar”.

Para peneliti mengatakan bahwa mereka tidak memiliki rencana untuk mempublikasikan kode eksploitasi proof-of concept (PoC) yang mereka buat atau untuk membagikannya secara pribadi dalam industri infosec.

Keputusan ini terutama dimotivasi oleh sejumlah besar situs web yang menjalankan produk Adobe Commerce dan Magento yang belum ditambal.

Sumber : Bleeping Computer

Banjir lalu lintas sampah berbahaya membuat situs web Ukraina tidak dapat dijangkau

by

Kementerian Pertahanan Ukraina dan dua bank ditutup pada hari Selasa oleh banjir lalu lintas berbahaya yang dirancang untuk mencegah orang mengunjungi situs tersebut, kata pusat keamanan informasi Ukraina.

Serangan penolakan layanan terdistribusi menargetkan situs web untuk kementerian pertahanan Ukraina, Angkatan Bersenjata Ukraina, dan dua bank, Privatbank dan Oschadbank, Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi negara itu melaporkan. Pada saat posting ini dilaporkan, situs Kementerian Pertahanan tetap tidak dapat dijangkau sama sekali. Sementara itu, hanya beranda PrivatBank yang tersedia, dan telah dirusak. Situs Oschadbank hanya menyediakan akses terbatas.

Banjir data berbahaya juga dilaporkan oleh polisi siber Ukraina, tetapi pada saat posting ini dilaporkan, upaya untuk mengunjungi sebagian besar situs web departemen tidak berhasil. Halaman beranda mengatakan: “Kami mohon maaf atas ketidaknyamanan ini. Situs ini sedang dalam pemeliharaan.”

Kampanye yang menggunakan DDoSes (kependekan dari distributed denial-of-service) mengirimkan arus lalu lintas sampah yang dimaksudkan untuk membanjiri target sehingga mereka tidak dapat memberikan layanan. DDoSes bisa sulit dihentikan karena dikirimkan oleh sejumlah besar perangkat yang didistribusikan di wilayah geografis yang luas. Mereka analog dengan membanjiri kedai pizza dengan begitu banyak panggilan sehingga tidak dapat menerima pesanan dari pelanggan.

Meskipun DDoS memiliki kapasitas untuk melumpuhkan situs web atau bahkan sebagian besar Internet, gangguan yang ditimbulkannya bersifat sementara dan biasanya hanya berlangsung selama pihak yang bertanggung jawab terus mengirimkan torrent atau hingga layanan mitigasi DDoS menyaring lalu lintas sampah.

Perusahaan pengamatan jaringan Kentik telah melacak lalu lintas Internet yang mengalir melalui Ukraina. Grafik menunjukkan DDoSes mulai hari Selasa, ketika volume lalu lintas ke berbagai target tiba-tiba melonjak berkali-kali lipat. AS28907, sistem otonom yang menampung Angkatan Darat Ukraina, dihantam oleh tiga gelombang, seperti yang ditunjukkan oleh dua gambar berikut:

Gambaran sederhana lalu lintas yang diterima.

AS60173 DAN AS15742, yang masing-masing menampung Oschadbank dan PrivatBank, mengalami banjir serupa:

DDoSes tiba saat Rusia telah mengumpulkan lebih dari 100.000 tentara di perbatasannya dengan Ukraina. Tidak ada bukti bahwa pemerintah atau warga Rusia berada di balik aksi siber, tetapi pernyataan dari Pusat Komunikasi Strategis dan Keamanan Informasi Ukraina yang diposting di Facebook mengisyaratkan siapa yang dicurigai.

Sumber : Arstechnica