Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Olimpiade Musim Dingin: Atlet Disarankan Menggunakan Pembakar Telepon Beijing

by

Aplikasi Olimpiade Musim Dingin Beijing yang harus digunakan semua peserta Olimpiade mengandung kelemahan keamanan yang membuat pengguna terkena pelanggaran data, kata para analis.

Aplikasi My2022 akan digunakan oleh atlet, anggota audiens dan media untuk pemantauan Covid setiap hari.

Aplikasi ini juga akan menawarkan obrolan suara, transfer file, dan berita Olimpiade.

Tetapi kelompok cybersecurity Citizen Lab mengatakan aplikasi itu gagal memberikan enkripsi pada banyak filenya. China telah menepis kekhawatiran tersebut.

Pertanyaan tentang aplikasi datang di tengah meningkatnya peringatan tentang keamanan teknologi pengunjung menjelang Olimpiade, yang dimulai pada 4 Februari.

Orang-orang yang menghadiri Olimpiade Beijing harus membawa ponsel pembakar dan membuat akun email untuk waktu mereka di China, perusahaan keamanan cyber Internet 2.0 mengatakan pada hari Selasa.

Beberapa negara juga dilaporkan telah mengatakan kepada para atlet untuk meninggalkan perangkat utama mereka di rumah.

Masalah sensor

Laporan Citizen Lab mengatakan telah menemukan daftar “kata kunci sensor” yang dibangun ke dalam aplikasi, dan fitur yang memungkinkan orang untuk menandai ekspresi “sensitif secara politik” lainnya.

Daftar kata-kata termasuk nama-nama pemimpin Cina dan lembaga pemerintah, serta referensi untuk pembunuhan 1989 demonstran pro-demokrasi di Lapangan Tiananmen, dan kelompok agama Falun Gong, yang dilarang di Cina.

Para analis mencatat bahwa fitur dan kelemahan keamanan ini tidak jarang terjadi pada aplikasi di China tetapi menimbulkan risiko bagi pengguna.

Analis mengatakan file “kata-kata ilegal” tampaknya saat ini tidak aktif, tetapi tidak jelas.

Semua pengunjung Ke Olimpiade diharuskan mengunduh aplikasi 14 hari sebelum keberangkatan mereka ke China, dan menggunakannya untuk merekam setiap hari status Covid mereka.

Untuk pengunjung asing mereka juga perlu mengunggah informasi sensitif yang sudah diserahkan kepada pemerintah China – seperti rincian paspor dan riwayat perjalanan dan medis.

Citizen Lab mengatakan kelemahan transmisi dalam perangkat lunak aplikasi dapat menyebabkan eksploitasi data yang mudah oleh peretas, jika ditargetkan.

Dalam sebuah laporan pada hari Selasa, outlet media pemerintah China Global Times menepis kekhawatiran tentang aplikasi tersebut, dengan mengatakan “semua informasi pribadi akan dienkripsi untuk memastikan privasi”.

Ini membandingkan aplikasi dengan aplikasi yang telah digunakan di Olimpiade Tokyo.

Sumber: BBC

Hacks Terburuk tahun 2021

by

2021 adalah musim terbuka bagi penyerang di seluruh dunia. Geng Ransomware sangat agresif, menargetkan fasilitas perawatan kesehatan, sekolah, dan infrastruktur penting pada tingkat yang mengkhawatirkan. Dengan pandemi yang masih berkobar di latar belakang, administrator sistem, penanggap insiden, penegak hukum global, dan semua jenis praktisi keamanan bekerja tanpa lelah untuk melawan rentetan serangan.

Inilah retrospektif tentang pelanggaran terburuk tahun ini, kebocoran, paparan data, serangan ransomware, kampanye peretasan yang disponsori negara, dan kekacauan digital.

Colonial Pipeline
Pada awal Mei, ransomware menghantam Colonial Pipeline, yang mengoperasikan pipa sepanjang 5.500 mil yang membawa hampir setengah dari bahan bakar Pantai Timur—bensin, solar, dan gas alam—dari Texas hingga New Jersey. Sebagai akibat dari serangan tersebut, perusahaan menutup sebagian jalur pipa baik untuk menampung malware maupun karena serangan tersebut membuat sistem penagihannya offline. Colonial Pipelines membayar tebusan 75 bitcoin—bernilai lebih dari $4 juta pada saat itu—dalam upaya untuk menyelesaikan insiden tersebut.

Kaseya
Pada awal Juli, peretas yang terkait dengan geng ransomware REvil yang berbasis di Rusia mengeksploitasi kelemahan pada alat Administrator Sistem Virtual Kaseya. REvil menetapkan uang tebusan sekitar $45.000 untuk banyak korban hilir dan sebanyak $5 juta untuk penyedia layanan terkelola itu sendiri. Geng juga menawarkan untuk merilis alat dekripsi universal untuk sekitar $70 juta. Tapi pada akhir Juli, Kaseya memperoleh decryptor universal dan mulai mendistribusikannya ke target. Pada awal November, Departemen Kehakiman AS mengumumkan bahwa mereka telah menangkap salah satu pelaku utama serangan Kaseya, seorang warga negara Ukraina yang ditangkap pada bulan Oktober.

Twitch
Layanan streaming langsung Twitch mengkonfirmasi bahwa entitas yang tidak dikenal merilis 128 GB data kepemilikan yang dicuri dari perusahaan. Pelanggaran itu termasuk kode sumber lengkap Twitch. Perusahaan mengatakan pada saat itu bahwa insiden itu adalah hasil dari “perubahan konfigurasi server yang memungkinkan akses yang tidak tepat oleh pihak ketiga yang tidak sah.” Twitch membantah bahwa kata sandi terungkap dalam pelanggaran tersebut, tetapi mengakui bahwa informasi tentang pendapatan masing-masing streamer telah dicuri. Selain kode sumber itu sendiri dan data pembayaran streamer sejak 2019, harta karun itu juga berisi informasi tentang sistem internal Twitch Amazon Web Services dan SDK berpemilik.

Peretasan Microsoft Exchange
Kelompok peretas yang didukung negara China yang dikenal sebagai Hafnium menangis mengeksploitasi sekelompok kerentanan dalam perangkat lunak Microsoft Exchange Server. Peretasan itu mengenai berbagai korban, termasuk usaha kecil dan pemerintah daerah. Dan kampanye tersebut juga mempengaruhi sejumlah besar organisasi di luar AS, seperti Parlemen Norwegia dan Otoritas Perbankan Eropa. Microsoft mengeluarkan tambalan darurat pada 2 Maret untuk mengatasi kerentanan, tetapi peretasan sudah berjalan dan banyak organisasi membutuhkan waktu berhari-hari atau berminggu-minggu untuk menginstal perbaikan, jika mereka melakukannya sama sekali.

Meretas Dengan Alat Grup NSO
Platform komunikasi WhatsApp dan Apple menggugat NSO pada 2019 setelah serangkaian pengungkapan bahwa NSO menciptakan alat untuk menginfeksi target iOS dengan spyware Pegasus andalannya dengan mengeksploitasi kelemahan pada platform komunikasi iMessage Apple. Para peneliti mempelajari daftar bocoran 50.000 nomor telepon yang terkait dengan aktivis, jurnalis, eksekutif, dan politisi yang semuanya merupakan target pengawasan potensial. NSO Group telah membantah klaim tersebut. Pada bulan Desember, peneliti Google menyimpulkan bahwa kecanggihan malware NSO setara dengan peretas elit negara bangsa.

JBS USA
JBS SA mengalami serangan ransomware besar-besaran pada akhir Mei. Anak perusahaannya JBS USA mengatakan “itu adalah target serangan keamanan siber terorganisir, yang memengaruhi beberapa server yang mendukung sistem TI Amerika Utara dan Australia.”. Fasilitas JBS di Australia, AS, dan Kanada menghadapi gangguan, dan serangan tersebut menyebabkan serangkaian dampak di seluruh industri daging yang menyebabkan penutupan pabrik, karyawan yang dipulangkan, dan ternak yang harus dikembalikan ke petani. Insiden itu terjadi hanya beberapa minggu setelah serangan Colonial Pipeline, yang menggarisbawahi kerapuhan infrastruktur kritis dan rantai pasokan global yang vital.

Accelion
Vendor firewall Accellion merilis patch pada akhir Desember untuk mengatasi sekelompok kerentanan di salah satu penawaran peralatan jaringannya. Namun, tambalan tidak datang atau diinstal dengan cukup cepat untuk lusinan organisasi di seluruh dunia. Banyak yang mengalami pelanggaran data dan menghadapi upaya pemerasan sebagai akibat dari kerentanan. Para korban termasuk Reserve Bank of New Zealand, negara bagian Washington, Australian Securities and Investments Commission, firma keamanan siber Qualys, telekomunikasi Singapura Singtel, firma hukum terkenal Jones Day, jaringan toko grosir Kroger, dan University of Colorado. .

Honorable Mention: T-Mobile dan Neiman Marcus
Operator nirkabel T-Mobile mengakui pada bulan Agustus bahwa data dari lebih dari 48 juta orang telah dibobol dalam pelanggaran bulan itu. Para korban dicuri nama, tanggal lahir, nomor jaminan sosial, dan detail SIM mereka. Selain itu, 850.000 pelanggan dengan paket prabayar memiliki nama, nomor telepon, dan PIN yang diambil dalam pelanggaran tersebut.

Pelanggar berulang lainnya adalah jaringan department store Neiman Marcus. Perusahaan mengungkapkan insiden pada bulan Oktober, yang mengungkap nama korban, alamat, dan informasi kontak lainnya, ditambah kredensial login dan pertanyaan/jawaban keamanan dari akun Neiman Marcus online, nomor kartu kredit dan tanggal kedaluwarsa, dan nomor kartu hadiah.

Selengkapnya : WIRED

Bug Pusat Kontak Cisco yang Kritis Mengancam Kerusakan Layanan Pelanggan

by

Bug keamanan kritis yang memengaruhi portofolio Unified Contact Center Enterprise (UCCE) Cisco dapat memungkinkan peningkatan hak istimewa dan pengambilalihan platform.

Cisco UCCE adalah platform layanan pelanggan lokal yang mampu mendukung hingga 24.000 agen layanan pelanggan menggunakan saluran yang mencakup suara masuk, suara keluar, respons suara interaktif keluar (IVR), dan saluran digital. Ini juga menawarkan umpan balik melalui IVR pasca-panggilan, email, dan survei intersep web; dan berbagai opsi pelaporan untuk mengumpulkan informasi tentang kinerja agen untuk digunakan dalam menetapkan metrik dan menginformasikan intelijen bisnis.

Bug yang dimaksud (CVE-2022-20658) adalah yang sangat buruk, dengan peringkat kritis 9,6 dari 10 pada skala kerentanan-keparahan CVSS, dan dapat memungkinkan penyerang jarak jauh yang diautentikasi untuk meningkatkan hak istimewa mereka menjadi administrator, dengan kemampuan untuk membuat akun administrator lain.

Ini secara khusus ada di antarmuka manajemen berbasis web dari Cisco Unified Contact Center Management Portal (Unified CCMP) dan Cisco Unified Contact Center Domain Manager (Unified CCDM) dan berasal dari fakta bahwa server bergantung pada mekanisme otentikasi yang ditangani oleh sisi klien. Itu membuka pintu bagi penyerang yang memodifikasi perilaku sisi klien untuk melewati mekanisme perlindungan.

Dipersenjatai dengan akun admin tambahan, penyerang dapat mengakses dan memodifikasi telepon dan sumber daya pengguna di semua platform yang terkait dengan Cisco Unified CCMP yang rentan.

Seseorang dapat memperkirakan malapetaka operasional dan identitas merek yang dapat ditimbulkan oleh penyerang dengan melumpuhkan sistem layanan pelanggan perusahaan besar belum lagi kerusakan yang dapat dilakukan dengan akses ke kumpulan data informasi pribadi yang harus disimpan oleh sistem di perusahaan ‘ pelanggan, termasuk komunikasi telepon dan email.

Namun, untuk berhasil mengeksploitasi kerentanan, penyerang memerlukan kredensial “Pengguna Tingkat Lanjut” yang valid, sehingga bug perlu dirantai dengan yang lain untuk akses awal.

Ada tambalan yang tersedia untuk masalah ini, tetapi tidak ada solusi. Informasi patch adalah sebagai berikut:

Versi 11.6.1 dan sebelumnya: Rilis tetap adalah 11.6.1 ES17
Versi 12.0.1: Rilis tetap adalah 12.0.1 ES5
Versi 12.5.1: Rilis tetap adalah 12.5.1 ES5
Versi 12.6.1: Tidak terpengaruh

Tidak ada eksploitasi publik yang diketahui sejauh ini, menurut raksasa jaringan itu.

Sumber : Threat Post

Kerentanan Tingkat Keparahan Tinggi di 3 Plugin WordPress Mempengaruhi 84.000 Situs Web

by

Para peneliti telah mengungkapkan kekurangan keamanan yang mempengaruhi tiga plugin WordPress yang berbeda yang berdampak pada lebih dari 84.000 situs web dan dapat disalahgunakan oleh aktor jahat untuk mengambil alih situs yang rentan.

“Cacat ini memungkinkan penyerang untuk memperbarui opsi situs sewenang-wenang di situs yang rentan, asalkan mereka dapat mengelabui administrator situs untuk melakukan tindakan, seperti mengklik tautan,” kata perusahaan keamanan WordPress Wordfence dalam sebuah laporan yang diterbitkan pekan lalu.

Dilacak sebagai CVE-2022-0215, cacat cross-site request forgery (CSRF) dinilai 8,8 pada skala CVSS dan berdampak pada tiga plugin yang dikelola oleh Xootix –

  • Popup Login / Pendaftaran (Formulir Inline + Woocommerce),
  • Side Cart Woocommerce (Ajax), dan
  • Waitlist Woocommerce (Kembali dalam notifier saham)

Pemalsuan permintaan lintas situs, juga dikenal sebagai serangan satu klik atau sesi berkuda, terjadi ketika pengguna akhir yang diautentikasi ditipu oleh penyerang untuk mengirimkan permintaan web yang dibuat khusus. “Jika korban adalah akun administratif, CSRF dapat membahayakan seluruh aplikasi web,” catatan OWASP dalam dokumentasinya.

Selengkapnya: The Hacker News

Pemerintah Ukraina Secara Resmi Menuduh Rusia atas Serangan Siber Baru-baru ini

by

Pemerintah Ukraina secara resmi menuduh Rusia mendalangi serangan yang menargetkan situs web lembaga publik dan lembaga pemerintah pekan lalu.

“Semua bukti menunjukkan fakta bahwa Rusia berada di balik serangan siber,” kata Kementerian Transformasi Digital dalam sebuah pernyataan. “Moskow terus mengobarkan perang hibrida dan secara aktif membangun kekuatan di bidang informasi dan dunia maya.”

Tujuan serangan itu, kata kementerian itu, “tidak hanya untuk mengintimidasi masyarakat,” tetapi juga “menggoyahkan situasi di Ukraina dengan menghentikan pekerjaan sektor publik dan merusak kepercayaan pada pemerintah di pihak Ukraina.”

Rusia, telah membantah berada di balik intrusi tersebut. “Kami tidak ada hubungannya dengan itu, dan Rusia tidak ada hubungannya dengan serangan siber ini,” Dmitry Peskov, sekretaris pers untuk Presiden Vladimir Putin, mengatakan “Kami hampir terbiasa dengan fakta bahwa Ukraina menyalahkan segalanya pada Rusia, bahkan cuaca buruk mereka.”

Pengungkapan itu muncul ketika sejumlah situs web pemerintah Ukraina dirusak pada hari Jumat dengan pesan tidak menyenangkan yang mengancam warganya untuk “takut dan mengharapkan yang terburuk” dan menuduh informasi pribadi mereka telah diretas.

Menurut Layanan Keamanan Ukraina (SSU), serangan itu diyakini telah dilakukan setelah aktor jahat memperoleh akses ke infrastruktur perusahaan swasta yang memiliki hak untuk mengelola beberapa situs web yang terpengaruh.

Secara terpisah, Microsoft memperingatkan malware penghapus data destruktif yang menyamar sebagai ransomware yang digunakan dalam serangan terhadap banyak organisasi di Ukraina. Perusahaan, yang menyebut keluarga malware baru ini WhisperGate, mengaitkannya dengan kluster ancaman yang dilacaknya sebagai DEV-0586.

Sumber : The Hacker News

FBI & polisi Eropa mencatat server komputer yang digunakan dalam ‘serangan siber internasional utama’

by

FBI dan polisi dari beberapa negara Eropa dan Kanada telah menurunkan 15 server komputer yang digunakan dalam “serangan siber internasional besar,” kata lembaga penegak hukum minggu ini.

Europol, mengatakan bahwa setelah menyita server, penyelidik telah mengidentifikasi “lebih dari 100 bisnis” yang berisiko diretas oleh penjahat dunia maya, termasuk kelompok ransomware.

Tindakan keras itu menargetkan layanan jaringan pribadi virtual (VPN) populer yang menurut polisi digunakan penjahat dunia maya untuk menutupi jejak mereka saat melanggar banyak organisasi dan mencoba memeras mereka.

Ini adalah upaya terbaru oleh polisi Amerika Utara dan Eropa untuk menghancurkan kelompok ransomware yang telah mengancam infrastruktur penting di kedua benua. Badan penegak AS dan Eropa pada musim gugur menangkap dua orang di Ukraina yang diduga mengajukan tuntutan tebusan jutaan dolar menyusul peretasan organisasi Eropa dan AS.

Sengatan 10 negara diumumkan Selasa melibatkan polisi dari Jerman ke Inggris ke Ukraina. Sebuah catatan dari penyelidik pada hari Selasa menyambut pengunjung ke situs web VPNLab.net, layanan VPN yang ditargetkan: “DOMAIN INI TELAH DIKETAHUI.” Catatan itu mengatakan bahwa penegak hukum akan terus menyisir data VPN dalam upaya melacak para peretas.

Administrator forum kejahatan dunia maya berbahasa Rusia dan Inggris yang populer dengan lebih dari 180.000 pengguna terdaftar telah mengiklankan layanan VPN sejak 2009, menurut Mark Arena, CEO perusahaan keamanan siber Intel 471.

Berita itu muncul ketika para pejabat AS mengatakan mereka percaya Rusia, dalam langkah yang langka, telah menangkap orang yang bertanggung jawab atas serangan ransomware pada operator pipa utama AS Mei lalu.

Rusia secara historis enggan untuk mengekang penjahat dunia maya yang beroperasi dari tanahnya. Tidak jelas apakah penangkapan itu akan membuat individu tersebut, yang belum diidentifikasi oleh pejabat AS, menghabiskan waktu di balik jeruji besi.

Sumber : CNN

DHL Melengserkan Microsoft Sebagai Merek yang Paling Ditiru dalam Serangan Phishing

by

DHL adalah merek yang paling ditiru dalam kampanye phishing sepanjang Q4 2021, mendorong Microsoft ke tempat kedua, dan Google ke posisi keempat.

Ini tidak mengherankan mengingat bahwa kuartal terakhir setiap tahun termasuk Black Friday, Cyber Monday, dan musim belanja Natal, sehingga umpan phishing berdasarkan pengiriman paket secara alami meningkat.

DHL adalah layanan pengiriman paket dan surat ekspres internasional, mengirimkan lebih dari 1,6 miliar paket per tahun.

Dengan demikian, kampanye phishing yang meniru merek memiliki peluang bagus untuk menjangkau orang-orang yang menunggu paket DHL tiba selama musim liburan.

Umpan spesifik berkisar dari paket yang terjebak di bea cukai dan memerlukan tindakan untuk izin ke nomor pelacakan yang seharusnya bersembunyi di dalam lampiran dokumen atau tautan tertanam.

Menurut sebuah laporan oleh perusahaan intelijen ancaman Check Point, sepuluh merek teratas yang ditiru oleh aktor phishing pada Q4 2021 adalah sebagai berikut:

    1. DHL (related to 23% of all phishing attacks globally)
    2. Microsoft (20%)
    3. WhatsApp (11%)
    4. Google (10%)
    5. LinkedIn (8%)
    6. Amazon (4%)
    7. FedEx (3%)
    8. Roblox (3%)
    9. Paypal (2%)
    10. Apple (2%)

Dalam contoh yang disajikan pada laporan Check Point, kampanye phishing menggunakan alamat email dukungan pelanggan DHL palsu untuk mengirim pesan “pemberitahuan pengiriman”, seperti yang ditunjukkan di bawah ini.

Dalam hal ini, email meminta pengguna untuk memverifikasi identitas mereka, yang terjadi pada halaman phishing yang dibuat agar terlihat persis seperti situs DHL yang sebenarnya.

Dalam umpan FedEx yang diambil sampelnya oleh CheckPoint, para aktor mengklaim tidak dapat mengirimkan paket ke penerima, meminta korban untuk memasukkan rincian mereka di situs phishing.

Akhirnya, ada spesimen phishing PayPal yang tidak menyenangkan yang meminta target untuk “mengkonfirmasi informasi akun mereka” untuk mencabut status penangguhan sementara.

Tetap tenang dan tetap waspada

Cara terbaik untuk menangani email masuk yang membuat klaim berani dan meminta tindakan-segera adalah berhati-hati.

Sebagai gantinya, Anda harus membuka tab browser baru, mengunjungi situs web resmi pengirim yang diduga, mengkonfirmasi validitas URL tempat Anda berada, dan baru kemudian masuk ke akun Anda. Jika ada tindakan yang diperlukan dari Anda, Anda akan melihat peringatan yang relevan di sana.

Jangan pernah mengklik tombol tertanam pada email dan hindari mengunduh dan membuka dokumen yang tiba melalui komunikasi yang tidak diminta.

Phishing bergantung pada menciptakan rasa urgensi, jadi setiap kali Anda berurusan dengan email yang menyebabkan Anda tertekan, pertimbangkan kemungkinan itu sebagai upaya untuk menipu Anda agar memberikan informasi sensitif.

Sumber: Bleepingcomputer

Microsoft merilis pembaruan darurat untuk masalah pembaruan Windows Januari

by

Microsoft telah merilis pembaruan darurat out-of-band (OOB) untuk mengatasi beberapa masalah yang disebabkan oleh Pembaruan Windows yang dikeluarkan selama Patch Tuesday Januari 2021.

Semua pembaruan OOB yang dirilis hari ini tersedia untuk diunduh di Microsoft Update Catalog, dan beberapa di antaranya juga dapat diinstal langsung melalui Windows Update sebagai pembaruan opsional.

Anda harus memeriksa pembaruan secara manual jika Anda ingin menginstal perbaikan darurat melalui Windows Update karena itu adalah pembaruan opsional dan tidak akan diinstal secara otomatis.

Seperti yang dilaporkan BleepingComputer setelah Patch Tuesday bulan ini, pembaruan Windows Server terbaru menyebabkan serangkaian masalah parah bagi administrator.

Menurut laporan admin, Windows domain controllers diganggu oleh reboot yang spontan, Hyper-V tidak lagi dimulai di server Windows, dan volume Windows Resilient File System (ReFS) tidak lagi dapat diakses setelah menerapkan pembaruan Januari 2021.

Pengguna dan administrator Windows 10 juga melaporkan masalah dengan koneksi VPN L2TP setelah menginstal pembaruan kumulatif Windows 10 dan Windows 11 terbaru dan melihat error “Tidak dapat terhubung ke VPN”.

Mereka yang tidak dapat segera menginstal pembaruan out-of-band hari ini dapat menghapus pembaruan KB5009624, KB5009557, KB5009555, KB5009566, dan KB5009543 yang menyebabkan masalah ini dari Command Prompt dengan perintah berikut:

Windows Server 2012 R2: wusa /uninstall /kb:KB5009624
Windows Server 2019: wusa /uninstall /kb:KB5009557
Windows Server 2022: wusa /uninstall /kb:KB5009555
Windows 10: wusa /uninstall /kb:5009543
Windows 11: wusa /uninstall /kb:5009566

Selengkapnya: Bleeping Computer