Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ratusan ribu perangkat MikroTik masih rentan terhadap botnet

by

Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.

MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.

Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.

Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.

Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:

  • CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
  • CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
  • CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
  • CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8

Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.

Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.

Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.

Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Microsoft: Secured-core server membantu mencegah serangan ransomware

by

Microsoft mengatakan perangkat Windows Server dan Microsoft Azure Stack HCI bersertifikat Secured-core pertama sekarang tersedia untuk melindungi jaringan pelanggan dari ancaman keamanan, termasuk serangan ransomware.

Perangkat inti aman dipasarkan sebagai solusi untuk meningkatnya jumlah kerentanan firmware yang dapat dimanfaatkan penyerang untuk melewati Secure boot mesin Windows dan kurangnya visibilitas di tingkat firmware dalam solusi keamanan endpoint saat ini.

Semua perangkat Secured-core dilengkapi dengan perlindungan bawaan untuk ancaman yang menyalahgunakan firmware dan kelemahan keamanan driver sejak Oktober 2019. Perangkat tersebut dapat membantu melindungi dari malware yang dirancang untuk memanfaatkan kelemahan keamanan driver untuk menonaktifkan solusi keamanan.

Secured-core server yang baru disertifikasi menggunakan secure boot dan Trusted Platform Module 2.0 untuk memastikan bahwa hanya tepercaya yang dapat memuat saat boot.

Mereka juga memanfaatkan Dynamic Root of Trust Measurement (DRTM) untuk meluncurkan sistem operasi ke status tepercaya, memblokir upaya malware untuk merusak sistem.

Secured-core server juga menggunakan Hypervisor-Protected Code Integrity (HVCI) untuk memblokir semua executable dan driver (seperti Mimikatz) yang tidak ditandatangani oleh otoritas yang dikenal dan disetujui agar tidak diluncurkan.

Dengan memblokir upaya pencurian kredensial, Secured-core server dapat membantu mempersulit pelaku ancaman (termasuk geng ransomware seperti REvil) untuk bergerak secara lateral melalui jaringan, sehingga menghentikan serangan mereka sebelum mereka dapat memperoleh kegigihan dan menyebarkan muatannya.

Selengkapnya: Bleeping Computer

Peretas menginfeksi plugin WordPress acak untuk mencuri kartu kredit

by

Dengan musim belanja Natal, pelaku ancaman pencurian kartu meningkatkan upaya mereka untuk menginfeksi toko online dengan skimmer tersembunyi, jadi administrator harus tetap waspada.

Tren terbaru adalah menyuntikkan skimmer kartu ke dalam file plugin WordPress, menghindari direktori inti ‘wp-admin’ dan ‘wp-includes’ yang dipantau secara ketat di mana sebagian besar injeksi berumur pendek.

Menurut sebuah laporan baru oleh Sucuri, peretas yang melakukan pencurian kartu kredit pertama-tama meretas situs WordPress dan menyuntikkan backdoor ke situs web untuk persistence.

Backdoor ini memungkinkan peretas untuk mempertahankan akses ke situs, bahkan jika administrator memasang pembaruan keamanan terbaru untuk WordPress dan memasang plugin.

Ketika penyerang menggunakan backdoor di masa depan, itu akan memindai daftar pengguna administrator dan menggunakan cookie otorisasi dan login pengguna saat ini untuk mengakses situs.

Pelaku ancaman kemudian menambahkan kode berbahaya mereka ke plugin acak, dan menurut Sucuri, banyak skrip bahkan tidak dikaburkan.

Namun, ketika memeriksa kode tersebut, para analis memperhatikan bahwa plugin pengoptimalan gambar berisi referensi ke WooCommerce dan menyertakan variabel yang tidak ditentukan. Plugin ini tidak memiliki kerentanan dan diyakini telah dipilih oleh pelaku ancaman secara acak.

Administrator dapat mengikuti beberapa tindakan perlindungan untuk menjaga situs mereka bebas skimmer atau meminimalkan waktu infeksi sebanyak mungkin.

Pertama, area wp-admin harus dibatasi hanya untuk alamat IP tertentu. Kemudian, bahkan jika backdoor disuntikkan, aktor tidak dapat mengakses situs bahkan jika mereka mencuri cookie administrator.

Kedua, pemantauan integritas file melalui pemindai sisi server aktif harus diterapkan di situs web, memastikan bahwa tidak ada perubahan kode yang tidak diketahui dalam waktu lama.

Terakhir, biasakan membaca log dan melihat detail secara mendalam. Misalnya, perubahan file, tema, atau pembaruan plugin selalu tercermin dalam log.

Selengkapnya: Bleeping Computer

Telegram menambahkan dukungan perlindungan konten untuk grup dan channel

by

Telegram telah menambahkan dukungan perlindungan konten untuk memungkinkan pengguna memblokir orang lain dari menyimpan atau meneruskan posting yang dibagikan dalam grup dan channel.

Ini memungkinkan untuk memastikan bahwa media yang diposting di Telegram hanya akan tetap tersedia untuk audiens yang Anda bagikan.

Untuk mengaktifkan perlindungan konten, pemilik Grup dan Channel harus membatasi forwarding pesan dalam obrolan mereka, juga memblokir tangkapan layar melalui kebijakan keamanan Android (tangkapan layar kemungkinan masih merupakan opsi pada klien desktop dan iOS) dan menghapus kemampuan untuk menyimpan media dari pos.

Menonaktifkan forwarding pesan memerlukan pembukaan halaman Info Grup atau Channel, masuk ke Group / Channel Type, dan beralih pada opsi ‘Restrict Saving Content’.

Pembaruan juga hadir dengan cara baru untuk menghapus posting berdasarkan tanggal (untuk menghapus riwayat obrolan untuk rentang tanggal tertentu), mengelola perangkat yang terhubung (dengan toggle untuk membatasi panggilan atau Obrolan Rahasia baru), dan memposting secara anonim (sebagai channel) di grup publik dan komentar channel.

Beberapa pengguna ponsel juga akan ditawarkan untuk menerima panggilan masuk dari Telegram mulai hari ini alih-alih kode SMS untuk mengonfirmasi identitas mereka dengan memasukkan beberapa digit nomor telepon yang dipanggil.

Selengkapnya: Bleeping Computer

Peretas China menargetkan negara-negara Asia Tenggara

by

Peretas China, kemungkinan disponsori negara, telah secara luas menargetkan organisasi pemerintah dan sektor swasta di seluruh Asia Tenggara, termasuk mereka yang terlibat erat dengan Beijing dalam proyek pembangunan infrastruktur, menurut sebuah laporan yang dirilis hari Rabu oleh perusahaan keamanan siber swasta yang berbasis di AS.

Target khusus termasuk kantor perdana menteri Thailand dan tentara Thailand, angkatan laut Indonesia dan Filipina, majelis nasional Vietnam dan kantor pusat Partai Komunis, dan Kementerian Pertahanan Malaysia, menurut Insikt Group, divisi penelitian ancaman Massachusetts- berdasarkan Recorded Future.

Insikt mengatakan telah menetapkan bahwa organisasi militer dan pemerintah tingkat tinggi di Asia Tenggara telah disusupi selama sembilan bulan terakhir oleh peretas yang menggunakan keluarga malware khusus seperti FunnyDream dan Chinoxy.

Alat khusus itu tidak tersedia untuk umum dan digunakan oleh banyak kelompok yang diyakini disponsori negara China, kata kelompok itu.

Penargetan itu juga sejalan dengan tujuan politik dan ekonomi pemerintah China, memperkuat kecurigaan bahwa itu disponsori negara, kata Insikt.

Kementerian Luar Negeri China tidak segera menanggapi permintaan komentar atas tuduhan tersebut.

Di masa lalu, otoritas China secara konsisten membantah segala bentuk peretasan yang disponsori negara, sebaliknya mengatakan China sendiri adalah target utama serangan siber.

Dari intrusi dunia maya yang dilacaknya, Insikt Group mengatakan Malaysia, Indonesia, dan Vietnam adalah tiga negara sasaran teratas. Negara lain yang juga ditargetkan adalah Myanmar, Filipina, Laos, Thailand, Singapura dan Kamboja.

Semua negara telah diberitahu pada bulan Oktober tentang temuan tersebut, meskipun diperkirakan bahwa setidaknya beberapa aktivitas sedang berlangsung, kata perusahaan itu.

Beberapa informasi tentang Indonesia diungkapkan dalam laporan sebelumnya dari Grup Insikt pada bulan September, dan pihak berwenang Indonesia mengatakan pada saat itu mereka tidak menemukan bukti bahwa komputer mereka telah disusupi.

Grup Insikt mengatakan aktivitas sebelumnya yang diarahkan ke Indonesia dari server malware yang dioperasikan oleh grup “Mustang Panda” secara bertahap berhenti pada pertengahan Agustus, menyusul pemberitahuan kedua yang diberikan perusahaan kepada otoritas negara.

Juru bicara Kementerian Luar Negeri RI Teuku Faizasyah mengaku belum mendapatkan informasi apapun terkait temuan baru Insikt Group yang juga menjadikan Kementerian Luar Negeri sebagai sasaran.

Selengkapnya: AP News

Peretas SolarWinds memiliki banyak trik baru untuk serangan kompromi massal

by

Hampir tepat setahun yang lalu, peneliti keamanan menemukan salah satu pelanggaran data terburuk dalam sejarah modern: kampanye peretasan yang didukung Kremlin yang membahayakan server penyedia manajemen jaringan SolarWinds dan, dari sana, 100 jaringan tertinggi -profil pelanggan, termasuk sembilan agen federal AS.

Pengingat terbaru tentang kemahiran kelompok Nobelium datang dari firma keamanan Mandiant, yang pada hari Senin menerbitkan penelitian yang merinci banyak prestasi Nobelium—dan beberapa kesalahan—karena terus menembus jaringan beberapa target bernilai tertingginya.

Salah satu hal yang membuat Nobelium begitu tangguh adalah kreativitas TTP-nya. Alih-alih membobol setiap target satu per satu, grup tersebut meretas jaringan SolarWinds dan menggunakan akses, dan kepercayaan yang dimiliki pelanggan di perusahaan, untuk mendorong pembaruan berbahaya ke sekitar 18.000 pelanggannya.

Laporan Mandiant menunjukkan bahwa kecerdikan Nobelium tidak goyah. Sejak tahun lalu, peneliti perusahaan mengatakan dua kelompok peretasan yang terkait dengan peretasan SolarWinds—satu disebut UNC3004 dan lainnya UNC2652—terus merancang cara baru untuk mengkompromikan sejumlah besar target dengan cara yang efisien.

Alih-alih meracuni rantai pasokan SolarWinds, kelompok tersebut mengkompromikan jaringan penyedia solusi cloud dan penyedia layanan terkelola, atau CSP, yang merupakan perusahaan pihak ketiga yang diandalkan oleh banyak perusahaan besar untuk berbagai layanan TI. Peretas kemudian menemukan cara cerdas untuk menggunakan penyedia yang dikompromikan itu untuk mengganggu pelanggan mereka.

Selengkapnya: Ars Technica

Google memperingatkan pengguna Android: Tanda-tanda ini bisa berarti seseorang memata-matai Anda

by

Google memperingatkan jutaan pengguna Android ketika aplikasi mungkin memata-matai mereka.

Fitur baru ini memperingatkan pengguna ketika mikrofon atau kamera telah diaktifkan. Ini sangat mirip dengan peringatan yang sudah ada di iPhone saingan Apple.

Fitur Google telah ditambahkan ke ponsel dalam pembaruan Android 12 terbaru. Jadi jika Anda tidak memilikinya, Anda tidak akan dapat melihatnya.

Indikator baru muncul di sudut kanan atas layar. Anda akan melihat ikon kamera atau mikrofon saat aplikasi mencoba mengakses keduanya. Ini mencegah aplikasi diam-diam mendengarkan — atau bahkan menonton melalui kamera Anda. Anda juga dapat melihat rolling log dari aplikasi mana yang memiliki akses ke kamera, mikrofon, atau lokasi Anda — dan kapan. Informasi itu tersedia di Dasbor Privasi baru di dalam Pengaturan.

Sumber: New York Post

Anda juga dapat menonaktifkan mikrofon dan kamera Anda sepenuhnya di seluruh telepon melalui Quick Settings Anda.

Perlu diingat bahwa melihat ikon tidak berarti sesuatu yang jahat sedang terjadi. Terkadang aplikasi benar-benar perlu menggunakan kamera Anda — seperti Instagram. Tetapi jika Anda memperhatikan bahwa kamera Anda digunakan oleh aplikasi aneh, itu bisa berarti Anda sedang dimata-matai.

Selengkapnya: New York Post