Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

1,6 Juta Situs WordPress Di Bawah Serangan Cyber ​​Dari Lebih dari 16.000 Alamat IP

by

Sebanyak 1,6 juta situs WordPress telah menjadi sasaran kampanye serangan aktif berskala besar yang berasal dari 16.000 alamat IP dengan memanfaatkan kelemahan pada empat plugin dan 15 tema Epsilon Framework.

Perusahaan keamanan WordPress, “Wordfence”, yang mengungkapkan rincian serangan, mengatakan pada hari Kamis bahwa pihaknya telah mendeteksi dan memblokir lebih dari 13,7 juta serangan yang ditujukan pada plugin dan tema dalam periode 36 jam dengan tujuan mengambil alih situs web dan melakukan tindakan jahat.

Plugin yang dimaksud adalah Kiwi Social Share (<= 2.0.10), WordPress Automatic (<= 3.53.2), Pinterest Automatic (<= 4.14.3), dan PublishPress Capabilities (<= 2.3), beberapa di antaranya telah ditambal berkencan sepanjang perjalanan kembali ke November 2018. Sebagian besar serangan yang diamati oleh Wordfence melibatkan musuh yang memperbarui opsi "users_can_register" (yaitu, siapa pun dapat mendaftar) untuk diaktifkan dan mengatur pengaturan "default_role" (yaitu, peran default pengguna yang mendaftar di blog) menjadi administrator, dengan demikian memungkinkan musuh untuk mendaftar di situs yang rentan sebagai pengguna istimewa dan mengambil kendali. Terlebih lagi, intrusi dikatakan telah melonjak hanya setelah 8 Desember, menunjukkan bahwa "kerentanan yang baru-baru ini ditambal di PublishPress Capabilities mungkin telah memicu penyerang untuk menargetkan berbagai kerentanan Pembaruan Opsi Sewenang-wenang sebagai bagian dari kampanye besar-besaran," kata Chloe Chamberland dari Wordfence. Mengingat eksploitasi aktif, pemilik situs WordPress yang menjalankan salah satu plugin atau tema yang disebutkan di atas disarankan untuk menerapkan perbaikan terbaru untuk mengurangi ancaman. Selengkapnya: The Hacker News

Botnet Dark Mirai menargetkan RCE pada router TP-Link yang populer

by

Botnet yang dikenal sebagai Dark Mirai (alias MANGA) telah diamati mengeksploitasi kerentanan baru pada TP-Link TL-WR840N EU V5, router rumah murah populer yang dirilis pada tahun 2017.

Cacat dilacak sebagai CVE-2021-41653 dan disebabkan oleh variabel ‘host’ yang rentan yang dapat disalahgunakan oleh pengguna yang diautentikasi untuk menjalankan perintah pada perangkat.

TP-Link memperbaiki kekurangan tersebut dengan merilis pembaruan firmware (TL-WR840N(EU)_V5_211109) pada 12 November 2021. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan.

Peneliti yang menemukan kerentanan menerbitkan eksploitasi bukti konsep (PoC) untuk RCE, yang mengarah ke aktor ancaman menggunakan kerentanan.

Menurut sebuah laporan oleh para peneliti di Fortinet, yang telah mengikuti aktivitas Dark Mirai, botnet menambahkan RCE tertentu di gudang senjatanya hanya dua minggu setelah TP-Link merilis pembaruan firmware.

Mirai mungkin hilang, tetapi kodenya telah melahirkan banyak botnet baru yang menyebabkan masalah skala besar pada perangkat yang tidak aman.

Selengkapnya: Bleeping Computer

Microsoft, kelemahan Google OAuth dapat disalahgunakan dalam serangan phishing

by

Para peneliti telah menemukan serangkaian metode yang sebelumnya tidak diketahui untuk meluncurkan serangan pengalihan URL terhadap implementasi OAuth 2.0 yang lemah.

Serangan-serangan ini dapat mengarah pada pengabaian deteksi phishing dan solusi keamanan email, dan pada saat yang sama, memberikan legitimasi palsu pada URL phishing kepada para korban.

Kampanye yang relevan dideteksi oleh Proofpoint, dan menargetkan Outlook Web Access, PayPal, Microsoft 365, dan Google Workspace.

OAuth 2.0 adalah protokol otorisasi yang diadopsi secara luas yang memungkinkan aplikasi web atau desktop mengakses sumber daya yang dikendalikan oleh pengguna akhir, seperti email, kontak, informasi profil, atau akun sosial mereka.

Saat mengembangkan aplikasi OAuth, pengembang diberi kebebasan untuk memilih di antara berbagai jenis flow yang tersedia, bergantung pada kebutuhan mereka, seperti yang diilustrasikan di bawah ini.

Sumber: BleepeingComputer

Flow ini mengharuskan pengembang aplikasi untuk menentukan parameter tertentu, seperti ID klien unik, cakupan, dan URL pengalihan dibuka setelah autentikasi berhasil.

Namun, Proofpoint menemukan bahwa penyerang dapat memodifikasi beberapa parameter dalam alur otorisasi yang valid, memicu pengalihan korban ke situs yang disediakan penyerang atau mengarahkan ulang URL di aplikasi OAuth berbahaya yang terdaftar.

Karena ini terjadi setelah korban mengeklik URL yang tampak sah milik Microsoft, korban secara keliru menganggap bahwa URL itu sah, meskipun mereka sedang diarahkan ke situs jahat.

Pengalihan ini dapat dipicu dengan memodifikasi parameter kueri ‘response_type’ agar berisi nilai yang tidak valid, dan korban akan dibawa ke halaman phishing oleh Microsoft setelah autentikasi.

Selengkapnya: Bleeping Computer

Bug SanDisk SecureAccess memungkinkan kata sandi brankas paksa

by

Western Digital telah memperbaiki kerentanan keamanan yang memungkinkan penyerang untuk melakukan brute force sandi SanDisk SecureAccess dan mengakses file yang dilindungi pengguna.

SanDisk SecureAccess (sekarang berganti nama menjadi SanDisk PrivateAccess) memungkinkan penyimpanan dan perlindungan file sensitif pada drive flash USB SanDisk.

“SanDisk SecureAccess 3.02 menggunakan hash kriptografi satu arah dengan salt yang dapat diprediksi sehingga rentan terhadap dictionary attack oleh pengguna jahat,” Western Digital menjelaskan dalam penasihat keamanan yang dikeluarkan Rabu.

“Perangkat lunak ini juga menggunakan hash kata sandi dengan upaya komputasi yang tidak memadai yang memungkinkan penyerang untuk melakukan brute force kata sandi pengguna yang mengarah ke akses tidak sah ke data pengguna.”

Kerentanan keamanan (CVE-2021-36750) yang berasal dari masalah fungsi derivasi utama yang disampaikan di atas telah diatasi dengan rilis SanDisk PrivateAccess Versi 6.3.5, yang sekarang menggunakan PBKDF2-SHA256 bersama dengan salt yang dibuat secara acak.

Anda dapat menemukan informasi mendetail di sini tentang upgrade penginstalan dan migrasi SecureAccess Vault ke PrivateAccess Vault yang baru.

Selengkapnya: Bleeping Computer

Ratusan ribu perangkat MikroTik masih rentan terhadap botnet

by

Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.

MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.

Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.

Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.

Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:

  • CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
  • CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
  • CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
  • CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8

Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.

Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.

Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.

Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Microsoft: Secured-core server membantu mencegah serangan ransomware

by

Microsoft mengatakan perangkat Windows Server dan Microsoft Azure Stack HCI bersertifikat Secured-core pertama sekarang tersedia untuk melindungi jaringan pelanggan dari ancaman keamanan, termasuk serangan ransomware.

Perangkat inti aman dipasarkan sebagai solusi untuk meningkatnya jumlah kerentanan firmware yang dapat dimanfaatkan penyerang untuk melewati Secure boot mesin Windows dan kurangnya visibilitas di tingkat firmware dalam solusi keamanan endpoint saat ini.

Semua perangkat Secured-core dilengkapi dengan perlindungan bawaan untuk ancaman yang menyalahgunakan firmware dan kelemahan keamanan driver sejak Oktober 2019. Perangkat tersebut dapat membantu melindungi dari malware yang dirancang untuk memanfaatkan kelemahan keamanan driver untuk menonaktifkan solusi keamanan.

Secured-core server yang baru disertifikasi menggunakan secure boot dan Trusted Platform Module 2.0 untuk memastikan bahwa hanya tepercaya yang dapat memuat saat boot.

Mereka juga memanfaatkan Dynamic Root of Trust Measurement (DRTM) untuk meluncurkan sistem operasi ke status tepercaya, memblokir upaya malware untuk merusak sistem.

Secured-core server juga menggunakan Hypervisor-Protected Code Integrity (HVCI) untuk memblokir semua executable dan driver (seperti Mimikatz) yang tidak ditandatangani oleh otoritas yang dikenal dan disetujui agar tidak diluncurkan.

Dengan memblokir upaya pencurian kredensial, Secured-core server dapat membantu mempersulit pelaku ancaman (termasuk geng ransomware seperti REvil) untuk bergerak secara lateral melalui jaringan, sehingga menghentikan serangan mereka sebelum mereka dapat memperoleh kegigihan dan menyebarkan muatannya.

Selengkapnya: Bleeping Computer

Peretas menginfeksi plugin WordPress acak untuk mencuri kartu kredit

by

Dengan musim belanja Natal, pelaku ancaman pencurian kartu meningkatkan upaya mereka untuk menginfeksi toko online dengan skimmer tersembunyi, jadi administrator harus tetap waspada.

Tren terbaru adalah menyuntikkan skimmer kartu ke dalam file plugin WordPress, menghindari direktori inti ‘wp-admin’ dan ‘wp-includes’ yang dipantau secara ketat di mana sebagian besar injeksi berumur pendek.

Menurut sebuah laporan baru oleh Sucuri, peretas yang melakukan pencurian kartu kredit pertama-tama meretas situs WordPress dan menyuntikkan backdoor ke situs web untuk persistence.

Backdoor ini memungkinkan peretas untuk mempertahankan akses ke situs, bahkan jika administrator memasang pembaruan keamanan terbaru untuk WordPress dan memasang plugin.

Ketika penyerang menggunakan backdoor di masa depan, itu akan memindai daftar pengguna administrator dan menggunakan cookie otorisasi dan login pengguna saat ini untuk mengakses situs.

Pelaku ancaman kemudian menambahkan kode berbahaya mereka ke plugin acak, dan menurut Sucuri, banyak skrip bahkan tidak dikaburkan.

Namun, ketika memeriksa kode tersebut, para analis memperhatikan bahwa plugin pengoptimalan gambar berisi referensi ke WooCommerce dan menyertakan variabel yang tidak ditentukan. Plugin ini tidak memiliki kerentanan dan diyakini telah dipilih oleh pelaku ancaman secara acak.

Administrator dapat mengikuti beberapa tindakan perlindungan untuk menjaga situs mereka bebas skimmer atau meminimalkan waktu infeksi sebanyak mungkin.

Pertama, area wp-admin harus dibatasi hanya untuk alamat IP tertentu. Kemudian, bahkan jika backdoor disuntikkan, aktor tidak dapat mengakses situs bahkan jika mereka mencuri cookie administrator.

Kedua, pemantauan integritas file melalui pemindai sisi server aktif harus diterapkan di situs web, memastikan bahwa tidak ada perubahan kode yang tidak diketahui dalam waktu lama.

Terakhir, biasakan membaca log dan melihat detail secara mendalam. Misalnya, perubahan file, tema, atau pembaruan plugin selalu tercermin dalam log.

Selengkapnya: Bleeping Computer