News 234 - Naga Cyber Defense

80K Situs WooCommerce Ritel Terekspos oleh Plugin XSS Bug

December 8, 2021 by Winnie the Pooh

Plugin “Variation Swatches for WooCommerce,” dipasang di 80.000 situs ritel WordPress, berisi kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.

Variasi Swatch dirancang untuk memungkinkan pengecer menggunakan platform WooCommerce untuk situs WordPress untuk menampilkan versi berbeda dari produk yang sama, seperti sweter dalam beberapa warna.

Sayangnya, versi rentan juga dapat memberi pengguna tanpa izin administratif — seperti pelanggan — akses ke pengaturan plugin, menurut peneliti dari Wordfence.

Memberi pengguna dengan izin rendah akses ke fungsi “tawcvs_save_settings” sangat memprihatinkan, katanya, karena akses itu dapat digunakan untuk memperbarui pengaturan plugin dan menyuntikkan skrip web berbahaya yang akan dijalankan setiap kali pemilik situs mengakses area pengaturan plugin.

Kerentanan (CVE-2021-42367) memengaruhi semua pengguna plugin hingga 23 November, sampai plugin ditambal di versi 2.1.2 yang baru.

Untuk mengurangi bug plugin terbaru ini, Chamberland merekomendasikan agar pengguna memperbarui situs mereka dengan versi yang ditambal dari Variasi Swatch untuk WooCommerce.

Selengkapnya: Threat Post

Pria Rusia Dihukum 60 Bulan Penjara karena Menjalankan Hosting ‘Bulleproof’ untuk Kejahatan Dunia Maya

December 8, 2021 by Winnie the Pooh

Seorang warga negara Rusia yang dituduh menyediakan apa yang disebut layanan hosting antipeluru untuk penjahat dunia maya yang digunakan untuk menyebarkan malware dan menyerang organisasi dan lembaga keuangan AS telah menerima hukuman penjara 60 bulan.

Aleksandr Grichishkin, 34, menawarkan layanan infrastruktur teknologi, termasuk alamat IP, server, dan domain, bagi penjahat dunia maya untuk membuat botnet, menginfeksi organisasi yang ditargetkan dengan malware, dan mencuri kredensial perbankan. Organisasinya mendukung penjahat siber yang menargetkan organisasi AS dalam kampanye serangan siber antara 2009 dan 2015.

Di antara galeri malware jahat yang dihosting di sistem: Zeus, SpyEye, Citadel, dan Blackhole Exploit Kit. Dua komplotan Grichishkin telah dijatuhi hukuman penjara: Pavel Stassi, 30, dari Estonia (24 bulan), dan Aleksandr Skorodumov, 33, dari Lithuania, (48 bulan).

Menurut dokumen pengadilan, Grichishkin adalah pendiri dan pemimpin organisasi hosting antipeluru yang menyewakan alamat internet protocol (IP), server, dan domain kepada klien penjahat dunia maya yang menggunakan infrastruktur teknis ini untuk menyebarkan malware yang memungkinkan mereka mendapatkan akses ke komputer korban, membentuk botnet, dan mencuri kredensial perbankan untuk digunakan dalam penipuan.

Grichishkin juga membantu klien menghindari deteksi oleh penegak hukum dan melanjutkan kejahatan mereka tanpa gangguan dengan memantau situs yang digunakan untuk memblokir infrastruktur teknis yang digunakan untuk kejahatan, memindahkan konten yang “ditandai” ke infrastruktur baru, dan mendaftarkan semua infrastruktur tersebut dengan identitas palsu atau dicuri.

Selengkapnya: Justice

Penipuan Phishing Omicron Sudah Terlihat di Inggris

December 8, 2021 by Winnie the Pooh

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

December 8, 2021 by Winnie the Pooh Leave a Comment

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

December 8, 2021 by Winnie the Pooh

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

December 8, 2021 by Winnie the Pooh

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

December 8, 2021 by Eevee

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

2021-12-06: Laporan kedua tentang kerentanan diterima
2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

Seseorang Menjalankan Ratusan Server Berbahaya di Jaringan Tor

December 8, 2021 by Winnie the Pooh

Penelitian baru menunjukkan bahwa seseorang telah menjalankan ratusan server jahat di jaringan Tor, berpotensi dalam upaya untuk de-anonymize pengguna dan membuka kedok aktivitas web mereka.

Seperti yang pertama kali dilaporkan oleh The Record, aktivitas tersebut tampaknya berasal dari satu pengguna yang canggih dan gigih, yang entah bagaimana memiliki sumber daya untuk menjalankan banyak server bandwidth tinggi selama bertahun-tahun.

Juga disebut sebagai “Onion router,”, Tor mungkin adalah platform privasi online paling terkenal di dunia, dan perangkat lunak serta jaringan terkaitnya seharusnya melindungi aktivitas penjelajahan web Anda dari pengawasan dengan menyembunyikan alamat IP Anda dan mengenkripsi lalu lintas Anda.

Server jahat awalnya ditemukan oleh peneliti keamanan yang menggunakan nama samaran “nusenu” dan yang mengoperasikan node mereka sendiri di jaringan Tor.

Di Medium nya, nusenu menulis bahwa mereka pertama kali menemukan bukti pelaku ancaman—yang mereka juluki “KAX17”—pada tahun 2019. Setelah melakukan penelitian lebih lanjut ke KAX17, mereka menemukan bahwa KAX17 telah aktif di jaringan tersebut sejak 2017 .

Intinya, KAX tampaknya menjalankan segmen besar jaringan Tor — berpotensi dengan harapan dapat melacak jalur pengguna web tertentu dan membuka kedoknya.

Tor menganonimkan aktivitas web pengguna dengan mengenkripsi lalu lintas mereka dan kemudian merutekannya melalui serangkaian node yang berbeda—juga disebut “relay”—sebelum mencapai tujuan akhirnya dan tidak dienkripsi.

Penyedia node tidak seharusnya dapat melihat lalu lintas Anda, karena Tor menyediakan enkripsi dan mereka hanya membantu dengan salah satu dari beberapa bagian perjalanan lalu lintas Anda (juga disebut “circuit”).

Namun, dalam kasus KAX17, aktor ancaman tampaknya memiliki sumber daya yang jauh lebih baik daripada konten web gelap rata-rata Anda: mereka telah menjalankan ratusan server jahat di seluruh dunia—aktivitas yang setara dengan “menjalankan sebagian besar jaringan tor,” tulis nusenu. Dengan jumlah aktivitas itu, kemungkinan sirkuit pengguna Tor dapat dilacak oleh KAX relatif tinggi, menurut peneliti.

Menurut penelitian nusenu, KAX pada satu titik memiliki begitu banyak server — sekitar 900 — sehingga Anda memiliki kemungkinan 16 persen untuk menggunakan relay mereka sebagai “hop” pertama (yaitu, node di circuit Anda) ketika Anda masuk ke Tor. Anda memiliki peluang 35 persen untuk menggunakan salah satu relay mereka selama “hop” ke-2 Anda, dan peluang 5 persen untuk menggunakannya sebagai exit relay, tulis nusenu.

Selengkapnya: Gizmodo

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings