Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kesalahan Implementasi HTTP/2 Mengekspos Situs Web ke Risiko Serius

by

BLACK HAT USA 2021 – Kelemahan implementasi dan ketidaksempurnaan dalam spesifikasi teknis seputar HTTP/2 membuat situs web yang menggunakan protokol jaringan menghadapi serangkaian risiko baru, seorang peneliti keamanan memperingatkan dalam presentasi di Black Hat USA, Kamis.

James Kettle — direktur penelitian di PortSwigger yang di Black Hat dua tahun mendemonstrasikan apa yang disebut dengan serangan Desync terhadap situs web yang menggunakan protokol HTTP — minggu ini menunjukkan bagaimana serangan serupa dapat dilakukan dengan potensi konsekuensi yang parah terhadap situs web yang menggunakan HTTP/2 standar.

Sebagai bukti konsep, Kettle menjelaskan serangan yang dapat dia lakukan menggunakan tekniknya terhadap situs web milik organisasi seperti Netflix, yang didukung oleh penyeimbang load balancer Amazon, dan situs web yang menggunakan firewall aplikasi Web cloud Imperva. Dalam banyak kasus, dia dapat mengarahkan permintaan dari server yang menghadap ke Web di situs ini ke servernya sendiri.

Hampir 50% dari semua situs web saat ini menggunakan protokol HTTP/2 (H2), yang diperkenalkan pada tahun 2015 sebagai alternatif yang lebih cepat dan sederhana untuk HTTP/1.1. Seperti yang dijelaskan Google, “semua konsep inti, seperti metode HTTP, kode status, URI, dan bidang header, tetap di tempatnya,” dengan protokol baru. “Sebaliknya, HTTP/2 memodifikasi bagaimana data diformat (dibingkai) dan diangkut antara klien dan server, keduanya mengelola seluruh proses, dan menyembunyikan semua kerumitan dari aplikasi kami di dalam lapisan pembingkaian baru.”

Selengkapnya: Dark Reading

Bug Cisco Kritis di Router VPN Memungkinkan Pengambilalihan Mesin Secara Jarak Jauh

by

Kerentanan keamanan kritis dalam subset router VPN bisnis kecil Cisco Systems dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengambil alih perangkat – dan para peneliti mengatakan setidaknya ada 8.800 sistem rentan yang terbuka untuk dikompromikan.

Cisco mengatasi bug (CVE-2021-1609) sebagai bagian dari banyak tambalan yang diluncurkan minggu ini. Secara total, perbaikan dan produk yang terpengaruh adalah sebagai berikut:

  • Kerentanan Manajemen Web pada Cisco RV340, RV340W, RV345, dan RV345P Dual WAN Gigabit VPN Router(Advisory)
  • Kerentanan Eksekusi Perintah Jarak Jauh pada Cisco Small Business RV160 dan RV260 Series VPN Router(Advisory)
  • Cisco Packet Tracer untuk Kerentanan Injeksi DLL Windows (Advisory)
  • Kerentanan Eskalasi Hak Istimewa Server pada Cisco Network Services Orchestrator CLI Secure Shell (Advisory)
  • Kerentanan Eskalasi Hak Istimewa ConfD CLI Secure Shell Server (Advisory)

Bug kritis mempengaruhi router Dual WAN Gigabit VPN vendor. Menurut penasihat, CVE-2021-1609 ada di antarmuka manajemen web untuk perangkat, dan membawa skor kerentanan-keparahan CVSSv3 9,8. Itu muncul karena validasi permintaan HTTP yang tidak tepat.

Menurut analisis hari Kamis dari Tenable, penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat yang rentan, “menghasilkan eksekusi kode arbitrer serta kemampuan untuk memuat ulang perangkat, menghasilkan penolakan layanan (DoS).

Selengkapnya: Threat Post

Apakah iPhone atau iPad Anda memiliki spyware Pegasus? Cari tahu secara gratis

by

Setiap kali ada laporan tentang eksploitasi iPhone atau iPad yang didistribusikan dan digunakan secara aktif, itu mengerikan. Pada bulan Juli, terungkap bahwa peneliti keamanan menemukan bukti spyware Pegasus digunakan pada telepon wartawan, politisi dan aktivis.

Spyware dapat diinstal dari jarak jauh di iPhone atau iPad target tanpa pemilik mengambil tindakan apa pun, memberikan orang atau organisasi yang menginstalnya akses penuh ke perangkat dan semua data yang disimpannya. Itu termasuk pesan teks, email, dan bahkan merekam panggilan telepon. Pegasus awalnya dirancang dan dipasarkan oleh penciptanya, NSO Group, untuk memantau penjahat dan teroris.

Untuk lebih jelasnya, kemungkinan iPhone atau iPad Anda terinfeksi oleh Pegasus Spyware rendah, dan berbagai laporan mengklaim bahwa pembaruan terbaru, iOS 14.7.1, memperbaiki eksploitasi yang digunakan Pegasus, tetapi itu belum dikonfirmasi oleh Apple.

Karena itu, jika Anda menginginkan ketenangan pikiran — untuk berjaga-jaga — dengan mengetahui bahwa perangkat Anda bebas dari siapa pun yang memata-matai Anda, inilah yang perlu Anda lakukan.

Unduh dan instal aplikasi iMazing di Mac atau PC

iMazing baru-baru ini memperbarui aplikasi Mac dan PC-nya untuk menyertakan Perangkat Verifikasi Seluler (MVT) Amnesty International yang dibuat untuk mendeteksi tanda-tanda Pegasus pada perangkat dan tidak membebankan biaya kepada pengguna untuk mengakses fitur tersebut.

Unduh iMazing untuk komputer Anda masing-masing dari situs web perusahaan. Jangan khawatir tentang membeli aplikasi, kami dapat menjalankan tes spyware lengkap menggunakan uji coba gratis.

Dengan iMazing terinstal dan berjalan, sambungkan iPhone atau iPad Anda ke komputer menggunakan kabel yang sesuai. Selanjutnya, gulir ke bawah melalui opsi tindakan di sisi kanan iMazing hingga Anda menemukan Detect Spyware; kemudian klik.

Jendela baru akan terbuka, memandu Anda melalui prosesnya. iMazing menyarankan untuk meninggalkan semua pengaturan default saat Anda mengklik setiap layar. Setelah melalui konfigurasi dasar, Anda harus menerima lisensi untuk alat tersebut dan kemudian klik tombol Mulai Analisis.

Setelah iMazing mulai menganalisis cadangan perangkat Anda, itu akan menunjukkan prosesnya dengan menampilkan setiap aplikasi yang diperiksanya, dimulai dengan iMessage. Aplikasi ini menggunakan database “alamat email berbahaya, tautan, nama proses, dan nama file” yang diketahui.

Saat iMazing selesai, Anda akan melihat peringatan dengan hasilnya. Lansiran juga mencakup dua tombol untuk membuka atau mengungkapkan laporan.

Selengkapnya: CNET

Semua DNS Anda adalah milik kami: AWS dan Google Cloud mematikan kerentanan mata-mata

by

Hingga Februari tahun ini, layanan DNS Amazon Route53 menawarkan kemampuan penyadapan jaringan yang sebagian besar tidak dihargai. Dan opsi mata-mata yang tidak berdokumen ini juga tersedia di Google Cloud DNS dan setidaknya satu penyedia DNS-as-a-service lainnya.

Dalam presentasi awal pekan ini di konferensi keamanan Black Hat USA 2021 di Las Vegas, Nevada, Shir Tamari dan Ami Luttwak dari perusahaan keamanan Wiz, menjelaskan bagaimana mereka menemukan kelemahan pembajakan server nama DNS yang memungkinkan mereka untuk memata-matai lalu lintas DNS dinamis pelanggan lain.

“Kami menemukan celah sederhana yang memungkinkan kami untuk mencegat sebagian lalu lintas DNS dinamis di seluruh dunia melalui penyedia DNS terkelola seperti Amazon dan Google,” jelas Tamari dalam sebuah posting blog. “Pada dasarnya, kami ‘menyadap’ lalu lintas jaringan internal dari 15.000 organisasi (termasuk perusahaan Fortune 500 dan lembaga pemerintah) dan jutaan perangkat.”

Tamari dan Luttwak menemukan berbagai data sensitif selama percobaan mereka, termasuk nama komputer, nama karyawan, lokasi kantor, dan informasi tentang sumber daya web organisasi yang terbuka. Misalnya, mereka mengklaim telah mengidentifikasi perusahaan yang tampaknya melanggar sanksi perdagangan AS. Musuh jahat dapat menggunakan data ini untuk membantu meluncurkan serangan jaringan.

Menurut Tamari, Amazon dan Google telah memperbaiki masalah ini di layanan DNS masing-masing, tetapi penyedia layanan DNS lainnya mungkin masih rentan. Para peneliti mengatakan tiga dari enam penyedia DNS-as-a-service yang mereka temukan rentan.

Selengkapnya: The Register

Raksasa perangkat keras komputer GIGABYTE terkena ransomware RansomEXX

by

Pembuat motherboard Taiwan Gigabyte telah dihantam oleh geng ransomware RansomEXX, yang mengancam akan mempublikasikan 112GB data curian kecuali uang tebusan dibayarkan.

Gigabyte terkenal karena motherboardnya, tetapi juga memproduksi komponen dan perangkat keras komputer lainnya, seperti kartu grafis, server pusat data, laptop, dan monitor.

Serangan itu terjadi Selasa malam hingga Rabu dan memaksa perusahaan untuk mematikan sistem di Taiwan. Insiden itu juga memengaruhi beberapa situs web perusahaan, termasuk situs dukungannya dan bagian dari situs web Taiwan.

Pelanggan juga telah melaporkan masalah saat mengakses dokumen dukungan atau menerima informasi terbaru tentang RMA, yang kemungkinan disebabkan oleh serangan ransomware.

Menurut situs berita China United Daily News, Gigabyte mengonfirmasi bahwa mereka mengalami serangan siber yang memengaruhi sejumlah kecil server.

Setelah mendeteksi aktivitas abnormal di jaringan mereka, mereka telah mematikan sistem TI mereka dan memberi tahu penegak hukum.

Sementara Gigabyte belum secara resmi menyatakan operasi ransomware apa yang melakukan serangan itu, BleepingComputer telah mengetahui bahwa itu dilakukan oleh geng RansomEXX.

Ketika operator RansomEXX mengenkripsi jaringan, mereka akan membuat catatan tebusan pada setiap perangkat terenkripsi.

Catatan tebusan ini berisi tautan ke halaman non-publik yang dimaksudkan hanya dapat diakses oleh korban untuk menguji dekripsi satu file dan meninggalkan alamat email untuk memulai negosiasi tebusan.

Sebuah sumber mengirim BleepingComputer tautan ke halaman kebocoran RansomEXX non-publik untuk Gigabytes Technologies, di mana pelaku ancaman mengklaim telah mencuri 112GB data selama serangan.

Selengkapnya: Bleeping Computer

Bug yang dieksploitasi secara aktif melewati otentikasi pada jutaan router

by

Pelaku ancaman secara aktif mengeksploitasi kerentanan bypass otentikasi kritis yang memengaruhi router rumah dengan firmware Arcadyan untuk mengambil alih dan menyebarkan muatan berbahaya botnet Mirai.

Kerentanan yang dilacak sebagai CVE-2021-20090 adalah kerentanan traversal jalur kritis (diberi peringkat 9.9/10) di antarmuka web router dengan firmware Arcadyan yang dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mem-bypass otentikasi.

Serangan yang sedang berlangsung ditemukan oleh peneliti Juniper Threat Labs saat memantau aktivitas aktor ancaman yang dikenal menargetkan jaringan dan perangkat IoT sejak Februari.

Perangkat yang rentan termasuk lusinan model router dari beberapa vendor dan ISP, termasuk Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra, dan Telus.

Berdasarkan jumlah model router dan daftar panjang vendor yang terkena dampak bug ini, jumlah total perangkat yang terkena serangan kemungkinan mencapai jutaan router.

Cacat keamanan ditemukan oleh Tenable, yang menerbitkan penasihat keamanan pada 26 April dan menambahkan bukti konsep kode eksploitasi pada Selasa, 3 Agustus.

Sejak Kamis, Juniper Threat Labs “mengidentifikasi beberapa pola serangan yang mencoba mengeksploitasi kerentanan ini di alam liar yang berasal dari alamat IP yang terletak di Wuhan, provinsi Hubei, Cina.”

Pelaku ancaman di balik aktivitas eksploitasi yang sedang berlangsung ini menggunakan alat berbahaya untuk menyebarkan varian botnet Mirai, serupa dengan yang digunakan dalam kampanye Mirai yang menargetkan perangkat IoT dan keamanan jaringan, yang ditemukan oleh peneliti Unit 42 pada bulan Maret.

Selengkapnya: Bleeping Computer

Library “net” di bahasa pemrograman Rust, Go mendapatkan dampak dari kerentanan validasi alamat IP kritis

by

Library “net” yang umum digunakan dalam bahasa Go dan Rust juga terpengaruh oleh kerentanan validasi alamat IP format campuran.

Bug tersebut berkaitan dengan bagaimana net memperlakukan alamat IP sebagai desimal, bahkan ketika disediakan dalam format campuran (oktal-desimal).

Akibatnya, aplikasi yang mengandalkan jaringan bisa rentan terhadap kerentanan Server-Side Request Forgery (SSRF) dan Remote File Inclusion (RFI) yang tidak dapat ditentukan.

Sebelumnya, cacat tersebut berdampak pada berbagai implementasi library netmask, yang diandalkan oleh ribuan aplikasi. Kemudian, library standar Python yang disebut ipaddress juga ditemukan rentan terhadap cacat tersebut.

Kerentanan, dilacak sebagai CVE-2021-29922 (untuk Rust) dan CVE-2021-29923 (untuk Golang) menyangkut bagaimana net menangani alamat IP format campuran, atau lebih khusus lagi ketika alamat IPv4 desimal berisi nol di depan.

Menurut pengelola proyek, modul net Golang akan memiliki tambalan yang dikeluarkan dalam (beta) versi 1.17.

Untuk Rust, perbaikan telah digabungkan di library net, seperti yang dikonfirmasi oleh BleepingComputer:

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Kata sandi tiga kata acak lebih baik daripada variasi kompleks, kata para ahli

by

Jauh lebih baik untuk membuat kata sandi untuk akun online yang terdiri dari tiga kata acak daripada membuat variasi huruf, angka, dan simbol yang rumit, kata pakar pemerintah.

Dalam sebuah blogpost, National Cyber Security Center (NCSC) – yang merupakan bagian dari Government Communications Headquarters – mengatakan sistem tiga kata menciptakan kata sandi yang mudah diingat.

Selain itu, ini menciptakan kombinasi huruf yang tidak biasa, yang berarti sistemnya cukup kuat untuk menjaga keamanan akun online dari penjahat dunia maya. Sebaliknya, kata sandi yang lebih kompleks tidak efektif karena susunannya sering kali dapat ditebak oleh penjahat menggunakan perangkat lunak khusus.

Badan tersebut mengatakan penjahat dunia maya menargetkan strategi yang dapat diprediksi yang dimaksudkan untuk membuat kata sandi lebih kompleks. Contohnya termasuk mengganti huruf O dengan nol, atau angka satu dengan tanda seru.

Penjahat mengizinkan pola seperti itu dalam perangkat lunak peretasan mereka, meniadakan keamanan tambahan apa pun dari pola kata sandi tersebut.

Sebaliknya, kata sandi yang dibuat dari tiga kata acak cenderung lebih panjang dan sulit diprediksi, dan menggunakan kombinasi huruf yang lebih sulit dideteksi oleh algoritma peretasan, katanya.

Tulisan pada blogpost mengakui bahwa menggunakan tiga kata acak tidak 100% aman, karena orang mungkin menggunakan kombinasi kata yang dapat diprediksi, tetapi mengatakan keuntungan utama dari sistem ini adalah kegunaannya “karena keamanan yang tidak dapat digunakan sama saja tidak berfungsi”.

Selengkapnya: The Guardian