News 302 - Naga Cyber Defense

Google memperbaiki kerentanan zero-day kedua yang aktif dieksploitasi bulan ini

March 15, 2021 by Mally

Google telah memperbaiki zero-day Chrome yang dieksploitasi secara aktif bulan ini dengan merilis Chrome 89.0.4389.90 ke saluran desktop Stabil untuk pengguna Windows, Mac, dan Linux.

Zero-day yang dilacak sebagai CVE-2021-21193 dinilai oleh Google sebagai kerentanan dengan tingkat keparahan tinggi dan dilaporkan oleh peneliti Anonymous pada hari Selasa.

Google menggambarkannya sebagai “use after free bug in Blink”, mesin rendering browser sumber terbuka yang dikembangkan oleh proyek Chromium dengan kontribusi dari Google, Facebook, Microsoft, dan lainnya.

Eksploitasi zero-day yang berhasil dapat mengakibatkan eksekusi kode arbitrer pada sistem yang menjalankan versi Chrome yang rentan.

Meskipun Google mengatakan bahwa mereka mengetahui CVE-2021-21193 aktif dieksploitasi, Google tidak membagikan info mengenai serangan yang sedang berlangsung ini.

Hingga informasi lebih lanjut tersedia, pengguna Chrome seharusnya memiliki lebih banyak waktu untuk menerapkan pembaruan keamanan yang diluncurkan dalam beberapa hari mendatang untuk mencegah upaya eksploitasi.

Kurangnya info tambahan juga akan mencegah pelaku ancaman lainnya mengembangkan eksploitasi mereka sendiri yang menargetkan zero-day ini.

Sumber: Bleeping Computer

Peretas meretas chip baru yang tidak dapat diretas selama tiga bulan. Chip tetap tidak diretas

March 14, 2021 by Mally

Prosesor bertajuk ‘tidak dapat diretas’ yang berbahaya telah bertahan dari uji peretasan terbesarnya tanpa cedera. Dibuat oleh University of Michigan (UoM), desain chip Morpheus sekarang telah diserang oleh lebih dari 500 peneliti cybersecurity yang dengan tegas menggunakan chip tersebut selama tiga bulan berturut-turut.

Namun selama ini belum ada yang berhasil mengeksploitasinya. Sekarang, tiga bulan tidak selalu berarti itu benar-benar tidak dapat diretas, tetapi tentu saja membuatnya sangat aman.

Memberi nama chip ‘tidak dapat diretas’, seperti pembatas GPU tertentu yang dapat kami sebutkan, sama saja dengan memohon seseorang untuk datang dan memecahkannya, dan itulah yang telah dilakukan UoM dalam menempatkan Morpheus ke dalam Finding Exploits to Thwart Merusak (FETT ) Perburuan Bug Bounty dari DARPA.

Penelitian ini juga didukung oleh program DARPA SSITH.

Bagaimanapun, hackathon berburu bug berlangsung dari Juni hingga Agustus tahun lalu, dan chip berbasis RISC-V menolak semua upaya untuk mengkompromikannya.

Dijuluki Morpheus oleh penciptanya, desain chip menggunakan campuran ‘enkripsi dan churn’ untuk pertama-tama, secara acak mengaburkan poin data utama — seperti lokasi, format, dan konten inti program — dan kemudian mengacak ulang semuanya sementara sistem sedang beroperasi.

selengkapnya : PCGAMER

Para ahli menemukan tiga bug baru berusia 15 tahun dalam modul kernel Linux

March 14, 2021 by Mally

Peneliti GRIMM menemukan tiga kerentanan dalam komponen SCSI (Small Computer System Interface) dari kernel Linux, masalah tersebut dapat dieksploitasi oleh penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

Antarmuka Sistem Komputer Kecil mendefinisikan bus I / O paralel dan protokol data untuk menghubungkan berbagai periferal (disk drive, tape drive, modem, printer, pemindai, drive optik, peralatan uji, dan perangkat medis) ke host komputer.
Cacat ada pada komponen sejak dikembangkan pada tahun 2006.

Kerentanan pertama, dilacak sebagai CVE-2021-27365, adalah heap buffer overflow di subsistem iSCSI.

“Kerentanan dipicu dengan menyetel atribut string iSCSI ke nilai yang lebih besar dari satu halaman, lalu mencoba membacanya.” membaca analisis yang diterbitkan oleh peneliti GRIMM. “Lebih khusus lagi, pengguna tanpa hak istimewa dapat mengirim pesan netlink ke subsistem iSCSI (dalam driver / scsi / scsi_transport_iscsi.c) yang menetapkan atribut yang terkait dengan koneksi iSCSI, seperti nama host, nama pengguna, dll, melalui fungsi helper di driver / scsi /libiscsi.c. Atribut ini hanya dibatasi ukurannya dengan panjang maksimum pesan netlink (baik 232 atau 216 bergantung pada kode tertentu yang memproses pesan). ”

Kerentanan kedua, dilacak sebagai CVE-2021-27363, adalah kerentanan heap overflow. Para peneliti menemukan kebocoran kernel pointer yang dapat digunakan untuk menentukan alamat struktur iscsi_transport.

Cacat terakhir, dilacak sebagai CVE-2021-27364, adalah masalah pembacaan kernel di luar batas yang terdapat dalam modul libiscsi (drivers / scsi / libiscsi.c).

selengkapnya : securityaffairs.co

Kritikus muncul setelah Github menghapus kode eksploitasi untuk kerentanan Exchange

March 13, 2021 by Mally

Github telah memicu badai api setelah repositori berbagi kode milik Microsoft menghapus eksploitasi bukti konsep untuk kerentanan kritis di Microsoft Exchange yang telah menyebabkan sebanyak 100.000 infeksi server dalam beberapa minggu terakhir.

ProxyLogon adalah nama yang diberikan peneliti untuk empat kerentanan Exchange yang diserang di alam liar dan kode yang mengeksploitasinya. Para peneliti mengatakan bahwa Hafnium, sebuah grup peretas yang disponsori negara yang berbasis di China, mulai mengeksploitasi ProxyLogon pada bulan Januari, dan dalam beberapa minggu, lima APT lainnya — kependekan dari grup ancaman persisten tingkat lanjut — mengikutinya. Sampai saat ini, tidak kurang dari 10 APT telah menggunakan ProxyLogon untuk menargetkan server di seluruh dunia.

Pada hari Rabu, seorang peneliti menerbitkan apa yang diyakini sebagai eksploitasi bukti-konsep (PoC) pertama yang berfungsi untuk kerentanan. Berbasis di Vietnam, peneliti juga menerbitkan postingan di Medium yang menjelaskan cara kerja exploit. Dengan beberapa penyesuaian, peretas akan memiliki sebagian besar dari apa yang mereka butuhkan untuk meluncurkan RCE mereka sendiri di alam liar, kata keamanan untuk eksploitasi eksekusi kode jarak jauh.

Menerbitkan eksploitasi PoC untuk kerentanan yang ditambal adalah praktik standar di antara peneliti keamanan. Ini membantu mereka memahami cara kerja serangan sehingga mereka dapat membangun pertahanan yang lebih baik. Kerangka peretasan Metasploit open source menyediakan semua alat yang dibutuhkan untuk mengeksploitasi puluhan ribu eksploitasi yang ditambal dan digunakan oleh topi hitam dan topi putih.

Dalam beberapa jam setelah PoC ditayangkan, Github menghapusnya. Pada hari Kamis, beberapa peneliti mengomel tentang penghapusan tersebut. Kritikus menuduh Microsoft menyensor konten yang sangat penting bagi komunitas keamanan karena merugikan kepentingan Microsoft. Beberapa kritikus berjanji untuk menghapus sebagian besar karya mereka di Github sebagai tanggapan.

selengkapnya : Arstechnica

Microsoft mengatakan peretas yang mencari tebusan memanfaatkan kelemahan server

March 13, 2021 by Mally

WASHINGTON (Reuters) – Peretas yang mencari tebusan mulai memanfaatkan kelemahan yang baru-baru ini diungkapkan dalam perangkat lunak server email Microsoft yang banyak digunakan, kata perusahaan itu Kamis pagi – peningkatan serius yang dapat menandakan gangguan digital yang meluas.

Pengungkapan, awalnya dibuat di Twitter oleh manajer program keamanan Microsoft Corp Phillip Misner dan kemudian dikonfirmasi oleh perusahaan yang berbasis di Redmond, Washington, adalah realisasi dari kekhawatiran yang telah menjalar melalui komunitas keamanan selama berhari-hari.

Sejak 2 Maret, ketika Microsoft mengumumkan penemuan kerentanan serius dalam perangkat lunak Exchange-nya, para ahli telah memperingatkan bahwa hanya masalah waktu sebelum geng ransomware mulai menggunakannya untuk mengguncang organisasi di internet.

Meskipun celah keamanan yang diumumkan oleh Microsoft telah diperbaiki, organisasi di seluruh dunia telah gagal untuk menambal perangkat lunak mereka, membiarkannya terbuka untuk dieksploitasi. Para ahli mengaitkan kecepatan lambat dari banyak pembaruan pelanggan sebagian dengan kompleksitas arsitektur Exchange dan kurangnya keahlian. Di Jerman saja, para pejabat mengatakan bahwa hingga 60.000 jaringan tetap rentan.

Semua jenis peretas telah mulai memanfaatkan lubang tersebut – satu perusahaan keamanan baru-baru ini menghitung 10 kelompok peretasan terpisah menggunakan kekurangannya – tetapi operator ransomware termasuk yang paling ditakuti.

selengkapnya : Reuters

F5 mendesak pelanggan untuk menambal bug RCE pre-auth BIG-IP yang penting

March 12, 2021 by Mally

F5 Networks, penyedia terkemuka perlengkapan jaringan perusahaan, telah mengumumkan empat kerentanan eksekusi kode jarak jauh (RCE) kritis yang memengaruhi sebagian besar versi perangkat lunak BIG-IP dan BIG-IQ.

F5 BIG-IP perangkat lunak dan pelanggan perangkat keras termasuk pemerintah, perusahaan Fortune 500, bank, penyedia layanan internet, dan merek konsumen (termasuk Microsoft, Oracle, dan Facebook), dengan perusahaan mengklaim bahwa “48 dari Fortune 50 mengandalkan F5”.

Empat kerentanan kritis yang tercantum di bawah ini juga mencakup cacat keamanan RCE pre-auth (CVE-2021-22986) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada perangkat BIG-IP yang disusupi:

CVE-2021-22986: iControl REST unauthenticated remote command execution (9.8/10)
CVE-2021-22987: Appliance Mode TMUI authenticated remote command execution
CVE-2021-22991: TMM buffer-overflow (9.0/10)
CVE-2021-22992: Advanced WAF/ASM buffer-overflow (9.0/10)

Eksploitasi yang berhasil dari kerentanan BIG-IP RCE yang kritis dapat menyebabkan gangguan sistem penuh, termasuk intersepsi lalu lintas aplikasi pengontrol dan perpindahan lateral ke jaringan internal.

F5 juga menerbitkan peringatan keamanan pada tiga kerentanan RCE lainnya (dua tinggi dan satu medium, dengan peringkat keparahan CVSS antara 6,6 dan 8,8), memungkinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sistem sewenang-wenang.

Tujuh kerentanan diperbaiki dalam versi BIG-IP berikut: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, dan 11.6.5.3.

Sumber: Bleeping Computer

Malware trojan ini sekarang menjadi masalah keamanan terbesar Anda

March 12, 2021 by Mally

Malware Trickbot telah meningkat untuk mengisi celah yang ditinggalkan oleh penghapusan botnet Emotet, dengan jumlah penjahat yang lebih tinggi beralih ke sana untuk mendistribusikan serangan malware.

Emotet adalah botnet malware paling produktif dan berbahaya di dunia sebelum diganggu oleh operasi penegakan hukum internasional pada Januari tahun ini.

Sementara gangguan Emotet merupakan pukulan bagi penjahat dunia maya, mereka dengan cepat beradaptasi dan sekarang Trickbot telah menjadi bentuk malware yang paling umum.

Trickbot menawarkan banyak kemampuan yang sama dengan Emotet, memberikan penjahat dunia maya sarana untuk mengirimkan malware tambahan ke mesin yang disusupi – dan menurut analisis kampanye malware oleh peneliti keamanan siber di Check Point, itu sekarang menjadi malware yang paling umum didistribusikan di dunia.

Pertama kali didistribusikan pada tahun 2016, Trickbot telah lama berada di sana dengan bentuk malware paling produktif, tetapi dengan tindakan keras terhadap Emotet, dengan cepat menjadi cara yang lebih populer bagi penjahat untuk mendistribusikan kampanye serangan dunia maya pilihan mereka secara luas.

Tetapi Trickbot bukanlah satu-satunya ancaman malware bagi organisasi dan kampanye kriminal dunia maya lainnya juga telah membantu mengisi celah yang ditinggalkan oleh gangguan Emotet.

selengkapnya : ZDNET

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

March 12, 2021 by Mally

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings