News 303 - Naga Cyber Defense

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

June 30, 2021 by Winnie the Pooh

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

June 30, 2021 by Winnie the Pooh

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

Pelanggaran Data LinkedIn dilaporkan mengekspos data 92% pengguna, termasuk gaji yang diperkirakan [U]

June 30, 2021 by Winnie the Pooh

Pelanggaran besar kedua LinkedIn dilaporkan mengekspos data 700 juta pengguna, yang merupakan lebih dari 92% dari total 756 juta pengguna. Basis data untuk dijual di web gelap, dengan data termasuk nomor telepon, alamat fisik, data geolokasi, dan gaji yang diperkirakan.

Peretas yang memperoleh data telah memposting sampel 1 juta catatan, dan pemeriksaan mengonfirmasi bahwa data tersebut asli dan terbaru.

RestorePrivacy melaporkan bahwa peretas tampaknya telah menyalahgunakan LinkedIn API resmi untuk mengunduh data, metode yang sama yang digunakan dalam pelanggaran serupa pada bulan April.

Pada tanggal 22 Juni, seorang pengguna situs peretasan populer mengiklankan data dari 700 Juta pengguna LinkedIn untuk dijual. Pengguna forum memposting sampel data yang mencakup 1 juta pengguna LinkedIn. Kami memeriksa sampel dan menemukannya mengandung informasi berikut:

Alamat email

Nama lengkap

Nomor telepon

Alamat fisik

Catatan geolokasi

Nama pengguna dan URL profil LinkedIn

Pengalaman/latar belakang pribadi dan profesional

jenis kelamin

Akun media sosial dan nama pengguna lainnya

PrivacyShark

Tidak ada kata sandi yang ikut bocor, tetapi ini masih merupakan data berharga yang dapat digunakan untuk pencurian identitas dan upaya phishing yang tampak meyakinkan yang dapat digunakan sendiri untuk mendapatkan kredensial masuk untuk LinkedIn dan situs lainnya.

Saat dimintai keterangan, pihak LinkedIn membantah dengan mengatakan bahwa itu bukanlah pelanggaran data.

Sementara kami masih menyelidiki masalah ini, analisis awal kami menunjukkan bahwa kumpulan data tersebut mencakup informasi yang diambil dari LinkedIn serta informasi yang diperoleh dari sumber lain. Ini bukan pelanggaran data LinkedIn dan penyelidikan kami telah menetapkan bahwa tidak ada data pribadi anggota LinkedIn yang terpapar. Memotong data dari LinkedIn merupakan pelanggaran terhadap Ketentuan Layanan kami dan kami terus berupaya untuk memastikan privasi anggota kami terlindungi.

LinkedIn

Selengkapnya: 9to5mac

Laporan memperkirakan serangan siber besar dapat menghabiskan lebih banyak biaya daripada pemulihan dari bencana alam

June 30, 2021 by Winnie the Pooh

Biaya serangan siber besar-besaran pada utilitas atau penyedia layanan utama AS yang kritis dapat disamakan dengan biaya bencana alam seperti badai, sebuah laporan yang dirilis Senin menemukan.

Laporan tersebut, yang disusun oleh para ahli dari Foundation for Defense of Democracies (FDD) dan grup asuransi Intangic, menggunakan sistem penilaian risiko yang dikembangkan oleh Intangic untuk memperkirakan dampak dari dua jenis serangan siber yang mengganggu.

Temuan tersebut memperkirakan bahwa gangguan dunia maya tiga hari dari penyedia layanan terkelola yang memberikan layanan TI kepada ratusan pelanggan di berbagai bidang kritis dapat menyebabkan kerugian ekonomi hampir $80 miliar, lebih besar dari biaya Badai Sandy senilai $65 miliar pada tahun 2012.

Kerugian akan lebih tinggi dengan serangan pada utilitas kritis, seperti utilitas listrik regional, dengan Intangic memperkirakan bahwa pelanggaran yang menyebabkan gangguan listrik selama lima hari akan menelan biaya sekitar $ 193,5 miliar, lebih dari biaya Badai Katrina tahun 2005 dan Kebakaran hutan California 2018.

Laporan tersebut dirilis setelah meningkatnya serangan siber terhadap organisasi-organisasi penting.

Serangan ransomware pada bulan Mei di Colonial Pipeline, yang menyediakan 45 persen pasokan bahan bakar Pantai Timur, memaksa perusahaan untuk menutup saluran pipa selama hampir seminggu, yang menyebabkan kekurangan bensin. Serangan ransomware tak lama kemudian di JBS USA, penyedia daging sapi terbesar di negara itu, juga mengganggu rantai pasokan makanan utama.

Selengkapnya: The Hill

Studi keamanan siber: Biaya serangan SolarWinds mempengaruhi perusahaan rata-rata $12 juta

June 30, 2021 by Winnie the Pooh

Kabar baiknya adalah bahwa tim keamanan meningkatkan pertahanan jaringan, tetapi kabar buruknya adalah sebagian besar perusahaan baru-baru ini mengalami insiden keamanan siber yang memerlukan rapat dewan. Itulah analisis dari Laporan Dampak Keamanan Siber 2021 dari IronNet.

Laporan ini didasarkan pada wawancara dengan 473 pengambil keputusan TI keamanan dari AS, Inggris, dan Singapura yang bekerja di sektor teknologi, keuangan, layanan publik, dan utilitas.

Survei tersebut menemukan bahwa 90% responden mengatakan postur keamanan mereka telah meningkat selama dua tahun terakhir, tetapi 86% mengalami serangan yang cukup parah sehingga memerlukan pertemuan eksekutif tingkat C atau dewan direksi perusahaan.

Studi tersebut menemukan bahwa 70% perusahaan yang disurvei merasakan dampak serangan SolarWinds:

Dampak signifikan: 31%
Sedikit dampak: 39%
Dampak kecil: 15%
Tidak ada dampak: 15%

Survei tersebut menanyakan tentang dampak finansial dari serangan tersebut dan menemukan bahwa dampak rata-ratanya adalah 11% dari pendapatan tahunan atau sekitar $12 juta per perusahaan. Perusahaan di AS melaporkan rata-rata dampak 14% pada pendapatan tahunan dengan rata-rata di Inggris dan Singapura masing-masing sebesar 8,6% dan 9,1%.

Selengkapnya: Tech Republic

Peretas mengeksploitasi bug zero day untuk menghapus perangkat My Book Live secara massal

June 30, 2021 by Winnie the Pooh

Penghapusan massal perangkat penyimpanan Western Digital My Book Live minggu lalu melibatkan eksploitasi tidak hanya satu kerentanan tetapi juga bug keamanan kritis kedua yang memungkinkan peretas melakukan reset pabrik dari jarak jauh tanpa kata sandi, sebuah penyelidikan menunjukkan.

Kerentanannya luar biasa karena membuatnya sepele untuk menghapus data pengguna yang kemungkinan berukuran petabyte. Lebih penting lagi adalah bahwa, menurut kode yang rentan itu sendiri, pengembang Western Digital secara aktif menghapus kode yang memerlukan kata sandi pengguna yang valid sebelum mengizinkan pengaturan ulang pabrik untuk melanjutkan.

Kerentanan yang tidak terdokumentasi berada dalam file bernama system_factory_restore. Ini berisi skrip PHP yang melakukan reset, memungkinkan pengguna untuk mengembalikan semua konfigurasi default dan menghapus semua data yang tersimpan di perangkat.

“Vendor yang mengomentari otentikasi di titik akhir pemulihan sistem benar-benar tidak membuat segalanya terlihat baik bagi mereka,” HD Moore, pakar keamanan dan CEO platform penemuan jaringan Rumble, mengatakan kepada Ars. “Sepertinya mereka sengaja mengaktifkan bypass.”

Untuk mengeksploitasi kerentanan, penyerang harus mengetahui format permintaan XML yang memicu reset. Itu “tidak semudah menekan URL acak dengan permintaan GET, tetapi [itu] juga tidak terlalu jauh,” kata Moore.

My Book Live adalah perangkat penyimpanan seukuran buku yang menggunakan jack Ethernet untuk terhubung ke jaringan rumah dan kantor sehingga komputer yang terhubung memiliki akses ke data di dalamnya.

Selengkapnya: Ars Technica

GitHub bug bounties: pembayaran melonjak melewati $1,5 juta

June 30, 2021 by Winnie the Pooh

Lebih dari setengah juta dolar telah dikeluarkan sebagai hadiah bagi para peneliti yang berpartisipasi dalam program bug bounty GitHub selama setahun terakhir, sehingga total pembayaran menjadi lebih dari $1,5 juta.

Vendor milik Microsoft telah mengoperasikan Program Bug Bounty Keamanan GitHub selama tujuh tahun.

Program bug bounty sekarang menjadi cara umum bagi vendor untuk mendapatkan bantuan dari peneliti pihak ketiga dalam mengamankan produk dan layanan. Bertahun-tahun yang lalu, terkadang sulit untuk mengungkapkan bug secara pribadi dan banyak perusahaan tidak memiliki kontak atau portal khusus untuk laporan kerentanan — tetapi sekarang, hadiah kredit dan finansial sering ditawarkan.

Vendor mengatakan bahwa 2020 “adalah tahun tersibuk” untuk program GitHub.

“Dari Februari 2020 hingga Februari 2021, kami menangani volume pengiriman yang lebih tinggi daripada tahun sebelumnya,” kata GitHub.

Secara total, 1.066 laporan bug dikirimkan di seluruh program publik dan pribadi GitHub — yang terakhir difokuskan pada produk beta dan pra-rilis — sepanjang tahun, dan $524.250 diberikan untuk 203 kerentanan. Sejak 2016, saat GitHub meluncurkan program publiknya di HackerOne, hadiah kini telah mencapai $1.552.004.

GitHub juga beroperasi di bawah prinsip Safe Harbor, di mana bug bounty hunter yang mematuhi kebijakan pengungkapan yang bertanggung jawab, dilindungi dari segala potensi konsekuensi hukum dari penelitian mereka.

Selengkapnya: ZDNet

Trusted Platform Modules (TPM) Terbaik 2021

June 30, 2021 by Winnie the Pooh

Microsoft mengkonfirmasi dengan peluncuran resmi Windows 11 bahwa modul platform tepercaya (TPM) 2.0 akan menjadi persyaratan “lunak”.

Jika karena alasan tertentu PC Anda tidak mendukung TPM dan Anda ingin maju dari permainan untuk mendukung Windows 11, Windows Central telah mengumpulkan beberapa add-on TPM untuk board yang kompatibel. Ini diperlukan hanya jika Anda tidak dapat mengaktifkan TPM melalui UEFI BIOS.

Untuk motherboards ASUS

ASUS Trusted Platform Module (TPM)

Modul TPM 2.0 ini dirancang oleh ASUS untuk motherboard Intel-nya. Pastikan motherboard Anda memiliki header TPM.

Untuk motherboard ASRock

ASRock Trusted Platform Module (TPM)

Modul TPM 2.0 ini dirancang oleh ASRock untuk motherboard Intel-nya. Pastikan motherboard Anda memiliki header TPM.

Untuk motherboard MSI

MSI Trusted Platform Module (TPM)

Modul TPM 2.0 ini dirancang oleh MSI untuk motherboard Intel-nya. Pastikan motherboard Anda memiliki header TPM.

Selengkapnya: Windows Central

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Untuk motherboards ASUS

Untuk motherboard ASRock

Untuk motherboard MSI

Cookies Settings