News 328 - Naga Cyber Defense

Bagaimana Penyerang Menggunakan Akun yang Disusupi untuk Membuat dan Mendistribusikan Aplikasi OAuth Berbahaya

May 6, 2021 by Winnie the Pooh

Open authorization atau aplikasi “OAuth” menambahkan fitur bisnis dan peningkatan antarmuka pengguna ke platform cloud utama seperti Microsoft 365 dan Google Workspace. Sayangnya, mereka juga merupakan vektor ancaman baru karena semakin banyak pelaku kejahatan yang menggunakan aplikasi OAuth 2.0 berbahaya (atau malware cloud) untuk menyedot data dan mengakses informasi sensitif.

Proofpoint telah mengamati banyak bentuk serangan phishing token OAuth dan penyalahgunaan aplikasi OAuth, yang ideal bagi penyerang untuk melakukan pengintaian, meluncurkan serangan antar karyawan, dan mencuri file serta email dari platform cloud.

Serangan aplikasi berbahaya sering kali menargetkan akun wakil presiden, pengelola akun, perwakilan sumber daya manusia, dan kepala bagian keuangan — jenis pengguna yang memiliki akses ke data yang sangat sensitif. Jika berhasil, penyerang mendapatkan akses persisten dan independen ke email (termasuk membaca, menulis, mengirim, dan mengatur aturan kotak surat), file, kontak, catatan, obrolan Microsoft Teams, dan lainnya. Dalam beberapa kasus, mereka mengalihkan pengguna ke situs phishing setelah pengguna menyetujui aplikasi tersebut.

Penyerang pertama-tama akan membuat kode berbahaya mereka dan menyimpannya di server web, yang dapat diakses melalui URL (URL aplikasi berbahaya). Setelah menyusupi akun cloud target, penyerang kemudian membuat aplikasi di bagian “pendaftaran aplikasi” di portal Azure, menandai aplikasi tersebut sebagai “aplikasi multi-tenant” dengan pengaturan “web”, menambahkan URL berbahaya dari kode mereka ke aplikasi. Karena kode berbahaya memerlukan izin akses ke sumber daya, penyerang menambahkan izin yang relevan pada halaman aplikasi, di bawah tab “Izin API”.

Selengkapnya: ProofPoint

Report: Q1 2021 Serangan DDoS dan insiden BGP

May 6, 2021 by Winnie the Pooh

Tahun 2021 dimulai dengan catatan tinggi bagi Qrator Labs: pada 19 Januari, perusahaan mereka merayakan hari jadinya yang ke-10. Tak lama kemudian, pada bulan Februari, jaringan perusahaan memitigasi serangan DDoS 750 Gbps yang cukup mengesankan berdasarkan amplifikasi DNS lama dan terkenal.

Selain itu, ada aliran insiden BGP yang konstan; beberapa menjadi anomali perutean global. Qrator Labs mulai melaporkannya di akun Twitter mereka yang baru dibuat untuk Qrator.Radar.

Namun demikian, dengan berakhirnya kuartal pertama tahun ini, kita dapat melihat lebih dekat statistik serangan DDoS dan insiden BGP untuk Januari – Maret 2021.

Vektor serangan DDoS 3 teratas pada Q1 2021 adalah IP flood, tercatat 35,31% dari semua serangan; UDP flood sebesar 18,25%; dan SYN flood bertanggung jawab atas 13,74% dari serangan Q1.

Vektor-vektor terpisah tersebut sekarang hanya sebagian kecil, dalam hal statistik serangan, dari kombinasi campuran pertama: IP flood + UDP flood, yang pada Q1 menghasilkan 11,37% dan menempati posisi keempat, secara efektif mengalahkan TCP flood dalam statistik mereka.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Qrator Labs

Pelacak AirTag Apple membuatnya sangat mudah untuk ‘menguntit’ saya dalam pengujian

May 6, 2021 by Winnie the Pooh

Pelacak AirTag Apple membuatnya menjepretkan AirTag seukuran tombol ke kunci Anda, dan ini akan membantu Anda menemukan di mana Anda secara tidak sengaja menjatuhkannya di taman. Tetapi jika orang lain memasukkan AirTag ke dalam tas atau mobil Anda tanpa sepengetahuan Anda, AirTag juga dapat digunakan untuk melacak ke mana pun Anda pergi secara diam-diam. Bersamaan dengan membantu Anda menemukan barang yang hilang, AirTags adalah cara baru untuk mengintai yang murah dan efektif. Sungguh mudah untuk ‘menguntit’ saya dalam ujian

Saya tahu karena saya menguji AirTags dengan membiarkan kolega Washington Post berpura-pura menguntit saya. Dan upaya Apple untuk menghentikan penyalahgunaan pelacak saja tidak cukup.

Untuk mencegah apa yang disebutnya “pelacakan yang tidak diinginkan,” Apple membangun teknologi ke dalam AirTags untuk memperingatkan calon korban, termasuk alarm yang dapat didengar dan pesan tentang AirTag yang mencurigakan yang muncul di iPhone. Untuk menguji perlindungan keamanan pribadi Apple, kolega saya Jonathan Baran memasangkan AirTag dengan iPhone-nya, menyelipkan labelnya di ransel saya (dengan izin saya), lalu melacak saya selama seminggu dari seberang Teluk San Francisco.

Saya mendapat banyak peringatan: dari AirTag yang tersembunyi dan di iPhone saya. Namun, tidak sulit menemukan cara mitra yang melakukan penyalahgunaan dapat mengelak dari sistem Apple. Salah satunya: Alarm yang terdengar hanya berdering setelah tiga hari – dan kemudian ternyata hanya 15 detik dari kicauan ringan. Dan lainnya: Saat iPhone memberi tahu saya bahwa AirTag yang tidak dikenal sedang berpindah bersama saya, peringatan serupa tidak tersedia untuk kira-kira separuh orang Amerika yang menggunakan ponsel Android.

selengkapnya : www.washingtonpost.com

Ini adalah Dunia Teknologi Operasional, dan Penyerang Tinggal di dalamnya

May 6, 2021 by Winnie the Pooh

Pada April 2021, pemerintah AS mengumumkan upaya baru untuk melindungi sistem kontrol industri (ICS) dari serangan siber.

Bagi komunitas keamanan siber, pengumuman tersebut mungkin tidak mengejutkan. Kerentanan dalam infrastruktur kritis seperti ICS dan teknologi operasional (OT) yang menjalankannya telah sering menjadi berita utama.

Dari ancaman sistem air publik hingga penelitian hingga undang-undang yang diusulkan, keamanan ICS tetap menjadi masalah utama di sektor publik dan swasta. Jika OT yang menjalankan sistem infrastruktur kritis dikompromikan, hal itu bisa menimbulkan konsekuensi yang menghancurkan.

Jaringan listrik dan pipa dianggap sebagai sistem OT di dalam lingkungan ICS. Beberapa ahli berpendapat bahwa brankas bank, teknologi penyortiran mesin, ban berjalan dan pemanas otomatis, sistem ventilasi dan pendingin udara juga merupakan OT. Mereka disebut infrastruktur penting karena suatu alasan.

Teknologi operasional adalah tulang punggung dari proses global yang menjalankan kehidupan kita sehari-hari, itulah mengapa memahami ancaman terhadapnya dan kerentanan yang mengeksposnya sangat penting.

Salah satu presentasi unggulan di konferensi virtual IBM Think 2021 pada 11 dan 12 Mei, yang disampaikan oleh Wakil Presiden Keamanan Teknologi Operasi Marty Edwards dan Kepala Teknologi Peretasan X-Force Red Steve Ocepek, akan membahas lanskap ancaman lingkungan OT.

Sebagai pendahulu dari pembicaraan mereka, Security Intelligence mewawancarai Edwards dan Ocepek tentang keamanan OT, berbagai jalur serangan terhadap OT, kerentanan yang memungkinkan penyerang berhasil dan bagaimana organisasi dapat mengurangi risiko kompromi OT.

Simak wawancara tersebut melalui link di bawah ini;
Sumber: Security Intelligence

Bug Cisco memungkinkan pembuatan akun admin dan menjalankan perintah sebagai root

May 6, 2021 by Winnie the Pooh

Cisco telah memperbaiki kelemahan keamanan perangkat lunak SD-WAN vManage dan HyperFlex HX yang kritis yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sebagai root atau membuat akun admin jahat.

Perusahaan juga mengeluarkan pembaruan keamanan untuk mengatasi kerentanan dengan tingkat keparahan tinggi dan menengah di beberapa produk perangkat lunak lain yang memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh, meningkatkan hak istimewa, memicu adanya denial of service, dan lainnya di server yang tidak ditambal.

Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa mereka tidak mengetahui adanya eksploitasi secara aktif dari kerentanan ini di alam liar.

Cisco SD-WAN vManage Kerentanan perangkat lunak yang di-patch hari ini oleh Cisco dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer atau mengakses informasi sensitif.

Mereka juga dapat dieksploitasi secara lokal oleh penyerang lokal yang diautentikasi untuk mendapatkan hak istimewa atau akses tidak sah ke aplikasi yang rentan terhadap serangan.

Bug keamanan Cisco HyperFlex HX Command Injection memungkinkan penyerang jarak jauh tanpa hak istimewa pada server yang ditargetkan untuk melakukan serangan injeksi perintah.

Dalam kedua kasus, menggabungkan kerentanan tidak diperlukan untuk eksploitasi yang berhasil, dan bug tidak bergantung satu sama lain.

Selengkapnya: Bleeping Computer

VMware memperbaiki bug RCE penting di vRealize Business for Cloud

May 6, 2021 by Winnie the Pooh

VMware telah merilis pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan kritis di vRealize Business for Cloud yang memungkinkan penyerang tidak terautentikasi mengeksekusi kode berbahaya dari jarak jauh di server yang rentan.

vRealize Business for Cloud adalah solusi manajemen bisnis cloud otomatis yang dirancang untuk memberi tim TI alat perencanaan, penganggaran, dan analisis biaya cloud.

Kerentanan keamanan dilacak sebagai CVE-2021-21984, dan memengaruhi peralatan virtual yang menjalankan VMware vRealize Business for Cloud sebelum versi 7.6.0.

Masalah ini ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Untuk memperbaiki kerentanan pada peralatan virtual yang menjalankan vRealize Business untuk versi Cloud yang rentan, Anda harus mengunduh file ISO Patch Keamanan dari halaman Unduhan VMware terlebih dahulu.

Selanjutnya, Anda harus melalui langkah-langkah berikut untuk menyelesaikan proses peningkatan:

Hubungkan drive CD-ROM vRealize Business for Cloud Server Appliance ke file ISO yang Anda unduh.
Masuk ke portal VAMI dari vRealize Business for Cloud menggunakan kredensial root
Klik pada tab Update di VAMI UI.
Klik pada Settings di bawah tab Update.
Pilih “Use CDROM Updates” di bawah “Update Repository” dan mount path tempat dimana Anda mengunggah file ISO dan Save Settings.
Klik Install Updates di bawah tab Status untuk meningkatkan ke versi ini.

Sumber: Bleeping Computer

Mengapa Anda Harus Melindungi Nomor Ponsel Anda & Bagaimana Melakukannya

May 6, 2021 by Winnie the Pooh

Kita menghabiskan sebagian besar waktu kita di ponsel; tidak peduli kita menunggu, di lift, berjalan, atau di toilet. Ponsel ada bersama kita setiap saat, kapan saja, di mana saja. Tidak hanya itu, kita juga menggunakan ponsel untuk memudahkan hidup kita.

Saat mendaftar ke situs atau layanan, sering kali diperlukan nomor telepon kita untuk verifikasi. Terkadang kita bahkan menggunakannya untuk masuk ke aplikasi dan game secara langsung. Nomor telepon kita juga merupakan pilihan terakhir untuk mengatur ulang akun ketika kita lupa kata sandi. Ini juga merupakan cara untuk membuktikan “sesuatu yang Anda miliki/ketahui” dalam otentikasi multi-faktor.

Dengan nomor telepon Anda, peretas dapat mulai membajak akun Anda dengan membuat pengaturan ulang kata sandi dikirim ke telepon Anda satu per satu. Dengan nomor telepon Anda, mereka dapat menipu sistem otomatis, seperti self-service call desk bank Anda, untuk percaya bahwa mereka adalah Anda ketika Anda menghubungi layanan pelanggan.

Dan bagian terburuknya adalah, mereka dapat menggunakan nomor telepon Anda yang dibajak untuk membobol email kantor dan dokumen sensitif Anda – berpotensi mengekspos perusahaan Anda hingga pencurian data melalui manipulasi psikologis. Itulah mengapa Anda perlu melindungi nomor ponsel Anda.

Yang Dapat Anda Lakukan untuk Melindungi Nomor Ponsel Anda

Aktifkan 2FA untuk SIM Anda (Jika tersedia)
Tinjau Ulang 2FA Berbasis SMS dari Semua Akun
Belajar Dari Kesalahan

Selengkapnya dapat Anda baca pada link berikut:

Sumber: Technology Hits on Medium

Smart TV China tertangkap sedang mengintip pemiliknya

May 6, 2021 by Winnie the Pooh

Ratusan juta konsumen China mendapatkan penemuan yang mengejutkan minggu lalu: TV mereka tahu lebih banyak tentang mereka daripada yang pernah mereka pikirkan, atau setujui.

Ternyata Gozen Data yang berbasis di Beijing, firma analisis kepemirsaan TV China terkemuka, telah mengumpulkan data pribadi secara real time menggunakan smart TV – tanpa persetujuan pengguna.

Praktik ini pertama kali terungkap ketika pengguna di V2EX, sebuah forum online untuk penggemar teknologi, melihat smart TV merek Skyworth mereka menjadi lambat dan menganalisis kode program back-end untuk mencari tahu alasannya. Apa yang mereka temukan adalah program yang memindai Wi-Fi pengguna setiap 10 menit dan mengunggah berbagai informasi ke situs web Gozen Data.

Ini tampaknya menjadi contoh masalah keamanan data profil tinggi pertama yang diungkapkan secara publik yang berpusat pada smart TV di China.

Masalahnya, hampir tidak ada penonton TV yang mengetahui tentang praktik tersebut. Terlepas dari jangkauannya, Gozen Data bukanlah nama yang dikenal luas di China. Setelah berita itu tersebar, Gozen menghapus nomor liputan dari situsnya.

Skyworth, perusahaan China yang memproduksi perangkat TV pintar tertentu yang diketahui mengunggah data pribadi, merilis pengumuman pada 27 April bahwa mereka telah menonaktifkan semua layanan Data Gozen.

Gozen Data merilis pernyataan yang meminta maaf dan berjanji untuk “meningkatkan kebijakan privasi pengguna kami dan memastikan kami mengumpulkan informasi dengan persetujuan pengguna dan dalam lingkup kepatuhan hukum”.

Selengkapnya: Protocol

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Yang Dapat Anda Lakukan untuk Melindungi Nomor Ponsel Anda

Cookies Settings