News 341 - Naga Cyber Defense

Ransomware sekarang menjadi perhatian keamanan siber terbesar untuk CISO

January 22, 2021 by Mally

Ransomware adalah masalah keamanan siber terbesar yang dihadapi bisnis, menurut mereka yang bertanggung jawab menjaga keamanan organisasi dari peretasan dan serangan siber.

Sebuah survei terhadap kepala petugas keamanan informasi (CISO) dan kepala petugas keamanan (CSO) oleh cybersecurity Proofpoint menemukan bahwa ransomware sekarang dipandang sebagai ancaman keamanan siber utama bagi organisasi mereka selama tahun depan.

Hampir setengah – 46% – CSO dan CISO yang disurvei mengatakan bahwa ransomware atau bentuk pemerasan lainnya oleh pihak luar merupakan ancaman keamanan siber terbesar.

Selain skema pelatihan dan kesadaran, organisasi dapat membantu melindungi dari ransomware dan serangan lainnya dengan menerapkan patch keamanan saat dirilis, mencegah peretas mengeksploitasi kerentanan yang diketahui.

Menggunakan perlindungan tambahan seperti autentikasi dua faktor di seluruh organisasi juga dapat membantu mencegah serangan yang merusak dengan mempersulit peretas untuk bergerak di sekitar jaringan, bahkan jika mereka memiliki kredensial yang benar.

sumber : ZDNET

Microsoft: Bagaimana ‘zero trust’ dapat melindungi dari serangan peretasan yang canggih

January 22, 2021 by Mally

Berbagai teknik yang digunakan oleh peretas SolarWinds sangat canggih namun dalam banyak hal juga biasa dan dapat dicegah, menurut Microsoft.

Untuk mencegah serangan di masa mendatang dengan tingkat kecanggihan yang serupa, Microsoft merekomendasikan organisasi untuk mengadopsi “mentalitas zero trust”, yang menyangkal asumsi bahwa segala sesuatu di dalam jaringan TI aman. Artinya, organisasi harus menganggap pelanggaran dan secara eksplisit memverifikasi keamanan akun pengguna, perangkat endpoint, jaringan, dan sumber daya lainnya.

Seperti yang dicatat oleh direktur keamanan identitas Microsoft, Alex Weinert dalam sebuah posting blog, tiga vektor serangan utama adalah akun pengguna yang disusupi, akun vendor yang disusupi, dan perangkat lunak vendor yang disusupi.

Ribuan perusahaan terkena dampak pelanggaran SolarWinds yang diungkapkan pada pertengahan Desember. Vendor keamanan AS Malwarebytes kemarin mengatakan bahwa mereka juga dilanggar oleh peretas yang sama tetapi tidak melalui pembaruan Orion yang tercemar.

Menurut Weinert, para penyerang mengeksploitasi celah dalam “verifikasi eksplisit” di setiap vektor serangan utama.

“Saat akun pengguna disusupi, teknik yang dikenal seperti password spray, phishing, atau malware digunakan untuk membobol kredensial pengguna dan memberi penyerang akses kritis ke jaringan pelanggan,” tulis Weinert.

Dalam kasus di mana aktor berhasil, Weinert mencatat bahwa akun vendor dengan hak istimewa tidak memiliki perlindungan tambahan seperti otentikasi multi-faktor (MFA), pembatasan rentang IP, kepatuhan perangkat, atau tinjauan akses.

MFA adalah kontrol penting, karena akun dengan hak istimewa tinggi yang disusupi dapat digunakan untuk memalsukan token SAML guna mengakses sumber daya cloud.

“Prinsip pertama Zero Trust adalah memverifikasi secara eksplisit – pastikan Anda memperluas verifikasi ini ke semua permintaan akses, bahkan dari vendor dan terutama yang berasal dari lingkungan lokal.”

Sumber: ZDNet

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

January 21, 2021 by Mally

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Peretas memposting 1,9 juta catatan pengguna Pixlr secara gratis di forum

January 21, 2021 by Mally

Seorang peretas telah membocorkan 1,9 juta catatan pengguna Pixlr yang berisi informasi yang dapat digunakan untuk melakukan serangan phishing dan credential stuffing yang ditargetkan.

Pixlr adalah aplikasi pengeditan foto online yang sangat populer dan gratis dengan banyak fitur yang sama yang ditemukan di editor foto desktop profesional seperti Photoshop.

Selama akhir pekan, aktor ancaman yang dikenal sebagai ShinyHunters membagikan database secara gratis di forum peretas yang dia klaim telah dicuri dari Pixlr saat dia membobol situs stock foto 123rf. Pixlr dan 123rf dimiliki oleh perusahaan yang sama, Inmagine.

Database Pixlr yang diduga diposting oleh ShinyHunters berisi 1.921.141 catatan pengguna yang terdiri dari alamat email, nama login, sandi dengan hash SHA-512, negara pengguna, apakah mereka mendaftar untuk buletin, dan informasi internal lainnya.

ShinyHunters menyatakan dia mengunduh database dari AWS bucket perusahaan pada akhir tahun 2020.

Setelah berbagi database, banyak pelaku ancaman lain yang sering mengunjungi forum peretas berbagi apresiasi mereka karena penyerang dapat menggunakan data tersebut untuk aktivitas jahat mereka.

Karena beberapa data yang terpapar dipastikan akurat, tampaknya itu adalah benar sebuah pelanggaran.

Sangat disarankan agar semua pengguna Pixlr segera mengubah kata sandi mereka di situs. Pengguna harus menggunakan kata sandi yang unik dan kuat yang tidak digunakan di situs lain.

Sumber: Bleeping Computer

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

January 21, 2021 by Mally

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Google: Fitur perlindungan sandi baru ini akan hadir di Chrome

January 21, 2021 by Mally

Setelah merilis Chrome 88 minggu ini, Google telah mengumumkan sejumlah fitur perlindungan kata sandi baru yang akan mulai diluncurkan ke Chrome 88 dalam beberapa minggu mendatang.

Chrome 88 menyertakan fitur baru untuk dengan cepat memeriksa kata sandi yang lemah atau disusupi dan memulihkan masalahnya. Setelah mengklik avatar profil, sekarang ada ikon kunci yang dapat diklik untuk mulai memeriksa kata sandi yang lemah.

Juga di Chrome 88, pengguna dapat mengelola dan mengedit semua kata sandi di Pengaturan Chrome di desktop dan iOS. Google berencana untuk segera menghadirkan fitur ini ke aplikasi Android Chrome.

Fitur ini dimaksudkan untuk mempermudah memperbarui kata sandi yang disimpan di tempat sentral, dibandingkan dengan hanya mengandalkan permintaan Chrome untuk memperbarui kata sandi tunggal saat masuk ke situs web.

Chrome 88, yang dirilis awal minggu ini, adalah versi pertama Chrome dalam beberapa tahun yang tidak menyertakan Adobe Flash Player dalam browsernya. Flash mencapai akhir masa pakainya pada akhir tahun 2020, jadi Mozilla, Google, Apple dan Microsoft juga telah menghilangkan dukungan untuk Flash di browser masing-masing.

Sumber: ZDNet

Red Hat memperkenalkan RHEL gratis untuk beban kerja produksi kecil dan tim pengembangan

January 21, 2021 by Mally

Ketika Red Hat mengumumkan pengalihan CentOS Linux dari klon Red Hat Enterprise Linux (RHEL) yang stabil ke distribusi Linux yang sedang berjalan, yang akan menjadi pembaruan RHEL minor berikutnya, banyak pengguna CentOS kesal.

Sekarang, untuk menenangkan beberapa pengguna tersebut, Red Hat memperkenalkan RHEL tanpa biaya untuk beban kerja produksi kecil dan RHEL tanpa biaya untuk tim pengembangan pelanggan.

Pertama, menggantikan CentOS Linux, Red Hat ingin mengingatkan para pengembang bahwa RHEL tanpa biaya telah lama ada melalui program Red Hat Developer.

Persyaratan penawaran sebelumnya membatasi penggunaannya untuk pengembang mesin tunggal. Sekarang Red Hat akan memperluas program ini sehingga langganan Pengembang Individual untuk RHEL dapat digunakan dalam produksi hingga 16 sistem.

Untuk mendapatkannya, Anda hanya perlu masuk dengan akun Red Hat gratis (atau melalui sistem masuk tunggal melalui GitHub, Twitter, Facebook, dan akun lainnya) untuk mengunduh RHEL dan menerima pembaruan.

Selain itu, Anda juga dapat menggunakan program Pengembang Red Hat yang diperluas untuk menjalankan RHEL di cloud publik utama termasuk AWS, Google Cloud Platform, dan Microsoft Azure. Anda tentu saja harus membayar biaya hosting dari penyedia cloud Anda.

Langganan Pengembang Individual yang diperbarui untuk RHEL ini akan tersedia sebelum 1 Februari 2021.

Sumber: ZDNet

Grup peretas Cina mencuri detail penumpang maskapai penerbangan

January 21, 2021 by Mally

Sebuah kelompok peretas Cina yang dicurigai telah menyerang industri penerbangan selama beberapa tahun terakhir dengan tujuan mendapatkan data penumpang untuk melacak pergerakan orang-orang yang mereka targetkan.

Gangguan ini telah dikaitkan dengan aktor ancaman yang telah dilacak oleh keamanan siber dengan nama Chimera.

Dalam laporan baru yang diterbitkan minggu lalu oleh NCC Group dan anak perusahaannya Fox-IT, kedua perusahaan tersebut mengatakan gangguan grup lebih luas dari yang diperkirakan, karena juga menargetkan industri penerbangan.

Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai wilayah geografis, dan bukan hanya Asia, kata NCC dan Fox-IT.

“Tujuannya adalah untuk menargetkan beberapa korban tampaknya untuk mendapatkan Passenger Name Records (PNR),” kata kedua perusahaan itu.

Laporan gabungan NCC dan Fox-IT juga menjelaskan modus operandi khas grup Chimera, yang biasanya dimulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik setelah pelanggaran data di perusahaan lain.

Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, kerangka kerja penetration-testing, yang mereka gunakan untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari IP dan detail penumpang.

Begitu mereka menemukan dan mengumpulkan data yang mereka kejar; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive, mengetahui bahwa lalu lintas ke layanan ini tidak akan diperiksa atau diblokir di dalam jaringan yang dibobol.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

MITIGASI

Cookies Settings