Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Bug Cisco 9.9/10-severity: Tambal kerentanan Jabber yang berbahaya ini pada Windows dan macOS

by

Cisco telah meluncurkan patch untuk beberapa kelemahan kritis yang memengaruhi klien Jabber untuk Windows, MacOS, dan aplikasi seluler untuk iOS dan Android.

Cacatnya buruk, dengan yang terburuk memiliki peringkat keparahan 9,9. Yang lebih buruk, cacat itu dimaksudkan untuk diperbaiki tiga bulan lalu dalam pembaruan untuk Jabber, tak lama setelah para peneliti merilis kode proof-of-concept eksploitasi untuk bug wormable, yang dapat dieksploitasi melalui pesan instan.

Jabber adalah platform enterprise chat dan pesan instan Cisco yang banyak digunakan, yang diakuisisi pada tahun 2008. Aplikasi ini didasarkan pada Chromium Embedded Framework (CEF), yang memungkinkan pengembang untuk menyematkan browser web berbasis Chromium dalam sandbox asli di aplikasi mereka.

Cisco mengatakan bahwa bug ini memungkinkan penyerang untuk “mengeksekusi program apapun pada sistem operasi yang mendasarinya dengan hak istimewa yang lebih tinggi atau mendapatkan akses ke informasi sensitif”.

Cisco mencatat bahwa kerentanan penanganan pesan baru dapat dieksploitasi jika penyerang dapat mengirim pesan Extensible Messaging and Presence Protocol (XMPP) ke sistem pengguna akhir yang menjalankan Cisco Jabber.

Tiga bug yang belum diperbaiki sepenuhnya dilacak sebagai CVE-2020-26085, CVE-2020-27127, dan CVE-2020-27132.

Watchcom melaporkan empat kerentanan ke Cisco awal tahun ini, dan itu diungkapkan oleh raksasa jaringan pada bulan September. Tetapi tiga di antaranya tidak diperbaiki dengan benar dalam pembaruan pada saat itu, menurut Watchcom.

Cisco juga menemukan dua bug tambahan di Jabber selama pengujian internal. Mereka dilacak sebagai CVE-2020-27133 dan CVE-2020-27134.

Sumber: ZDNet

Plugin Zero-day di WordPress SMTP disalahgunakan untuk mengatur ulang kata sandi akun admin

by

Peretas menyetel ulang kata sandi untuk akun admin di situs WordPress menggunakan kerentanan zero-day di plugin WordPress populer yang dipasang di lebih dari 500.000 situs.

Zero-day digunakan dalam serangan selama beberapa minggu terakhir dan diperbaiki pada hari Senin.

Ini berdampak pada Easy WP SMTP, sebuah plugin yang memungkinkan pemilik situs mengonfigurasi pengaturan SMTP untuk email keluar situs web mereka.

Menurut tim di Ninja Technologies Network (NinTechNet), Easy WP SMTP 1.4.2 dan versi plugin yang lebih lama berisi fitur yang membuat debug log untuk semua email yang dikirim oleh situs, yang kemudian disimpan di folder instalasinya.

“Folder plugin tidak memiliki file index.html, oleh karena itu, pada server yang mengaktifkan directory listing, peretas dapat menemukan dan melihat log,” kata Jerome Bruandet dari NinTechNet.

Sumber: NinTechNet

Bruandet mengatakan bahwa di situs yang menjalankan versi rentan dari plugin ini, peretas telah melakukan serangan otomatis untuk mengidentifikasi akun admin dan kemudian mengatur ulang kata sandi.

Karena pengaturan ulang kata sandi melibatkan pengiriman email dengan tautan pengaturan ulang kata sandi ke akun admin, email ini juga dicatat di debug log Easy WP SMTP.

Yang harus dilakukan penyerang adalah mengakses debug log setelah mengatur ulang kata sandi, mengambil tautan, dan mengambil alih akun admin situs.

Versi di mana bug ini diperbaiki adalah Easy WP SMTP 1.4.4, menurut changelog plugin.

Sumber: ZDNet

Botnet PgMiner menyerang database PostgreSQL yang tidak diamankan dengan benar

by

Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.

Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.

Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.

Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.

Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.

Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.

Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.

Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.

Sumber: Palo Alto Networks

Sumber: ZDNet

Target UEA serangan cyber setelah kesepakatan Israel, kata pejabat

by

DUBAI (Reuters) – Uni Emirat Arab menjadi sasaran serangan dunia maya setelah menjalin hubungan formal dengan Israel, kata kepala keamanan dunia maya negara Teluk Arab itu pada Minggu.

UEA pada bulan Agustus memutuskan hubungan dengan kebijakan Arab selama beberapa dekade ketika setuju untuk menjalin hubungan dengan Israel dalam sebuah tindakan yang membuat marah warga Palestina dan beberapa negara dan komunitas Muslim. Bahrain dan Sudan mengikuti.

Kuwaiti mengatakan sektor keuangan menjadi sasaran tetapi tidak merinci lebih lanjut. Dia tidak mengatakan apakah ada serangan yang berhasil atau memberikan rincian siapa pelakunya. Dia juga mengatakan pada konferensi bahwa jumlah serangan dunia maya di UEA meningkat tajam setelah dimulainya pandemi virus korona. Kuwait mengatakan secara tradisional banyak serangan di kawasan itu berasal dari Iran, tanpa menyebutkan siapa yang berada di belakangnya.

Iran juga mengatakan telah menjadi korban peretasan.

sumber : Reuters

Gedung Putih merancang perintah eksekutif yang dapat membatasi perusahaan komputasi Cloud global

by

Pemerintahan Trump sedang mempertimbangkan perintah eksekutif yang akan membiarkan pemerintah membatasi operasi internasional perusahaan komputasi cloud AS seperti Amazon dan Microsoft dalam upaya melindungi dari serangan siber asing, kata orang-orang yang mengetahui masalah tersebut kepada POLITICO. Perintah eksekutif akan memungkinkan Departemen Perdagangan untuk melarang penyedia cloud AS bermitra dengan perusahaan cloud asing yang menawarkan tempat berlindung yang aman bagi peretas dan memberi Menteri Perdagangan kemampuan untuk melarang penyedia asing tersebut beroperasi di AS, empat orang mengatakan kepada POLITICO.

Draf perintah tersebut dirancang untuk mencegah aktor asing yang berniat jahat menggunakan penyedia layanan cloud untuk melakukan serangan dunia maya dengan cepat dan tanpa nama, menurut tiga orang yang mengetahui perintah tersebut. Hal ini juga akan memberi AS mekanisme lain untuk menjaga China, yang telah berulang kali dianggap oleh pejabat AS sebagai ancaman ekonomi dan keamanan, dan yang telah dijadikan prioritas utama oleh Presiden Donald Trump dalam pemerintahannya.

Seorang pejabat AS mengatakan kepada POLITICO bahwa pemerintah tidak akan secara teratur membatasi operasi perusahaan komputasi cloud Amerika di luar negeri, melainkan menggunakan perintah eksekutif sebagai alat lain untuk mengatasi potensi ancaman keamanan siber. Perusahaan teknologi AS khawatir perintah eksekutif yang diusulkan, jika diterapkan secara luas, dapat memberi pemerintah kekuatan baru untuk ikut campur dalam transaksi bisnisnya di luar negeri dan memperumit hubungannya dengan banyak pemerintah asing. Perintah eksekutif, jika itu terjadi, dapat menimbulkan masalah bagi perusahaan dengan bisnis yang ada di China atau mereka yang ingin memasuki pasar yang sangat menguntungkan. Pejabat AS tersebut mengatakan bahwa perintah eksekutif tidak diminta oleh China saja, tetapi bahwa pemerintah memiliki kekhawatiran khusus tentang peretas dan perusahaan cloud China. Nahal Toosi berkontribusi untuk laporan ini.

sumber : Politico

Ransomware RegretLocker baru menargetkan mesin virtual Windows

by

Ransomware baru bernama RegretLocker menggunakan berbagai fitur canggih yang memungkinkannya mengenkripsi hard drive virtual dan menutup file yang terbuka untuk enkripsi. RegretLocker ditemukan pada bulan Oktober dan merupakan ransomware sederhana dalam hal tampilan karena tidak berisi catatan tebusan bertele-tele dan menggunakan email untuk komunikasi daripada situs pembayaran Tor. Saat mengenkripsi file, itu akan menambahkan ekstensi .mouse yang terdengar tidak berbahaya ke nama file yang dienkripsi.

Apa yang kurang dalam penampilannya, bagaimanapun, itu menggantikan fitur-fitur canggih yang biasanya tidak kita lihat dalam infeksi ransomware, seperti di bawah ini.

RegretLocker memasang hard disk virtual. Saat membuat mesin virtual Windows Hyper-V, hard disk virtual dibuat dan disimpan dalam file VHD atau VHDX. File hard disk virtual ini berisi image disk mentah, termasuk tabel partisi dan partisi drive, dan seperti drive disk biasa, ukurannya dapat berkisar dari beberapa gigabyte hingga terabyte. Ketika ransomware mengenkripsi file di komputer, tidak efisien untuk mengenkripsi file besar karena memperlambat kecepatan seluruh proses enkripsi.

Dalam sampel ransomware yang ditemukan oleh MalwareHunterTeam dan dianalisis oleh Vitali Kremez dari Intel Canggih, RegretLocker menggunakan teknik menarik untuk memasang file disk virtual sehingga setiap filenya dapat dienkripsi secara individual. Setelah drive virtual dipasang sebagai disk fisik di Windows, ransomware dapat mengenkripsi masing-masing satu per satu, yang meningkatkan kecepatan enkripsi. Selain menggunakan Virtual Storage API, RegretLocker juga menggunakan Windows Restart Manager API untuk menghentikan proses atau layanan Windows yang membuat file tetap terbuka selama enkripsi. Saat menggunakan API ini, Kremez memberi tahu BleepingComputer jika nama suatu proses berisi ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’, atau ‘svchost.exe’, ransomware tidak akan menghentikannya. Daftar pengecualian ini kemungkinan besar digunakan untuk mencegah penghentian program kritis atau yang digunakan oleh pelaku ancaman untuk mengakses sistem yang dikompromikan.

Fitur Windows Restart Manager hanya digunakan oleh beberapa ransomware seperti REvil (Sodinokibi), Ryuk, Conti, ThunderX / Ako, Medusa Locker, SamSam, dan LockerGoga. RegretLocker tidak terlalu aktif saat ini, tetapi ini adalah keluarga baru yang perlu kita awasi.

sumber : BleepingComputer

250.000 database MySQL curian dijual di situs lelang dark web

by

Peretas telah menyiapkan situs lelang di dark web untuk menjual 250.000 database yang dicuri dari puluhan ribu server MySQL yang dibobol.

Seluruh koleksi berukuran tujuh terabyte dan merupakan bagian dari database ransom business yang tercatat naik tajam sejak Oktober.

Kembali pada bulan Mei, BleepingComputer melaporkan tentang penyerang yang mencuri database SQL dari toko online dan mengancam korban bahwa data mereka akan diketahui publik jika mereka tidak membayar 0,06 BTC.

Peneliti di Guardicore memantau skema tersebut sepanjang tahun dan melihat peningkatan tajam dalam aktivitas sejak 3 Oktober.

Penyerang telah berpindah dari clear web ke dark web, membuat situs lelang yang mencantumkan 250.000 basis data dari 83.000 server yang dibobol yang terungkap di web publik.

Basis data MySQL yang dijual di situs lelang berukuran mulai dari 20 byte hingga gigabyte, dan ditawarkan dengan jumlah yang sama – 0,03 bitcoin atau $ 545 dengan harga saat ini.

Dalam laporannya, Guardicore menegaskan bahwa hasil data dari serangan otomatis non-target yang menggunakan brute force untuk mendapatkan akses ke data.

Admin harus menghindari mengekspos database, jika memungkinkan, atau setidaknya mengaktifkan akses ke database tersebut melalui koneksi non publik yang aman, dan melengkapi pertahanan ini dengan visibilitas jaringan yang baik.

Sumber: Bleeping Computer

Peretas dapat menggunakan koneksi server tidak aman WinZip untuk menjatuhkan malware

by

Komunikasi klien-server dalam versi tertentu dari alat kompresi file WinZip tidak aman dan dapat dimodifikasi untuk menyajikan malware atau konten palsu kepada pengguna.

WinZip telah menjadi utilitas lama bagi pengguna Windows dengan kebutuhan pengarsipan file di luar dukungan yang dibangun di dalam sistem operasi.

WinZip saat ini di versi 25 tetapi rilis sebelumnya memeriksa server untuk pembaruan melalui koneksi yang tidak terenkripsi, kelemahan yang dapat dieksploitasi oleh aktor jahat.

Martin Rakhmanov dari Trustwave SpiderLabs menangkap lalu lintas dari versi alat yang rentan untuk menunjukkan komunikasi yang tidak terenkripsi.

Mengingat sifat saluran komunikasi yang tidak aman, Rakhmanov mengatakan bahwa lalu lintas dapat “dirampas, dimanipulasi, atau dibajak” oleh penyerang di jaringan yang sama dengan pengguna WinZip.

Satu risiko yang berasal dari tindakan ini adalah DNS poisoning, yang mengelabui aplikasi agar mengambil pembaruan palsu dari server web jahat.

Pada versi WinZip yang rentan, penyerang juga dapat memperoleh informasi yang berpotensi sensitif seperti nama pengguna dan kode pendaftaran.

Peneliti mengatakan bahwa skenario ini juga disertai dengan risiko mengeksekusi kode arbitrary pada mesin korban karena WinZip menawarkan beberapa API “kuat” ke JavaScript.

Dengan dirilisnya WinZip 25, komunikasi cleartext tidak lagi terjadi. Pengguna disarankan untuk memperbarui ke versi yang terbaru.

Sumber: Bleeping Computer