News 363 - Naga Cyber Defense

Bug kernel Linux berusia 15 tahun memungkinkan penyerang mendapatkan hak akses root

March 17, 2021 by Winnie the Pooh

Tiga kerentanan yang ditemukan di subsistem iSCSI dari kernel Linux dapat memungkinkan penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

Bug keamanan ini hanya dapat dieksploitasi secara lokal, yang berarti bahwa penyerang potensial harus mendapatkan akses ke perangkat yang rentan dengan mengeksploitasi kerentanan lain atau menggunakan vektor serangan alternatif.

Peneliti GRIMM menemukan bug 15 tahun setelah diperkenalkan pada tahun 2006 selama tahap pengembangan awal subsistem kernel iSCSI.
Menurut peneliti keamanan GRIMM Adam Nichols, kelemahan tersebut mempengaruhi semua distribusi Linux, tetapi untungnya, modul kernel scsi_transport_iscsi yang rentan tidak dimuat secara default.
Namun, bergantung pada distribusi Linux yang mungkin ditargetkan penyerang, modul dapat dimuat dan dieksploitasi untuk eskalasi hak istimewa.

“Kernel Linux memuat modul baik karena perangkat keras baru terdeteksi atau karena fungsi kernel mendeteksi bahwa ada modul yang hilang,” kata Nichols.
“Kasus pemuatan otomatis implisit yang terakhir lebih mungkin untuk disalahgunakan dan dengan mudah dipicu oleh penyerang, memungkinkan mereka untuk meningkatkan permukaan serangan di kernel.”
Pada sistem CentOS 8, RHEL 8, dan Fedora, pengguna yang tidak memiliki hak istimewa dapat secara otomatis memuat modul yang diperlukan jika paket rdma-core diinstal, “tambah Nichols.
“Pada sistem Debian dan Ubuntu, paket rdma-core hanya akan secara otomatis memuat dua modul kernel yang diperlukan jika perangkat keras RDMA tersedia. Dengan demikian, cakupan kerentanannya jauh lebih terbatas.”

Penyerang dapat menyalahgunakan bug untuk melewati fitur keamanan yang memblokir eksploitasi seperti Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), dan Kernel Page-Table Isolation (KPTI).

Tiga kerentanan dapat menyebabkan peningkatan lokal hak istimewa, kebocoran informasi, dan penolakan layanan:

CVE-2021-27365: heap buffer overflow (Eskalasi Hak Istimewa Lokal, Kebocoran Informasi, Denial of Service)
CVE-2021-27363: kebocoran penunjuk kernel (Kebocoran Informasi)
CVE-2021-27364: pembacaan di luar batas (Kebocoran Informasi, Penolakan Layanan)

Ketiga kerentanan ditambal pada kernel versi 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260, dan tambalan tersedia di kernel Linux jalur utama pada 7 Maret. Tidak ada patch yang akan dirilis untuk versi kernel yang tidak didukung EOL seperti 3.x dan 2.6.23. kami sarankan untuk segera melakukan patch pada kernel anda.

Source : Bleeping Computer

Seorang Hacker Baru Mencuri $ 5,7 Juta Dari Rol Startup Token Sosial

March 17, 2021 by Winnie the Pooh

Selama akhir pekan ini, peretas mencuri jutaan dolar dalam crypto dari Roll, startup mata uang sosial yang memungkinkan kreator untuk meluncurkan dan mengelola sistem uang berbasis blockchain Ethereum mereka sendiri.

Menurut perusahaan, seseorang berhasil masuk ke dalam cryptowalletnya pada Minggu pagi, menghasilkan uang senilai $ 5,7 juta. Peretas kemudian menjual token di Uniswap, platform pertukaran kripto. Roll mengatakan peretasan tampaknya terjadi melalui kompromi salah satu “kunci pribadi” dompet, yang setara dengan seseorang yang mempelajari kata sandi utama Anda.

“Saat tulisan ini dibuat, [penyebabnya tampaknya] kompromi dari kunci pribadi dompet panas kami dan bukan bug dalam kontrak pintar Roll atau kontrak token apa pun,” kata perusahaan itu dalam sebuah pernyataan Minggu. “Kami sedang menyelidiki ini dengan penyedia infrastruktur dan penegak hukum kami.” Perusahaan selanjutnya berjanji untuk melakukan audit keamanan pihak ketiga dan analisis forensik untuk “mencari tahu bagaimana kunci itu disusupi”, karena saat ini tidak jelas bagaimana peretas mendapatkannya.

Source : Gizmodo

Aplikasi Perpesanan Signal Sudah Tidak Lagi Tersedia Di China

March 16, 2021 by Winnie the Pooh

Pengguna aplikasi pesan instan Signal di China tahu bahwa saat-saat indah tidak akan bertahan lama. Aplikasi, yang digunakan untuk percakapan terenkripsi, tidak lagi tersedia di China mulai pagi hari tanggal 16 Maret, sebuah tes oleh TechCrunch menunjukkan.

Situs web aplikasi telah dilarang di daratam China sejak 15 Maret, menurut situs pelacak sensor Greatfire.org.

Aplikasi obrolan terenkripsi tersebut adalah salah satu dari sedikit jejaring sosial Barat yang tetap dapat diakses di China tanpa menggunakan jaringan pribadi virtual.

Signal dan saingannya Telegram mengalami lonjakan unduhan setelah kebijakan privasi WhatsApp yang diperbarui memicu kepanikan di antara pengguna pada Januari. Meskipun dampaknya terbatas di China, di mana Tencent’s WeChat memiliki pangsa yang luar biasa di jejaring sosial dengan 1,1 miliar pengguna bulanan, Signal dan Telegram telah melihat peningkatan pengguna dalam jumlah kecil di China.

Pada Januari, Telegram telah mengumpulkan sekitar 2,7 juta penginstalan di App Store China, dibandingkan dengan 458.000 unduhan untuk Signal dan 9,5 juta kali untuk WhatsApp. Seperti Signal, Telegram dan WhatsApp masih ada di China App Store, meskipun akses tampaknya membutuhkan jaringan pribadi virtual.

Great Firewall China yang rumit telah membuat banyak pengguna internet menjadi ahli dalam pengelakan sensor. Larangan aplikasi sering kali berlapis seperti yang ditunjukkan oleh kasus Clubhouse.

Selengkapnya: Tech Crunch

Peretas mencuri NFT dari pengguna Nifty Gateway

March 16, 2021 by Winnie the Pooh

Selama akhir pekan, beberapa pengguna pasar NFT Nifty Gateway mengatakan peretas mencuri karya seni digital senilai ribuan dolar dari akun mereka.

Beberapa orang yang diretas juga mengatakan bahwa kartu kredit mereka yang tercatat digunakan untuk membeli NFT tambahan, juga seharga ribuan dolar, yang kemudian ditransfer ke akun peretas.

Nifty Gateway mengonfirmasi dalam sebuah pernyataan kepada The Verge bahwa beberapa akun tanpa otentikasi dua faktor telah diretas dan telah berhubungan dengan mereka yang terpengaruh, tetapi dikatakan belum melihat bukti bahwa platformnya telah dilanggar.

Nifty Giveaway menduga peretas mungkin berhasil menggunakan kembali kredensial masuk yang bocor dari layanan lain.

Selama beberapa minggu terakhir, banyak NFT tiba-tiba menjadi aset bernilai tinggi; Grimes menjual serangkaian 10 karya seni digital seharga sekitar $ 6 juta, misalnya, dan seniman digital Beeple menjual NFT seharga $ 69 juta di Christie’s.

Jadi, sayangnya tidak mengherankan bahwa platform NFT telah menjadi target peretas yang ingin mencuri karya seni digital atau mengambil informasi kartu kredit untuk membeli lebih banyak.

Untuk membantu mencegah peretasan di masa mendatang, Nifty Gateway merekomendasikan mengaktifkan otentikasi dua faktor.

Selengkapnya: The Verge

Pengelola kata sandi Bitwarden menambahkan teks terenkripsi dan berbagi file

March 16, 2021 by Winnie the Pooh

Bitwarden adalah salah satu bintang yang sedang naik daun di dunia aplikasi, dengan cepat mendapatkan pengguna dan disukai setelah LastPass melumpuhkan tingkat non-pembayarannya.

Pelindung kata sandi terenkripsi gratis ini telah muncul sebagai opsi paling kaya akan fitur untuk pengguna gratis. Aplikasi Android dan platform pada umumnya mendapatkan opsi baru: Send, kemampuan untuk mengirim info teks dengan alat enkripsi yang sama dengan penyimpan kata sandi.

Send memberi pengguna sejumlah kecil teks online untuk dikirim kepada siapa pun melalui URL singkat Bitwarden.

Informasi yang dikirim dienkripsi di kedua ujungnya, tetapi ada beberapa opsi lain untuk melindunginya juga: Anda dapat mengatur kata sandi untuk mengaksesnya, menambahkan waktu hapus otomatis dari satu jam hingga tujuh hari, mengatur tanggal kedaluwarsa hingga 30 hari, atau bahkan menetapkan jumlah maksimum pengguna yang dapat mengaksesnya. Setel fitur itu ke 1, dan Anda dapat memastikan bahwa info yang dikirim hanya akan dilihat oleh satu orang sebelum pesan tersebut hilang.

Selain aplikasi Android dan iOS, Bitwarden Send tersedia juga untuk web, aplikasi khusus untuk Windows, MacOS, dan Linux, dan melalui ekstensi untuk semua browser web desktop utama.

Selengkapnya: Android Police

Perusahaan dapat secara diam-diam mengubah rute teks Anda ke peretas, terkadang hanya dengan $ 16

March 16, 2021 by Winnie the Pooh

Ada serangan yang baru ditemukan pada perpesanan SMS yang hampir tidak terlihat oleh korban, dan tampaknya disetujui oleh industri telekomunikasi, diungkap dalam laporan oleh Motherboard.

Serangan tersebut menggunakan layanan manajemen pesan teks yang ditujukan untuk bisnis untuk mengarahkan pesan teks secara diam-diam dari korban ke peretas, memberi mereka akses ke kode dua faktor atau tautan masuk yang dikirim melalui pesan teks.

Terkadang, perusahaan yang menyediakan layanan tidak mengirim pesan apa pun ke nomor yang sedang dialihkan, baik untuk meminta izin atau bahkan untuk memberi tahu pemilik bahwa SMS mereka sekarang dikirimkan ke orang lain.

Dengan menggunakan layanan ini, penyerang tidak hanya dapat mencegat pesan teks yang masuk, tetapi mereka juga dapat membalas.

Joseph Cox, reporter dari Motherboard, meminta seseorang berhasil melakukan serangan terhadap nomornya, dan hanya menelan biaya $ 16. Ketika dia menghubungi perusahaan lain yang menyediakan layanan pengalihan SMS, beberapa dari mereka melaporkan bahwa mereka pernah melihat serangan semacam ini sebelumnya.

Perusahaan tertentu yang digunakan Motherboard dilaporkan telah memperbaiki eksploit tersebut, tetapi masih banyak perusahaan lain yang seperti itu – dan tampaknya tidak ada orang yang meminta pertanggungjawaban perusahaan tersebut.

Perhatian utama pada serangan SMS adalah implikasinya terhadap keamanan akun Anda yang lain. Jika penyerang bisa mendapatkan tautan atau kode pengaturan ulang kata sandi yang dikirim ke nomor telepon Anda, mereka akan memiliki akses ke sana dan bisa masuk ke akun Anda. Pesan teks juga terkadang digunakan untuk mengirim tautan masuk, seperti yang ditemukan Motherboard dengan Postmates, WhatsApp, dan Bumble.

Selengkapnya: The Verge

Masalah Azure Active Directory mempengaruhi Teams, Office, Dynamics, dan lainnya untuk beberapa pengguna

March 16, 2021 by Winnie the Pooh

Masalah Azure Active Directory yang menyebabkan masalah autentikasi memengaruhi sebagian pelanggan Microsoft di seluruh dunia di banyak layanan Microsoft, termasuk Office, Dynamics, Teams, Xbox Live, dan Azure Portal.

Pelanggan mulai mengeluh sekitar pukul 3:15 pm ET pada 15 Maret tentang ketidakmampuan mereka untuk menggunakan layanan yang berjalan di atas Azure, dan mulai pukul 5:15 pm ET, masalah masih belum terselesaikan.

Saat ini, pesan di halaman Status Azure berbunyi: “STATUS SAAT INI: Tim teknisi telah mengidentifikasi penyebab yang mendasari potensial dan sedang menjajaki opsi mitigasi. Pembaruan berikutnya akan diberikan dalam 60 menit atau sesuai kebutuhan acara”.

Karena Portal Admin juga berjalan di Azure, sejumlah pengguna di Twitter mengeluh bahwa mereka tidak bisa mendapatkan pembaruan saat pemadaman.

Sumber: ZDNet

PoC baru untuk bug Microsoft Exchange membuat serangan dapat menjangkau siapa pun

March 15, 2021 by Winnie the Pooh

Awal pekan ini, seorang peneliti keamanan bernama Nguyen Jang menerbitkan entri blog yang merinci eksploitasi bukti konsep (POC) untuk kerentanan Microsoft Exchange ProxyLogon. Jang juga membagikan eksploitasi yang sengaja rusak di GitHub yang memerlukan beberapa perbaikan agar berfungsi dengan benar.

Namun, PoC memberikan informasi yang cukup sehingga peneliti keamanan dan pelaku ancaman dapat menggunakannya untuk mengembangkan eksploitasi eksekusi kode jarak jauh fungsional untuk server Microsoft Exchange.

Segera setelah PoC diterbitkan, Jang menerima email dari GitHub milik Microsoft yang menyatakan bahwa PoC telah dihapus karena melanggar Kebijakan Penggunaan yang Dapat Diterima.

Akhir pekan ini, seorang peneliti keamanan yang berbeda menerbitkan ProxyLogon PoC baru yang memerlukan sedikit modifikasi untuk mengeksploitasi server Microsoft Exchange yang rentan dan meletakkan shell web di atasnya.

Will Dorman, Analis Kerentanan di CERT / CC, menguji kerentanan pada server Microsoft Exchange dan memberi tahu BleepingComputer bahwa itu bekerja dengan sedikit modifikasi.

“Sekarang sudah dalam jangkauan ‘script kiddie'”, Dorman memperingatkan dalam diskusi mengenai PoC.

Dengan eksploitasi untuk kerentanan Microsoft Exchange yang tersedia untuk umum, semakin penting bagi administrator untuk menambal server mereka sesegera mungkin.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings