Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kredensial admin ServiceNow di antara ratusan sandi yang terekspos dalam kesalahan keamanan cloud

by

Lebih dari 600 perusahaan, universitas, dan lembaga pemerintah mungkin secara tidak sengaja mengekspos kredensial login ServiceNow mereka – banyak dengan hak administrator – karena kerentanan dalam platform dukungan TI.

Sekarang ditambal, kelemahan keamanan berpusat pada bagaimana fitur ‘Help the Help Desk’ platform meminta informasi dari titik akhir dan membiarkan kata sandi yang tidak terenkripsi dapat dilihat secara publik di semua instance ServiceNow yang menggunakan fitur tersebut.

ServiceNow, platform komputasi cloud yang digunakan oleh perusahaan untuk mengelola alur kerja digital, memiliki lebih dari 17.000 pelanggan.

Mendapatkan akses administratif ke instance cloud ServiceNow akan memberikan kebebasan kepada penyerang atas tiket dukungan pelanggan, data karyawan, dokumentasi internal, tiket TI internal, tiket SDM internal, dan informasi pelanggan yang berpotensi sensitif lainnya.

Banyak pengguna ServiceNow memperburuk risiko keamanan dengan menggunakan kredensial administrator mereka saat menggunakan otentikasi SOAP [Simple Object Access Protocol] untuk menjalankan skrip WMI, mengabaikan dokumentasi resmi yang menguraikan proses untuk membuat peran yang tidak berhak untuk pekerjaan itu.

Hasilnya, peneliti menemukan banyak nama pengguna tingkat administrator seperti sn_admin, admin, dan servicenow-admin di antara kredensial yang terbuka.

Peneliti mengatakan permintaan GET sederhana sudah cukup untuk menentukan kapan host mengekspos kredensial.

Selengkapnya: Portswigger

Saya adalah seorang ethical hacker. Berikut adalah cara saya menggunakan media sosial untuk menipu Anda

by

Katie Paxton-Fear adalah seorang mahasiswa PhD, pemburu bug bounty dan YouTuber. Ia membagikan cerita bagaimana seorang peretas dapat menggunakan informasi yang Anda bagikan secara online untuk merugikan Anda. Simak ceritanya berikut ini.

Email phishing bisa jadi cukup meyakinkan, sering kali dialamatkan kepada kita dengan nama atau dengan detail pribadi tertentu. Peretas modern dapat menemukan semua yang perlu mereka ketahui tentang target potensial melalui Google atau media sosial dan menggunakan informasi ini untuk merancang penipuan yang sempurna.

Penjahat siber memanfaatkan detail pribadi yang kita bagikan secara online untuk mencoba dan mengelabui atau meniru identitas kita — menyatukan setiap foto yang kita posting, lokasi yang pernah kita daftarkan, orang yang kita tandai, atau foto hewan peliharaan yang kita unggah untuk membangun pemahaman tentang target mereka.

Penipuan manipulasi psikologis yang mereka buat dirancang untuk membujuk orang agar mengunduh malware, mengirim uang, membagikan informasi pribadi, atau mengungkapkan detail masuk. Ini tidak dimaksudkan untuk menakut-nakuti Anda. Sebenarnya, sangat mungkin untuk menikmati media sosial tanpa membahayakan diri sendiri.

KENYATAAN OVERSHARING MEDIA SOSIAL

Pembagian berlebihan (oversharing) yang kita semua lakukan secara online adalah tambang emas bagi penjahat siber yang melakukan penyelaman sampah digital, terutama ketika kita memposting tentang pekerjaan kita.

Banyak pos juga berisi informasi pribadi yang mungkin tampak tidak berbahaya — nama anak-anak dan hewan peliharaan, tim olahraga favorit, ulang tahun. Tetapi detail ini dapat membantu peretas menebak kata sandi Anda atau menjawab pertanyaan keamanan umum.

Peretas juga tahu bahwa orang cenderung menggunakan kembali kata sandi mereka di seluruh akun. Setelah mereka memecahkan satu sandi, mereka akan mencobanya di beberapa situs web populer, dari rekening bank hingga email Anda, untuk melihat apakah itu berhasil.

ANATOMI PENIPUAN EMAIL

Terlepas dari apa yang Anda lihat dalam penggambaran budaya pop, kebanyakan penjahat siber sebenarnya tidak meretas perusahaan. Mereka meretas orang-orang yang bekerja di sana. Meretas manusia hanya membutuhkan email yang meyakinkan, sedangkan meretas perangkat lunak seperti melangkah ke suatu ruangan dengan security laser.

Jika saya mencoba meretas perusahaan, tempat pertama yang saya kunjungi adalah LinkedIn. Mudah untuk menemukan nama lengkap dan jabatan karyawan dengan akun LinkedIn Premium yang terjangkau. Saya akan mencari staf nonteknis seperti staf penjualan atau administrasi yang mungkin lebih rentan dan memiliki akses ke banyak data perusahaan.

Saya mungkin melihat di akun LinkedIn atau Twitter seorang karyawan bahwa mereka baru saja memulai pekerjaan baru, yang memberi tahu saya bahwa mereka mungkin tidak mengetahui kepribadian eksekutif mereka dan sangat ingin menyenangkan mereka. Saya dapat menggunakan Google atau media sosial untuk mempelajari nama eksekutif ini dan memalsukan alamat email mereka, lalu mengirim email palsu ke karyawan baru ini.

Yang diperlukan hanyalah email mendesak yang mengatakan, “Hai, saya sedang rapat dan lupa ulang tahun keponakan saya. Saya ingin Anda pergi membelikan saya kartu hadiah Amazon. Saya akan mengembalikan uangmu.”

Anda akan terkejut betapa cepatnya seseorang akan mengikuti arahan mendesak dari atasan di kantor, terutama di dunia baru kerja jarak jauh kita, saat isyarat visual hilang dan Anda tidak dapat dengan cepat memverifikasi permintaan dengan rekan kerja Anda.

CARA SEDERHANA UNTUK TETAP AMAN ONLINE

Coba Googling nama Anda atau buat akun media sosial kedua untuk melihat profil Anda sendiri seperti yang dilakukan orang asing. Apakah Anda nyaman dengan semua yang Anda lihat? Jika tidak, setel akun sosial Anda ke pribadi (private) dan periksa kembali apakah Anda benar-benar mengenal semua pengikut Anda.

Hindari kata sandi yang berkaitan dengan apa yang Anda bagikan secara online. Tentu, sulit untuk mengingat semuanya, tetapi sebuah Password Manager dapat melakukan tugas berat tersebut untuk Anda.

Bersikaplah skeptis terhadap email pribadi dan kantor. Jika ada yang tidak beres, klik nama tampilan pengirim untuk memastikan alamat emailnya cocok, terutama di ponsel. Minta opini kedua dari tim IT perusahaan Anda, atau konfirmasikan permintaan secara lisan dengan rekan kerja. Terakhir, berhenti dan berpikirlah sebelum membuka lampiran, mengklik tautan, atau berbagi informasi.

Menjaga keamanan informasi Anda secara online bukanlah tentang stres atau ketakutan. Ini tentang mengetahui apa yang Anda bagikan, menyadari bagaimana hal itu dapat digunakan untuk merugikan Anda, dan mengetahui cara menjadikan pos Anda pribadi.

Sumber: Fast Company

Peretas Cina menggunakan eksploitasi NSA bertahun-tahun sebelum Shadow Brokers bocor

by

Peretas negara Cina mengkloning dan mulai menggunakan eksploitasi zero-day NSA hampir tiga tahun sebelum grup peretas Shadow Brokers membocorkannya secara publik pada April 2017.

EpMe adalah exploit asli yang dibuat oleh Equation Group sekitar tahun 2013 untuk bug zero-day Windows yang dilacak sebagai CVE-2017-2005.

Kerentanan digunakan untuk meningkatkan hak pengguna Windows setelah mendapatkan akses ke perangkat yang ditargetkan karena ini adalah bug eskalasi hak istimewa lokal (LPE) yang memengaruhi perangkat yang menjalankan Windows XP hingga Windows 8.

Microsoft menambal bug keamanan ini pada Maret 2017 dan mengaitkan eksploitasi aktif ke grup peretasan APT31 yang didukung Cina.

Namun, APT 31 (juga dilacak sebagai Zirkonium) membangun exploit mereka, dijuluki Jian, dengan mereplikasi fungsi exploit EpMe yang dicuri dari unit Equation Group (NSA’s Tailored Access Operations (TAO) unit) seperti yang diungkapkan peneliti Check Point dalam laporan yang mereka terbitkan.

Ini dilakukan setelah peretas negara Cina menangkap sampel 32-bit dan 64-bit dari eksploitasi EpMe Equation Group.

Setelah direplikasi, exploit zero-day digunakan oleh APT31 bersama alat peretasan lainnya di gudang senjata mereka, termasuk pengemas multi-tahap grup.

Microsoft menambal kerentanan Jian dirancang untuk disalahgunakan hanya setelah IRT Lockheed Martin menemukan sampel exploit di alam liar dan membagikannya dengan Microsoft.

Sumber: Check Point

Selengkapnya: Bleeping Computer

SHAREit memperbaiki bug keamanan di aplikasi dengan 1 miliar unduhan

by

Smart Media4U Technology yang berbasis di Singapura mengatakan hari ini bahwa mereka memperbaiki kerentanan SHAREit yang mungkin memungkinkan penyerang untuk mengeksekusi kode arbitrary dari jarak jauh di perangkat pengguna.

Bug keamanan berdampak pada aplikasi SHAREit Android perusahaan, sebuah aplikasi yang diunduh lebih dari 1 miliar kali, menurut statistik Google Play Store.

Seperti yang ditemukan oleh analis ancaman seluler Trend Micro, Echo Duan dan Jesse Chang, bug keamanan yang sekarang telah diperbaiki dapat disalahgunakan oleh penyerang untuk mendapatkan akses ke informasi sensitif yang disimpan oleh pengguna pada perangkat yang menjalankan versi SHAREit yang rentan.

Mereka juga dapat disalahgunakan untuk mengeksekusi kode arbitrary dengan izin SHAREit dengan bantuan kode atau aplikasi berbahaya, yang berpotensi memungkinkan pelaku ancaman untuk menggunakannya dalam serangan Remote Code Execution (RCE).

Cacat keamanan juga membuat pengguna SHAREit yang belum ditambal terkena serangan man-in-the-disk (MITD), yang memungkinkan penyerang memanipulasi sumber daya aplikasi yang disimpan di penyimpanan eksternal melalui injeksi kode.

Sumber: Bleeping Computer

Bug XSS yang tersimpan di domain Apple iCloud diungkapkan oleh bug bounty hunter

by

Kerentanan cross-site scripting (XSS) yang disimpan di domain iCloud dilaporkan telah ditambal oleh Apple.

Bug bounty hunter dan penetration tester Vishal Bharad mengklaim telah menemukan kelemahan keamanan, yang merupakan masalah XSS yang tersimpan di icloud.com.

Kerentanan stored XSS, juga dikenal sebagai persistent XSS, dapat digunakan untuk menyimpan muatan di server target, menyuntikkan skrip berbahaya ke situs web, dan berpotensi digunakan untuk mencuri cookie, token sesi, dan data browser.

Menurut Bharad, cacat XSS di icloud.com ditemukan di fitur Halaman/Catatan Utama domain iCloud Apple.

Untuk memicu bug, penyerang perlu membuat Halaman baru atau konten Keynote dengan muatan XSS yang dikirimkan ke bidang nama.

Bharad juga menyediakan video Proof-of-Concept (PoC) untuk mendemonstrasikan kerentanan.

Sumber: ZDNet

FireEye menghubungkan serangan zero day di server FTA & kampanye pemerasan ke grup FIN11

by

Serangan menggunakan zero-day di server Accellion FTA yang telah melanda sekitar 100 perusahaan di seluruh dunia pada Desember 2020 dan Januari 2021 telah dilakukan oleh kelompok kejahatan siber yang dikenal sebagai FIN11, kata firma keamanan siber FireEye hari ini.

Selama serangan, peretas mengeksploitasi empat kelemahan keamanan untuk menyerang server FTA, memasang kerangka web bernama DEWMODE, yang kemudian digunakan penyerang untuk mengunduh file yang disimpan pada peralatan FTA korban.

“Dari sekitar 300 total klien FTA, kurang dari 100 menjadi korban serangan itu,” kata Accellion dalam siaran pers hari ini. “Dalam grup ini, kurang dari 25 tampaknya mengalami pencurian data yang signifikan”.

Tetapi FireEye mengatakan bahwa beberapa dari 25 pelanggan ini sekarang telah menerima permintaan tebusan menyusul serangan terhadap server berbagi file FTA mereka.

Para penyerang menghubungi melalui email dan meminta pembayaran Bitcoin, atau mereka akan mempublikasikan data korban di “situs kebocoran” yang dioperasikan oleh geng ransomware Clop.

Sumber: FireEye

FireEye, yang telah membantu Accellion menyelidiki serangan-serangan ini, mengatakan serangan tersebut telah dikaitkan dengan dua kelompok aktivitas yang dilacak perusahaan sebagai UNC2546 (eksploitasi zero-day pada perangkat FTA) dan UNC2582 (email yang dikirim ke korban yang mengancam untuk mempublikasikan data tentang Tutup situs kebocoran ransomware).

Kedua grup memiliki infrastruktur yang tumpang tindih dengan FIN11, geng kejahatan siber besar yang ditemukan dan didokumentasikan FireEye tahun lalu, yang memiliki berbagai bentuk operasi kejahatan siber.

Selengkapnya: ZDNet

Amerika Serikat Menangkap Enam Orang yang Diduga Melakukan Pencucian Uang

by

Amerika Serikat telah menangkap enam tersangka anggota jaringan penipuan dan pencucian uang internasional yang menyebarkan penipuan spoofing, catfishing, dan bantuan COVID-19 untuk menipu korban hingga $55 juta.

Para terdakwa dituduh membuat identitas palsu untuk mengelabui perusahaan, Small Business Administration (SBA), dan orang tua yang mencari romansa online untuk mentransfer dana ke rekening bank yang dikendalikan oleh perusahaan kriminal.

Farouk Appiedu yang berusia tiga puluh lima tahun ditangkap pada 18 Oktober di Queens, New York. Sadick Edusei Kissi yang diduga rekan konspiratornya yang berusia 24 tahun ditangkap pada 5 Februari di Fargo, North Dakota. Empat terdakwa yang tersisa — Celvin Freeman, 37, Faisal Ali, 34, Fred Asante, 35, dan Lord Aning, 28 — semuanya ditangkap pada 17 Februari; Freeman dan Ali di New Jersey, serta Asante dan Aning di Alexandria, Virginia.

Dari 2013 hingga 2020, para terdakwa diduga adalah anggota perusahaan kriminal yang berbasis di Ghana yang membongkar serangkaian penipuan bisnis email kompromi (BEC), penipuan COVID-19, dan penipuan asmara pada perusahaan dan individu di AS.

Uang yang diperoleh secara curang melalui skema ini dikirim ke Ghana melalui pembelian mobil mewah dan produk makanan yang kemudian dikirim ke luar negeri.

Sumber: Info Security

Penipu dunia maya membuang penipuan uang besar-besaran demi ‘mencuri secara diam-diam’ selama pandemi

by

Sebuah makalah lembaga Royal United Services Institute (RUSI) mengatakan sebuah fenomena yang dijuluki “pencurian diam-diam” telah dimulai ketika para penjahat “turun pasar” dari penipuan uang besar-besaran.

Korban individu cenderung tidak melaporkan kehilangan sejumlah kecil uang, sementara sulit bagi polisi dan bank untuk mengetahui apakah mereka berurusan dengan satu penipuan atau operasi kriminal besar senilai jutaan pound, menurut penelitian tersebut.

“Ya, mencoba mencuri £10 juta dari bank adalah sebuah pilihan, tetapi mencuri £10 seratus ribu kali akan memberi Anda keuntungan yang bagus dan mungkin tidak terdeteksi.

“Apakah Anda akan menelepon Action Fraud atau bank Anda jika Anda kehilangan £10?”

Sneha Dawda, salah satu penulis, mengatakan pencurian diam-diam telah menjadi sangat populer karena tingkat tinggi data yang dibobol yang tersedia secara online memudahkan penjahat untuk membeli data pribadi seseorang dan menggunakannya untuk penipuan.

Dia memperingatkan orang-orang untuk berhati-hati dengan apa yang mereka bagikan secara online, dengan penipu menggunakan teknik manipulasi psikologis, yang menggunakan informasi tersebut untuk membuat email phishing pribadi untuk mengelabui penerima agar memberikan detail mereka.

RUSI bulan lalu memperingatkan penipuan telah mencapai “tingkat epidemi” dan menyerukan agar kejahatan itu diprioritaskan sebagai masalah keamanan nasional dengan peran yang lebih besar bagi badan intelijen.

Sumber: News Sky