News 386 - Naga Cyber Defense

Fortinet telah memperbaiki kerentanan kritis di SSL VPN dan firewall web

February 8, 2021 by Winnie the Pooh

Fortinet telah memperbaiki beberapa kerentanan parah yang memengaruhi produknya.

Kerentanan berkisar dari Remote Code Execution (RCE) hingga SQL Injection, hingga Denial of Service (DoS) dan berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF).

Berbagai advisory yang diterbitkan oleh FortiGuard Labs bulan ini dan pada Januari 2021 menyebutkan berbagai kerentanan kritis yang telah ditambal oleh Fortinet pada produk mereka.

Catatan khusus adalah kerentanan CVE-2018-13381 di FortiProxy SSL VPN yang dapat dipicu oleh aktor jarak jauh yang tidak diautentikasi melalui permintaan POST yang dibuat.

Karena buffer overflow di portal SSL VPN FortiProxy, permintaan POST berukuran besar yang dibuat secara khusus, saat diterima oleh produk dapat membuat crash, yang mengarah ke kondisi Denial of Service (DoS).

Demikian pula, CVE-2018-13383 menarik karena penyerang dapat menyalahgunakannya untuk memicu luapan di VPN melalui properti konten HREF JavaScript.

Jika laman web buatan penyerang yang berisi muatan JavaScript diurai oleh FortiProxy SSL VPN, eksekusi kode jarak jauh sangat memungkinkan, sebagai tambahan DoS.

Kerentanan di FortiWeb Web Application Firewall ditemukan dan dilaporkan secara bertanggung jawab oleh peneliti Andrey Medov di Positive Technologies.

“Yang paling berbahaya dari keempat kerentanan ini adalah SQL Injection (CVE-2020-29015) dan Buffer Overflow (CVE-2020-29016) karena eksploitasi mereka tidak memerlukan otorisasi.”

Selengkapnya: Bleeping Computer

Ziggy ransomware menutup bisnis mereka dan melepaskan kunci dekripsi korban

February 8, 2021 by Winnie the Pooh

Operasi ransomware Ziggy telah ditutup dan merilis kunci dekripsi korban setelah kekhawatiran tentang aktivitas penegakan hukum baru-baru ini dan rasa bersalah karena mengenkripsi korban.

Selama akhir pekan, peneliti keamanan M. Shahpasandi mengatakan kepada BleepingComputer bahwa admin Ziggy Ransomware mengumumkan di Telegram bahwa mereka menutup operasi mereka dan akan melepaskan semua kunci dekripsi.

Kemarin, admin ransomware Ziggy memposting file SQL yang berisi 922 kunci dekripsi untuk korban yang dienkripsi. Untuk setiap korban, file SQL mencantumkan tiga kunci yang diperlukan untuk mendekripsi file terenkripsi mereka.

Admin ransomware juga memposting decryptor [VirusTotal] yang dapat digunakan korban dengan kunci yang tercantum dalam file SQL.

Admin ransomware juga membagikan file ini dengan pakar ransomware Michael Gillespie yang memberi tahu BleepingComputer bahwa Emsisoft akan segera merilis decryptor.

Sumber: Bleeping Computer

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

February 8, 2021 by Winnie the Pooh

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Versi Ransomware Zeoticus 2.0 yang baru menjalankan muatan tanpa konektivitas atau perintah jarak jauh

February 8, 2021 by Winnie the Pooh

Rilis versi yang lebih fleksibel dan efektif dari ransomware Zeoticus telah menggarisbawahi semakin pentingnya pencegahan serangan, seorang peneliti keamanan menyimpulkan.

Tidak seperti pendahulunya, Zeoticus 2.0 dapat mengeksekusi muatan tanpa konektivitas atau perintah jarak jauh, menurut analisis malware yang dilakukan oleh SentinelOne.

Jenis ransomware, yang pertama kali muncul pada awal 2020, “akan dijalankan sepenuhnya secara offline, tanpa ketergantungan pada C2 (Command & Control)”, tulis Jim Walter, peneliti ancaman senior di vendor keamanan siber, dalam sebuah posting blog.

Sebagian besar peningkatan Zeoticus 2.0 “berfokus pada kecepatan dan efisiensi”, seperti penggunaan algoritme enkripsi cepat, yang mencakup algoritme XChaCha20 simetris dan, di sisi asimetris, Poly1305, XSalsa20, dan Curve25519.

Kumpulan dan permukaan serangan yang dapat dieksploitasi dari target potensial telah meluas juga, dengan malware sekarang dapat menemukan dan menginfeksi drive jarak jauh yang kompatibel dengan semua lini OS Windows dan bahkan mungkin dapat “berjalan di Windows XP dan sebelumnya”.

“Infeksi ransomware aktif semakin sulit dikendalikan, ditahan, dan dimitigasi,” kata Walter. Hal ini membuat pencegahan infeksi “lebih penting daripada sebelumnya mengingat sulitnya pemulihan dari serangan ransomware yang dahsyat”.

Pengguna juga harus dididik tentang metode penyerang dan didorong untuk melaporkan aktivitas yang mencurigakan, lanjut peneliti.

Sumber: The Daily Swig

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Winnie the Pooh

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Mozilla memperbaiki bug kerusakan Windows 10 NTFS di Firefox

February 7, 2021 by Winnie the Pooh

Mozilla telah merilis Firefox 85.0.1 dan menyertakan perbaikan yang mencegah bug korupsi Windows 10 NTFS dipicu dari browser.

Bulan lalu, BleepingComputer melaporkan bahwa bug di Windows 10 dan Windows XP memungkinkan pengguna yang tidak memiliki hak istimewa untuk menandai volume NTFS sebagai kotor.

Setelah volume ditandai kotor, Windows 10 akan menampilkan dialog error yang menyatakan drive rusak dan meminta pengguna untuk melakukan boot ulang untuk memperbaiki masalah.

Bagi sebagian besar orang yang menguji bug, me-reboot dan melakukan chkdsk akan menyelesaikan masalah. Namun, pengujian oleh BleepingComputer pada mesin virtual menyebabkan masalah yang tidak diperbaiki oleh Chkdsk atau perbaikan startup Windows 10.

selengkapnya : BleepingComputer

Emulator Flash Player ini memungkinkan Anda memainkan game lama Anda dengan aman

February 7, 2021 by Winnie the Pooh

Emulator Flash Player yang disebut ‘Ruffle’ memungkinkan Anda memainkan game Flash yang diarsipkan tanpa takut diserang saat menjelajahi web.

Setelah 25 tahun membantu membentuk Internet dengan konten interaktif dan game online, Adobe Flash Player mencapai akhir masa pakainya pada tanggal 1 Januari 2021, dan semua dukungan browser telah dihapus. Belakangan bulan itu, tombol pemutus di Adobe Flash Player menjadi hidup yang mencegah konten Flash di dalam pemutar.

Meskipun akhir dari Adobe Flash Player dan plugin browser adalah hal yang baik, hal itu menimbulkan masalah bagi mereka yang telah mengumpulkan banyak koleksi game Flash selama bertahun-tahun yang tidak dapat mereka gunakan lagi.

Ruffle mungkin jawabannya. Ruffle adalah emulator Flash Player yang ditulis dalam bahasa pemrograman Rust yang telah menjalankan semua game SWF jadul yang bisa saya gunakan.

Meskipun program apa pun dapat memiliki kerentanan, karena Ruffle dikodekan dengan Rust, program ini mendapat manfaat dari fitur perlindungan memori bawaan bahasa pemrograman.

Fitur ini menghilangkan banyak bug memori, seperti buffer overruns, use-after-free, kondisi data race, dan bug terkait pointer. Jenis bug ini biasanya mengarah pada kerentanan di Adobe Flash Player, yang memungkinkan penyerang merusak sistem, memungkinkan eksekusi kode arbitrer, atau membocorkan informasi dari komputer.

Meskipun beberapa bagian dari kode Ruffle menggunakan fitur ‘tidak aman’ dari Rust, sebagian besar program menggunakan perlindungan memori, yang secara signifikan meningkatkan keamanannya.

Jika Anda memiliki banyak koleksi game Flash dan tidak ada Adobe Flash Player untuk memainkannya, pemutar Ruffle desktop mandiri adalah opsi yang bagus untuk memungkinkan Anda memainkan game lama di Windows, Linux, dan Mac OS.

selengkapnya :BleepingComputer

SitePoint diretas: Kata sandi yang di-hash dan dengan SALT yang diambil dari situs pembelajaran pengembang web melalui alat GitHub pwnage

February 7, 2021 by Winnie the Pooh

SitePoint, situs web penerbitan belajar kode Australia, telah disusupi saat mempromosikan buku Hacking for Dummies di beranda.

Pembaca Reg Andy memberi tahu kami: “Mendapat email dari SitePoint pagi ini yang mengatakan bahwa mereka telah diretas dan beberapa hal yang tidak penting (bagi mereka) seperti nama, alamat email, sandi berciri, dll mungkin telah dicuri. Bertepatan dengan peningkatan besar dalam spam yang saya terima, tetapi itu mungkin kebetulan. ”

Sebuah email yang dikirim ke pengguna SitePoint dan dilihat oleh The Register mengonfirmasi peretasan tersebut, meskipun pada saat penulisan, perusahaan belum mempublikasikan apa pun tentangnya di situs web atau akun media sosialnya.

Ini menyalahkan “alat pihak ketiga tanpa nama yang kami gunakan untuk memantau akun GitHub kami, yang disusupi oleh pihak jahat”.

Ia melanjutkan dengan mengatakan bahwa tidak ada data kartu kredit yang telah diakses dan kata sandi yang disimpan di-hash dan diasinkan. Kunci API yang relevan juga telah dirotasi dan sandi diubah.

Agak memalukan, peretasan tersebut bertepatan dengan promosi terkemuka di beranda SitePoint dari satu buku yang sangat relevan.

Sementara itu, pengguna SitePoint yang kesal masuk ke forum mereka untuk mulai mengeluh tentang peretasan tersebut.

selengkapnya : TheRegister

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings