Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Spotify Mengubah Kata Sandi Setelah Pelanggaran Data Lain

by

Spotify telah memberi tahu pengguna bahwa beberapa data pendaftaran mereka secara tidak sengaja terekspos ke mitra bisnis pihak ketiga, termasuk alamat email, nama tampilan yang disukai, kata sandi, jenis kelamin, dan tanggal lahir.

Ini setidaknya adalah pelanggaran ketiga dalam waktu kurang dari sebulan untuk layanan streaming terbesar di dunia tersebut.

Sebuah pernyataan dari Spotify tentang insiden tersebut mengatakan bahwa eksposur tersebut disebabkan oleh kerentanan perangkat lunak yang ada dari 9 April hingga 12 November ketika diperbaiki.

Pernyataan itu datang hanya beberapa hari setelah beberapa halaman bintang paling populer layanan streaming diambil alih oleh aktor jahat bernama “Daniel” yang menggunakan halaman artis Spotify yang dibajak, termasuk Dua Lipa dan Pop Smoke, untuk menyatakan cintanya pada Trump dan Taylor Swift.

Insiden tersebut terjadi selama pengumuman akhir tahun Spotify Wrapped 2020 yang dipublikasikan secara luas tentang streaming terpopuler tahun ini.

Hanya seminggu sebelum insiden itu, pada akhir November, Spotfiy menerima banyak pengambilalihan akun setelah operasi credential-stuffing. Dalam jenis serangan ini, pelaku ancaman bertaruh pada orang yang menggunakan kembali kata sandi mereka; mereka mencoba mencuri sandi dan ID pada layanan yang berbeda untuk mendapatkan akses ke berbagai akun.

Sumber: The Threat Post

Total CVE yang Dipublikasikan Mencapai Rekor Tertinggi untuk Tahun Keempat

by

Dalam 12 bulan terakhir, sejumlah rekor CVE diterbitkan oleh otoritas AS, volume tahun keempat berturut-turut telah meningkat.

Per 15 Desember, jumlah kerentanan dalam kode produksi yang ditemukan dan diberi nomor CVE oleh Basis Data Kerentanan US-CERT, melampaui angka tahun 2019.

Tahun lalu ada 17.306 CVE yang diterbitkan, termasuk 4337 risiko tinggi, 10.956 risiko menengah dan 2013 kekurangan risiko rendah. Hingga kemarin, tercatat 17.447 total, termasuk 4168 bug berisiko tinggi, 10.710 risiko sedang, dan 2.569 bug berisiko rendah.

K2 Cyber Security, yang mencatat lonjakan rekor baru-baru ini, berpendapat bahwa pandemi mungkin berdampak pada pengungkapan tahun ini.

“Perusahaan masih berjuang untuk menemukan keseimbangan antara mengirimkan aplikasi ke pasar dengan cepat, dan mengamankan kode mereka. Pandemi COVID-19 adalah faktor utama tahun ini,” kata salah satu pendiri dan CEO vendor, Pravin Madhani.

Untuk mengurangi risiko ini, tim DevOps harus menggeser keamanan sejauh mungkin dalam lifecycle, sementara sysadmin harus menambal sesegera mungkin untuk memastikan sistem operasi dan perangkat lunak penting up-to-date, katanya.

Sumber: Info Security

Plugin WordPress dengan 5 juta penginstalan memiliki kerentanan kritis

by

Tim di balik plugin WordPress yang populer telah mengungkapkan kerentanan unggahan file penting dan telah merilis update untuk perbaikan.

Plugin yang rentan, Contact Form 7, memiliki lebih dari 5 juta penginstalan aktif yang membuat upgrade mendesak ini menjadi kebutuhan bagi pemilik situs WordPress di luar sana.

Minggu ini, proyek Contact Form 7 telah mengungkapkan kerentanan unggahan file yang tidak dibatasi (menunggu CVE) di plugin WordPress yang dapat memungkinkan penyerang untuk melewati perlindungan sanitasi nama file Contact Form 7 saat mengunggah file.

Penyerang dapat mengupload file yang dibuat dengan kode apapun di server yang rentan menggunakan plugin.

Kemudian, dengan mengeksploitasi kerentanan yang parah ini, file dapat dieksekusi sebagai skrip oleh penyerang untuk menjalankan kode di dalamnya.

“Contact Form 7 5.3.2 telah dirilis. Ini adalah rilis keamanan dan pemeliharaan yang mendesak. Kami sangat menganjurkan Anda untuk segera memperbaruinya,” tulisnya dalam sebuah pengunguman.

Kerentanan tersebut telah ditemukan dan dilaporkan oleh Jinson Varghese Behanan, seorang analis keamanan informasi di Astra Security.

Dalam versi yang rentan, plugin tidak menghapus karakter khusus dari nama file yang diunggah, termasuk karakter kontrol dan pemisah.

Hal ini berpotensi memungkinkan penyerang mengunggah nama file yang berisi ekstensi ganda, dipisahkan oleh karakter khusus atau non-printable, seperti file bernama “abc.php .jpg”.

Perbaikan yang dibuat oleh tim Contact Form 7, berisi validasi berbasis regex untuk menangkap kasus seperti ini:

Sumber: Bleeping Computer

Sumber: Bleeping Computer

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Ransomware menyamar sebagai versi seluler Cyberpunk 2077

by

Aktor ancaman mendistribusikan installer Windows dan Android palsu game Cyberpunk 2077 yang berisi ransomware CoderWare.

Untuk mengelabui pengguna agar memasang malware, pelaku ancaman biasanya mendistribusikannya sebagai gamer installer, cheats, dan crack untuk software copyright.

Minggu ini, analis malware Kaspersky Tatyana Shishkova menemukan ransomware Android yang menyamar sebagai versi seluler dari game Cyberpunk 2077. Game tersebut didistribusikan dari situs web palsu yang meniru Google Play Store yang sah.

Sumber: BleepingComputer

Shishkova menulis di akun Twitter nya bahwa ransomware CoderWare menggunakan kunci hardcode, yang berarti decryptor dapat dibuat jika perlu untuk memulihkan file secara gratis.

Ransomware ini sama dengan yang ditemukan oleh MalwareHunterTeam pada bulan November yang menyamar sebagai installer Windows Cyberpunk 2077. Seperti versi Android, ransomware ini menyebut dirinya CoderWare tetapi merupakan varian dari ransomware BlackKingdom.

Seperti yang Anda lihat, saat mencoba menginstal perangkat lunak berhak cipta secara gratis, Anda menghadapi risiko besar adanya infeksi malware. Risiko ini bahkan lebih signifikan ketika Anda mencoba memasang aplikasi Android dari toko aplikasi pihak ketiga.

Sumber: Bleeping Computer

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

by

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

Microsoft juga mengalami Security Breach dalam peretasan rantai pasokan SolarWinds baru-baru ini, lapor

by

Peretas yang disponsori negara yang melanggar penyedia perangkat lunak AS SolarWinds awal tahun ini memutar ke jaringan internal Microsoft, dan kemudian menggunakan salah satu produk Microsoft sendiri untuk meluncurkan serangan terhadap perusahaan lain, Reuters melaporkan hari ini mengutip sumber yang mengetahui penyelidikan tersebut.

Berita tersebut muncul setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan peringatan hari ini tentang serangan rantai pasokan SolarWinds dan dampaknya terhadap lembaga pemerintah, entitas infrastruktur penting, dan organisasi sektor swasta.

CISA mengatakan mereka memiliki “bukti vektor akses awal tambahan, selain platform SolarWinds Orion.” Dua laporan Reuters tentang dugaan peretasan Microsoft tidak mengatakan produk Microsoft apa yang disalahgunakan oleh peretas setelah melanggar Microsoft.

Seorang juru bicara Microsoft menerima telepon sebelumnya hari ini tetapi tidak memiliki apa pun untuk dibagikan sebelum artikel ini dipublikasikan. Microsoft sekarang bergabung dengan daftar entitas profil tinggi yang telah diretas melalui pembaruan backdoor untuk aplikasi pemantauan jaringan SolarWinds Orion.

Sebagian besar dari korban ini adalah lembaga pemerintah AS, seperti:

  • Departemen Keuangan AS
  • Administrasi Informasi dan Telekomunikasi Nasional (NTIA) Departemen Perdagangan AS
  • National Institutes of Health (NIH) Departemen Kesehatan
  • Badan Keamanan Siber dan Infrastruktur (CISA)
  • Departemen Keamanan Dalam Negeri (DHS)
  • Departemen Luar Negeri AS
  • Administrasi Keamanan Nuklir Nasional (NNSA) (juga diungkapkan hari ini)
  • Departemen Energi AS (DOE) (juga diungkapkan hari ini)
  • Tiga negara bagian AS (juga diungkapkan hari ini)
  • Kota Austin (juga diungkapkan hari ini)

sumber : ZDNET

Tiga juta pengguna memasang 28 ekstensi Chrome atau Edge yang berbahaya

by

Lebih dari tiga juta pengguna internet diyakini telah menginstal 15 Chrome, dan 13 ekstensi Edge yang berisi kode berbahaya, kata perusahaan keamanan Avast hari ini.

28 ekstensi berisi kode yang dapat melakukan beberapa operasi berbahaya. Avast mengatakan menemukan kode untuk:

  • mengarahkan lalu lintas pengguna ke iklan
  • mengarahkan lalu lintas pengguna ke situs phishing
  • mengumpulkan data pribadi, seperti tanggal lahir, alamat email, dan perangkat aktif
  • kumpulkan riwayat penelusuran
  • mengunduh malware lebih lanjut ke perangkat pengguna

Di bawah ini adalah daftar ekstensi Chrome yang menurut Avast mengandung kode berbahaya:

  • Direct Message for Instagram
  • DM for Instagram
  • Invisible mode for Instagram Direct Message
  • Downloader for Instagram
  • App Phone for Instagram
  • Stories for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Zoomer for Instagram and FaceBook
  • VK UnBlock. Works fast.
  • Odnoklassniki UnBlock. Works quickly.
  • Upload photo to Instagram™
  • Spotify Music Downloader
  • The New York Times News

Di bawah ini adalah daftar ekstensi Edge yang menurut Avast mengandung kode berbahaya:

  • Direct Message for Instagram™
  • Instagram Download Video & Image
  • App Phone for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Volume Controller
  • Stories for Instagram
  • Upload photo to Instagram™
  • Pretty Kitty, The Cat Pet
  • Video Downloader for YouTube
  • SoundCloud Music Downloader
  • Instagram App with Direct Message DM

sumber : ZDNET