News 426 - Naga Cyber Defense

Bypass 2FA ditemukan di perangkat lunak hosting web cPanel

November 25, 2020 by Winnie the Pooh

Peneliti keamanan telah menemukan kelemahan keamanan utama di cPanel, rangkaian perangkat lunak populer yang digunakan oleh perusahaan hosting web untuk mengelola situs web bagi pelanggan mereka.

Bug, yang ditemukan oleh peneliti keamanan dari Digital Defense, memungkinkan penyerang melewati otentikasi dua faktor (2FA) untuk akun cPanel.

Akun ini digunakan oleh pemilik situs web untuk mengakses dan mengelola situs web mereka dan pengaturan server yang mendasarinya. Akses ke akun ini sangat penting, karena setelah disusupi, mereka memberi pelaku ancaman kendali penuh atas situs korban.

Digital Defense mengatakan bahwa implementasi 2FA pada perangkat lunak cPanel & WebHost Manager (WHM) yang lebih lama rentan terhadap serangan brute force yang memungkinkan pelaku ancaman menebak parameter URL dan melewati 2FA – jika 2FA diaktifkan untuk sebuah akun.

Memanfaatkan bug ini juga mengharuskan penyerang memiliki kredensial yang valid untuk akun yang ditargetkan, tetapi ini dapat diperoleh dari serangan phishing ke pemilik situs web.

Kabar baiknya adalah Digital Defense telah melaporkan bug tersebut secara pribadi, dilacak sebagai SEC-575, ke tim cPanel, yang telah merilis patch minggu lalu. Sesuai saran keamanan cPanel, masalah bypass 2FA telah ditambal di perangkat lunak cPanel & WHM 11.92.0.2, 11.90.0.17, dan 11.86.0.32.

Sumber: ZDNet

TA416 APT Kembali Dengan Varian Baru PlugX Malware

November 25, 2020 by Winnie the Pooh

Aktor TA416 Advanced Persistent Threat (APT) telah kembali. Setelah sebulan tidak aktif, grup tersebut terlihat meluncurkan serangan spear-phishing dengan varian Golang yang belum pernah dilihat sebelumnya dari malware loader PlugX-nya.

TA416, yang juga dikenal sebagai “Mustang Panda” dan “RedDelta”, terlihat dalam kampanye baru-baru ini yang menargetkan entitas yang terkait dengan hubungan diplomatik antara Vatikan dan Partai Komunis China, serta entitas di Myanmar (semua ini adalah kampanye yang dilaporkan sebelumnya).

Dalam analisis lebih lanjut dari serangan ini, para peneliti menemukan grup tersebut telah memperbarui perangkatnya – khususnya, memberikan varian malware PlugX facelift. Remote access tool (RAT) PlugX sebelumnya telah digunakan dalam serangan yang ditujukan pada lembaga pemerintah dan memungkinkan pengguna jarak jauh untuk melakukan pencurian data atau mengendalikan sistem yang terpengaruh tanpa izin atau otorisasi. Itu dapat menyalin, memindahkan, mengganti nama, mengeksekusi dan menghapus file; log penekanan tombol; sidik jari sistem yang terinfeksi; dan lainnya.

Setelah penyelidikan lebih dekat, peneliti mengidentifikasi dua arsip RAR yang berfungsi sebagai dropper malware PlugX.

Para peneliti mengatakan, vektor pengiriman awal untuk arsip RAR ini tidak dapat diidentifikasi, “namun, secara historis TA416 telah diamati menggunakan URL Google Drive dan Dropbox dalam email phishing yang mengirimkan arsip yang berisi malware PlugX dan komponen terkait,” kata mereka.

Malware Loader ini diidentifikasi sebagai Golang binary; Peneliti mengatakan mereka sebelumnya tidak mengamati jenis file ini digunakan oleh TA416. Meskipun jenis file dari loader PlugX berubah, fungsinya sebagian besar tetap sama, kata para peneliti.

Sumber: Threat Post

Peretas memposting eksploit untuk lebih dari 49.000 VPN Fortinet yang rentan

November 24, 2020 by Winnie the Pooh

Seorang peretas telah memposting daftar eksploit satu baris untuk mencuri kredensial VPN dari hampir 50.000 perangkat Fortinet VPN.

Yang ada dalam daftar target rentan adalah domain milik bank dan organisasi pemerintah dari seluruh dunia.

Kerentanan yang dirujuk di sini adalah CVE-2018-13379, kelemahan jalur traversal yang memengaruhi sejumlah besar perangkat VPN Fortinet FortiOS SSL yang belum ditambal.

Dengan memanfaatkan kerentanan ini, penyerang jarak jauh yang tidak diautentikasi dapat mengakses file sistem melalui permintaan HTTP yang dibuat secara khusus.

Eksploit yang diposting oleh peretas memungkinkan penyerang mengakses file sslvpn_websession dari Fortinet VPN untuk mencuri kredensial login. Kredensial yang dicuri ini kemudian dapat digunakan untuk menyusupi jaringan dan menyebarkan ransomware.

Minggu ini, analis intelijen ancaman Bank_Security menemukan utas forum peretas di mana aktor ancaman berbagi 49.577 daftar perangkat dari target yang dapat dieksploitasi.

Setelah menganalisis daftar tersebut, ditemukan bahwa target yang rentan termasuk domain pemerintah dari seluruh dunia, dan yang dimiliki oleh bank dan perusahaan pembiayaan ternama.

Fortinet telah mengeluarkan pernyataan sehubungan dengan kerentanan ini:

“Keamanan pelanggan kami adalah prioritas pertama kami. Pada Mei 2019 Fortinet mengeluarkan peringatan PSIRT mengenai kerentanan SSL yang telah diatasi, dan juga telah berkomunikasi langsung dengan pelanggan dan lagi melalui posting blog perusahaan pada Agustus 2019 dan Juli 2020 sangat merekomendasikan upgrade,” kata juru bicara Fortinet kepada BleepingComputer.

“Dalam seminggu terakhir, kami telah berkomunikasi dengan semua pelanggan dan memberi tahu mereka lagi tentang kerentanan dan langkah-langkah untuk memitigasi. Meskipun kami tidak dapat memastikan bahwa vektor serangan untuk grup ini terjadi melalui kerentanan ini, kami terus mendorong pelanggan untuk menerapkan upgrade dan mitigasi. Untuk mendapatkan informasi lebih lanjut, silakan kunjungi blog kami yang telah diperbarui dan segera merujuk ke penasihat [PSIRT] Mei 2019,” tutup Fortinet.

Sumber: Bleeping Computer

TikTok Memperbaiki bug reflected XSS, eksploitasi pengambilalihan akun satu klik

November 24, 2020 by Winnie the Pooh

TikTok telah menambal cacat keamanan reflected XSS dan bug yang menyebabkan pengambilalihan akun yang memengaruhi domain web perusahaan.

Dilaporkan melalui platform bug bounty HackerOne oleh peneliti Muhammed “milly” Taskiran, kerentanan pertama terkait dengan parameter URL di domain tiktok.com yang tidak dibersihkan dengan benar.

Peneliti bug bounty menemukan bahwa masalah ini dapat dieksploitasi untuk mencapai reflected cross-site scripting (XSS), yang berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.

Selain itu, Taskiran menemukan endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF), serangan di mana pelaku ancaman dapat menipu pengguna untuk mengirimkan tindakan atas nama mereka ke aplikasi web sebagai pengguna tepercaya.

“Endpoint memungkinkan saya menyetel kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar,” kata pemburu bug itu.

Taskiran dianugerahi hadiah bug bounty sebesar $ 3.860.

Sumber: ZDNet

Lebih dari 300 ribu akun Spotify diretas dalam serangan credential stuffing

November 24, 2020 by Winnie the Pooh

Peretas telah mencoba untuk mendapatkan akses ke akun Spotify menggunakan database 380 juta data dengan kredensial login dan informasi pribadi yang dikumpulkan dari berbagai sumber.

Sebuah laporan baru yang merinci bagaimana database yang berisi lebih dari 380 juta data, termasuk kredensial login, secara aktif digunakan untuk meretas akun Spotify dapat menjelaskan pelanggaran akun ini.

Serangan umum yang digunakan untuk meretas akun disebut serangan credential stuffing, yaitu ketika pelaku ancaman menggunakan kumpulan besar kombinasi nama pengguna / sandi yang bocor dalam pelanggaran keamanan sebelumnya untuk mendapatkan akses ke akun pengguna di platform online lainnya.

Hari ini, VPNMentor merilis laporan tentang database yang terekspos di Internet yang berisi 300 juta data kombinasi nama pengguna dan kata sandi yang digunakan dalam serangan isian kredensial terhadap Spotify.

Setiap data dalam database ini berisi nama login (alamat email), kata sandi, dan apakah kredensial berhasil masuk ke akun Spotify, seperti yang ditunjukkan di bawah ini.

Tidak diketahui bagaimana 300 juta data ini dikumpulkan, tetapi kemungkinan melalui pelanggaran data atau “koleksi” kredensial yang besar yang biasanya dirilis oleh pelaku ancaman secara gratis.

Para peneliti percaya bahwa 300 juta data yang terdaftar dalam database memungkinkan penyerang menembus 300.000 hingga 350.000 akun Spotify.

Sumber: Bleeping Computer

Malware membuat toko online palsu di atas situs WordPress yang diretas

November 24, 2020 by Winnie the Pooh

Geng kejahatan siber baru terlihat mengambil alih situs WordPress yang rentan untuk memasang toko e-commerce tersembunyi dengan tujuan membajak peringkat dan reputasi search engine situs asli serta mempromosikan penipuan online.

Serangan tersebut ditemukan awal bulan ini dengan menargetkan honeypot WordPress yang disiapkan dan dikelola oleh Larry Cashdollar, seorang peneliti keamanan untuk tim keamanan Akamai.

Para penyerang memanfaatkan serangan brute-force untuk mendapatkan akses ke akun admin situs, setelah itu mereka menimpa file indeks utama situs WordPress dan menambahkan kode berbahaya.

Sementara kode itu sangat disamarkan, Cashdollar mengatakan peran utama malware adalah bertindak sebagai proxy dan mengarahkan semua lalu lintas masuk ke server command-and-control (C&C) jarak jauh yang dikelola oleh peretas.

Di server inilah seluruh “logika bisnis” serangan terjadi. Menurut Cashdollar, tipikal serangan adalah sebagai berikut:

Pengguna mengunjungi situs WordPress yang diretas.
Situs WordPress yang diretas mengalihkan permintaan pengguna untuk melihat situs tersebut ke server C&C malware.
Jika pengguna memenuhi kriteria tertentu, server C&C memberi tahu situs tersebut untuk membalas dengan file HTML berisi toko online yang menjajakan berbagai macam objek duniawi.
Situs yang diretas menanggapi permintaan pengguna dengan toko online palsu alih-alih situs asli yang ingin dilihat pengguna.

Cashdollar mengatakan bahwa selama peretas memiliki akses ke honeypot nya, para penyerang menampung lebih dari 7.000 toko e-commerce yang mereka maksudkan untuk melayani pengunjung yang datang.

Selain itu, para peneliti Akamai mengatakan para peretas juga membuat peta situs XML untuk situs WordPress yang diretas yang berisi entri untuk toko online palsu bersama dengan halaman asli situs tersebut. Ini berakibat meracuni kata kuncinya dengan entri yang tidak terkait dan palsu yang menurunkan peringkat halaman hasil mesin pencari (SERP) situs web.

Sumber: ZDNet

Router eksklusif Walmart dan lainnya yang dijual di Amazon & eBay memiliki backdoor tersembunyi untuk mengontrol perangkat

November 24, 2020 by Winnie the Pooh

Dalam kolaborasi antara CyberNews Sr. Peneliti Keamanan Informasi Mantas Sasnauskas dan peneliti James Clee dan Roni Carta, backdoor yang mencurigakan telah ditemukan di router Jetstream buatan China, dijual secara eksklusif di Walmart sebagai router wifi yang “terjangkau”.

Backdoor ini memungkinkan penyerang memiliki kemampuan untuk mengontrol tidak hanya router, tetapi juga perangkat apa pun yang terhubung ke jaringan itu dari jarak jauh.

Selain router Jetstream, tim peneliti keamanan siber juga menemukan bahwa router Wavlink berbiaya rendah, biasanya dijual di Amazon atau eBay, memiliki backdoor serupa. Router Wavlink juga berisi skrip yang memindai wifi terdekat dan memiliki kemampuan untuk terhubung ke jaringan tersebut.

Para peneliti keamanan juga menemukan bukti bahwa backdoor ini secara aktif dieksploitasi, dan ada upaya untuk menambahkan perangkat ke botnet Mirai.

Meskipun Jetstream memiliki kesepakatan eksklusif dengan Walmart, dan dijual dengan nama merek lain seperti Ematic, hanya ada sedikit informasi yang tersedia tentang perusahaan China mana yang benar-benar memproduksi produk ini. Sementara Wavlink adalah perusahaan teknologi yang berbasis di Shenzhen, Cina, di provinsi Guangdong.

Salah satu aspek paling menarik dari penelitian ini adalah penemuan backdoor mencurigakan yang diaktifkan di semua perangkat.

Router Jetstream dan Wavlink menampilkan GUI sederhana (atau antarmuka yang ramah pengguna) untuk backdoor nya yang berbeda dari antarmuka yang disajikan kepada admin router. Meskipun Wavlink memiliki instruksi di situs webnya tentang bagaimana pengguna dapat mengakses router mereka, backdoor yang ditemukan tampaknya diarahkan pada eksekusi kode jarak jauh, atau RCE.

Penelitian ini juga menemukan bahwa kredensial yang diperlukan untuk mengakses perangkat diperiksa di kode Javascript. Artinya, jika Anda akan memeriksa elemen, pada endpoint tertentu Anda dapat mengambil kata sandi root dan mengakses komputer target dari jarak jauh.

Di perangkat yang tidak memiliki sandi di Javascript, ada cadangan tidak terenkripsi yang dapat diunduh tanpa autentikasi. Cadangan ini akan memungkinkan penyerang mendapatkan kata sandi admin juga.

Tonton video di bawah ini untuk mendengar langsung dari Sasnauskas, Clee dan Carta tentang bagaimana mereka menemukan backdoor dan apa artinya bagi konsumen:

Sumber: Cyber News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings