Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Celah pada Magento dapat mengeksekusi kode pada Toko Online

by

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost

Otoritas Jerman menggerebek kantor FinFisher

by

Otoritas Jerman telah menggerebek kantor FinFisher, sebuah perusahaan perangkat lunak Jerman yang membuat alat pengawasan, yang dituduh di masa lalu menyediakan perangkat lunak untuk rezim yang menindas.

Penggerebekan terjadi awal bulan ini, pada 6 Oktober dan 8 Oktober, dan diperintahkan oleh Kantor Kejaksaan Munich.
Penggerebekan terjadi di lokasi di seluruh Jerman dan Rumania. Ini termasuk 15 properti (tempat bisnis dan apartemen pribadi) di sekitar Munich dan sebuah perusahaan yang terhubung ke FinFisher yang berlokasi di Rumania, menurut juru bicara Kantor Kejaksaan Umum Munich.

Penggerebekan adalah bagian dari investigasi yang dimulai tahun lalu setelah pengaduan yang diajukan oleh Netzpolitik kepada jaksa Munich pada musim panas 2019. Penandatangan lain dalam pengaduan tersebut termasuk kelompok advokasi seperti Society for Freedom Rights, Reporters Without Borders, dan Pusat Konstitusi dan Hak Asasi Manusia Eropa.
Para penandatangan berpendapat bahwa malware FinFisher telah diinstal pada perangkat aktivis, pembangkang politik, dan warga negara biasa di negara-negara dengan rezim yang menindas, negara-negara di mana FinFisher dilarang menjual perangkat lunaknya.

FinFisher membantah tuduhan tersebut dan berhasil menggugat blog Jerman tersebut, setelah menghapus artikel aslinya; Namun, pengaduan pidana harus berjalan dengan sendirinya.
Penggerebekan hari ini adalah bagian dari proses hukum di mana otoritas Jerman mengumpulkan bukti terkait dengan klaim yang dibuat dalam pengaduan tersebut, Kantor Kejaksaan Umum Munich mengatakan kepada ZDNet.
FinFisher memasarkan alatnya seperti yang dimaksudkan untuk investigasi penegakan hukum dan badan intelijen. Pelanggan yang dikenal termasuk polisi federal Jerman dan polisi Berlin. Namun, alat perusahaan juga telah ditemukan pada perangkat kritikus pemerintah dan jurnalis di negara-negara seperti Ethiopia, Bahrain, Mesir, dan Turki – negara yang melarang ekspor alat pengawasan.

Source : ZDnet

Perangkat lunak PDF populer ini perlu diperbarui secepatnya

by

PhantomPDF oleh Foxit adalah editor PDF populer yang memungkinkan pengguna membuat dan mengedit PDF, mengekspor PDF, mengubah dokumen kertas menjadi PDF, dan berkolaborasi dengan orang lain. Salah satu nilai jual terbesar editor PDF perusahaan adalah bahwa itu dapat dibeli sebagai produk mandiri karena perusahaan telah menghindari model SaaS yang dipopulerkan oleh Adobe dan Microsoft.

Perangkat lunak PDF Foxit berisi empat kerentanan tingkat keparahan tinggi dengan peringkat CVSS 7,5. Dua di antaranya adalah bug use-after-free sementara yang lain adalah penulisan di luar batas dan yang terakhir adalah pelanggaran akses tulis.

Kerentanan penggunaan setelah bebas terjadi saat aplikasi membaca ulang memori yang telah dialokasikan ulang oleh sistem ke program atau operasi lain. Secara teoritis penyerang dapat mengeksploitasi salah satu kerentanan ini untuk memasukkan kode berbahaya ke area memori yang tepat dan kode ini kemudian akan dibaca oleh aplikasi dan dijalankan.
Untungnya, Foxit telah mengatasi keempat kerentanan di PhantomPDF dengan rilis perangkat lunaknya versi 10.1. Pengguna Windows dan Mac yang menjalankan versi perangkat lunak yang lebih lama harus mengunjungi situs web Foxit untuk mengunduh dan menginstal versi terbaru untuk menghindari menjadi korban dari potensi serangan apa pun.

Source : Techradar

Peretas China Menargetkan Kampanye Biden Meniru McAfee Antivirus, Kata Google

by

Peretas menggunakan berbagai metode untuk menargetkan korbannya. mereka kerap memikat pengguna melalui email phishing. Sekarang, mereka telah menemukan cara unik lain meniru antivirus McAfee untuk mengelabui pengguna agar mengunduh malware.

Menurut tim keamanan Google, trik baru telah dikembangkan oleh kelompok peretas China APT31, juga dikenal sebagai Zirkonium, dan target utama mereka adalah orang-orang terkenal, termasuk kampanye pemilihan Presiden calon Demokrat AS Joe Biden. Google mengatakan targetnya adalah akun email pribadi stafnya.
Dalam sebuah posting blog pada hari Jumat, tim keamanan Google mengungkapkan bahwa mereka telah mengidentifikasi tautan email phishing yang dirancang untuk memikat korban agar mengunduh malware yang dikembangkan menggunakan kode Python. Melalui itu, peretas dapat mengubah kode berbahaya menggunakan Dropbox, layanan penyimpanan cloud gratis.

“Malware memungkinkan penyerang untuk mengunggah dan mengunduh file serta menjalankan perintah sewenang-wenang. Setiap bagian berbahaya dari serangan ini dihosting pada layanan yang sah, sehingga mempersulit pembela untuk mengandalkan sinyal jaringan untuk mendeteksi,” kata Shane Huntley, seorang peneliti keamanan dari Google di posting blog.

Menyamar sebagai McAfee Antivirus

Aspek paling menarik dari upaya peretasan ini adalah bahwa mereka mengembangkan teknik canggih untuk menyamarkan upaya phishing dalam versi perangkat lunak antivirus McAfee yang sah. “Target akan diminta untuk menginstal versi sah dari perangkat lunak antivirus McAfee dari GitHub, sementara malware itu secara bersamaan diinstal ke sistem secara diam-diam,” kata Huntley.

Namun, serangan malware tidak hanya menargetkan staf kampanye Biden. Sebelumnya, Microsoft juga mencatat bahwa anggota terkemuka dari komunitas hubungan internasional, akademisi dari lebih dari 15 universitas menjadi sasaran. Penggunaan perangkat lunak antivirus populer McAfee mungkin mengejutkan, tetapi Google mengatakan peretas yang didukung negara sebelumnya telah menggunakan perangkat lunak resmi untuk menyamarkan perangkat lunak jahat.

Google mengatakan serangan itu dari kelompok peretas China bernama APT31 yang diduga terkait dengan pemerintah negara itu. Raksasa teknologi itu telah mengembangkan sistem peringatan dan memfilter sebagian besar serangan berbahaya di masa lalu. Jika sistem Google mendeteksi upaya peretasan atau phishing yang didukung negara, ia akan mengirimkan peringatan, menjelaskan bahwa pemerintah asing mungkin bertanggung jawab. Huntley mengatakan bahwa Google telah membagikan temuan tersebut dengan FBI.

Microsoft dalam blognya bulan lalu juga mencatat bahwa setidaknya seorang staf kampanye pemilihan kembali Presiden AS Donald Trump juga menjadi sasaran APT31. Selain grup China, grup hacker Iran yang dikenal dengan APT35 juga sempat mengincar kampanye Trump dengan email phishing.

Source : ibtimes

Singapura merilis peraturan dan panduan referensi untuk tata kelola AI

by

Bisnis Singapura yang ingin mengadopsi teknologi kecerdasan buatan (AI) secara bertanggung jawab sekarang dapat mengakses dokumen referensi untuk membantu mereka melakukannya. AI Ethics & Governance Body of Knowledge (BoK) disebut-sebut akan memberikan panduan referensi bagi para pemimpin bisnis dan profesional TI tentang aspek etika terkait pengembangan serta penerapan teknologi AI.

Diluncurkan oleh grup industri Singapore Computer Society (SCS), BoK disusun berdasarkan keahlian lebih dari 60 individu dari latar belakang multi-disiplin, dengan tujuan untuk membantu dalam penyebaran “bertanggung jawab, etis, dan berpusat pada manusia” AI untuk keunggulan kompetitif. Ini mencakup kasus penggunaan untuk menguraikan hasil positif dan negatif dari adopsi AI, dan melihat potensi teknologi untuk mendukung ekosistem “aman” bila digunakan dengan benar.

BoK dikembangkan berdasarkan Kerangka Tata Kelola AI Model terbaru Singapura, yang diperbarui pada Januari 2020, dan akan diperbarui secara berkala seiring dengan perkembangan lanskap digital lokal, kata SCS selama peluncurannya pada hari Jumat.

Dalam Forum Tech3 SCS, Menteri Komunikasi dan Informasi Singapura S. Iswaran lebih jauh menggarisbawahi perlunya membangun kepercayaan dengan penggunaan AI yang bertanggung jawab untuk mendorong adopsi dan mengekstrak sebagian besar manfaat dari teknologi.

“Penerapan AI yang bertanggung jawab dapat meningkatkan efisiensi perusahaan, memfasilitasi pengambilan keputusan, dan membantu karyawan meningkatkan keterampilan menjadi pekerjaan yang lebih kaya dan bermakna,” kata Iswaran. “Yang terpenting, kami ingin membangun lingkungan AI yang progresif, aman, dan tepercaya yang menguntungkan bisnis dan pekerja, serta mendorong transformasi ekonomi.”

Dijadwalkan untuk diluncurkan tahun depan, kursus ini bertujuan untuk melatih dan memberikan sertifikasi kepada para profesional untuk membantu dan memberi saran kepada organisasi tentang etika dan tata kelola AI. Ini akan dimasukkan ke dalam program MiniMasters NTU yang akan datang dalam etika AI dan AI, yang dirancang untuk memandu peserta dalam memahami dan memecahkan masalah yang ditimbulkan oleh adopsi AI.

Singapura pada bulan Mei mengumumkan rencana untuk mengembangkan kerangka kerja untuk memastikan adopsi AI dan analitik data yang “bertanggung jawab” dalam penilaian risiko kredit dan pemasaran pelanggan. Dua tim yang terdiri dari bank dan pelaku industri ditugaskan untuk menetapkan metrik untuk membantu lembaga keuangan memastikan “keadilan” AI dan alat analitik data mereka dalam hal ini. Whitepaper yang merinci metrik dijadwalkan untuk diterbitkan pada akhir tahun, bersama dengan kode sumber terbuka untuk memungkinkan lembaga keuangan mengadopsi metrik.

Source : ZDnet

Empat Area yang Perlu Dipertimbangkan untuk Menangani Data Cloud dengan Aman

by

Perusahaan menghadapi pertumbuhan eksplosif dari data file tidak terstruktur, dan, untuk mengatasinya, mereka beralih ke cloud untuk menyimpan dan berkolaborasi dengan lebih hemat biaya pada data tersebut di seluruh dunia. Namun, sementara cloud publik dan privat memberikan kapabilitas baru yang kuat dan potensi efisiensi finansial dan operasional, ini juga dapat memperluas profil risiko.

Faktanya, cloud dapat memberikan keamanan data yang lebih baik daripada penyimpanan tradisional… jika dilakukan dengan benar. Namun, menghadirkan cloud hybrid ke dalam jalur data memerlukan pendekatan keamanan yang berbeda dari pada file yang disimpan di lokasi. Untuk melindungi data di awan pribadi dan publik, perusahaan perlu menggunakan campuran enkripsi yang kuat dan otentikasi lokal, serta kemampuan asli dari solusi penyimpanan awan terkemuka.

Untuk memastikan data tidak terstruktur mereka tetap aman dan selalu tersedia, tim TI harus memberikan perhatian khusus pada empat area berikut.

Enkripsi
IT harus yakin untuk “mengasinkan” kunci dan sandi. Kata sandi biasanya dilindungi dengan mengenkripsinya menggunakan fungsi hash satu arah yang memerlukan kunci kriptografi untuk mendekripsinya. Salting menambahkan bit acak ke fungsi hash, yang merupakan lapisan keamanan ekstra, memastikan bahwa, bahkan jika kunci kriptografi disusupi, kata sandi dan kunci yang dilindungi akan tetap tidak dapat digunakan. Tidak ada pengguna tidak sah dari luar organisasi yang dapat mengakses data.

OpenPGP
OpenPGP menggabungkan enkripsi simetris cepat untuk melindungi data dengan kunci asimetris yang lebih lambat. Hal ini tidak hanya memberikan keamanan data yang optimal dan pada tingkat perincian yang lebih tinggi, tetapi juga menjaga kinerja agar tidak terpengaruh. Professional IT tidak boleh mengabaikan enkripsi metadata, yang berisi nama file, ukuran file, stempel waktu, informasi kontrol akses, dan lokasi dalam pohon direktori. Jika informasi ini dikirim atau disimpan dengan jelas, peretas dapat dengan mudah memperoleh dan menggunakannya untuk meluncurkan serangan bertarget yang canggih.

Memisah Folder
Jika menggunakan cloud pribadi, semua data file dan metadata sistem file harus dienkripsi dan disimpan hanya di penyimpanan objek cloud pribadi. Jalur kontrol dapat menggunakan layanan cloud publik untuk menyediakan orkestrasi dan fungsi manajemen dalam skala besar, tetapi jalur data harus disimpan sepenuhnya dalam cloud pribadi; data file tidak boleh dikirim di luar batasan keamanan perusahaan.

Dalam situasi hibrid, di mana peralatan di tempat disebarkan ke cache data secara lokal untuk memastikan kinerja, jalur data meluas di luar batas keamanan perusahaan. Namun, selama file dan metadata dienkripsi dengan benar, serta kunci dan sandi dienkripsi dan diasinkan, data tersebut aman. Jika TI menggunakan model khusus cloud, di mana peralatan diterapkan sebagai mesin virtual dalam cloud, semua data file dan metadata sistem harus dienkripsi dan disimpan dalam penyimpanan objek.

Ingat, data dan metadata tidak boleh terlihat oleh siapa pun yang tidak berwenang untuk memiliki kunci master, meskipun mereka adalah penyedia atau vendor penyimpanan cloud.

Double Check Keamanan Cloud
Penyedia cloud beroperasi pada model tanggung jawab bersama, yang berarti mereka melindungi infrastruktur secara keseluruhan, tetapi setiap pelanggan bertanggung jawab untuk mengamankan akses ke wadah dan instans penyimpanan cloud, serta untuk memastikan data yang disimpan di sana terlindungi dengan baik dari kehilangan data. Periksa kembali semua konfigurasi dan audit secara teratur untuk memastikannya benar.

Namun jangan percaya pada penyedia cloud dengan kata-kata mereka bahwa semua yang mereka miliki adalah bentuk kapal. Pastikan mitra penyimpanan cloud memiliki penyimpanan geo-redundan dan memiliki sertifikasi keamanan dan kepatuhan industri yang lengkap

Source : cpomagazine.com

QRadar: Software keamanan IBM populer terdapat celah terbuka untuk serangan eksekusi kode jarak jauh

by

QRadar, platform informasi keamanan perusahaan dan manajemen acara (SIEM) IBM, memungkinkan peretas melakukan berbagai serangan, termasuk eksekusi kode jarak jauh.
Bug, yang ditemukan oleh peneliti keamanan di start-up Securify yang berada di Belanda itu dipicu dengan meneruskan objek yang berisi kode berbahaya ke komponen Servlet dari QRadar Community Edition.

Aplikasi klien Java mengonversi objek menjadi aliran byte – atau ‘membuat serial’ mereka – dan mengirimkannya ke server, yang deserialisasi objek ke dalam struktur aslinya sebelum diproses.
Jika Bug tidak ditangani dengan benar, peretas dapat memanfaatkan proses untuk mengirim data berbahaya ke server aplikasi Java.

Yorick Koster dari Securify, yang melaporkan bug tersebut ke IBM, menemukannya dalam implementasi JSON-RPC dari RemoteJavaScript Servlet QRadar.
Menurut temuan Koster, beberapa metode di RemoteJavaScript Servlet menggunakan kelas org.apache.commons.lang3.SerializationUtils, yang tidak melakukan pemeriksaan apa pun saat deserialisasi objek yang diteruskan.

“Tidak ada pemeriksaan yang diterapkan untuk mencegah deserialisasi objek arbitrer.
“Akibatnya, pengguna yang diautentikasi dapat memanggil salah satu metode yang terpengaruh dan menyebabkan RemoteJavaScript Servlet untuk mendesialisasi objek arbitrer,” tulis Koster, menambahkan bahwa penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan objek yang dibuat secara khusus dan melakukan “penolakan layanan, perubahan pengaturan sistem, atau eksekusi kode arbitrer ”.

Patch Cepat
Koster menemukan dan melaporkan kerentanan deserialization bersama dengan sembilan bug lainnya pada bulan Januari saat secara aktif meneliti QRadar CE. Sebagian besar diperbaiki pada bulan April.
RemoteJavaScript Servlet diperbaiki dalam versi terbaru QRadar CE, dirilis pada bulan Oktober.

“Masalah khusus ini adalah masalah terbuka terakhir yang tersisa. Saya kira lebih sulit untuk memperbaikinya karena ini mempengaruhi seluruh JSON-RPC API mereka
“Saya terkejut bahwa saya dapat menemukan cukup banyak masalah dalam waktu yang relatif singkat dalam produk keamanan. Sungguh menyedihkan melihat bahwa bahkan industri keamanan gagal membuat aplikasi yang aman. ”

Source : PortSwigger

Microsoft merilis emergency security updates untuk Windows and Visual Studio

by

Microsoft telah menerbitkan dua pembaruan keamanan out-of-band hari ini untuk mengatasi masalah keamanan di pustaka Windows Codecs dan aplikasi Visual Studio Code.
Kedua pembaruan datang sebagai kedatangan terlambat setelah perusahaan merilis batch pembaruan keamanan bulanan awal pekan ini, pada hari Selasa, menambal 87 kerentanan bulan ini.
Kedua kerentanan baru tersebut adalah kerentanan “eksekusi kode jarak jauh”, yang memungkinkan penyerang untuk mengeksekusi kode pada sistem.

KERENTANAN Libarary KODE WINDOWS
Bug pertama dilacak sebagai CVE-2020-17022. Microsoft mengatakan bahwa penyerang dapat membuat gambar berbahaya yang, ketika diproses oleh aplikasi yang berjalan di atas Windows, dapat memungkinkan penyerang untuk mengeksekusi kode pada OS Windows yang belum ditambal.

Semua versi Windows 10 terpengaruh.
Microsoft mengatakan pembaruan untuk perpustakaan ini akan dipasang secara otomatis pada sistem pengguna melalui Microsoft Store.
Tidak semua pengguna terpengaruh, tetapi hanya mereka yang telah menginstal codec media HEVC opsional atau “HEVC dari Device Manufacturer” dari Microsoft Store.
HEVC tidak tersedia untuk distribusi offline dan hanya tersedia melalui Microsoft Store. Pustaka juga tidak didukung di Windows Server.
Untuk memeriksa dan melihat apakah Anda menggunakan codec HEVC yang rentan, pengguna dapat pergi ke Pengaturan, Aplikasi & Fitur, dan pilih HEVC, Opsi Lanjutan. Versi amannya adalah 1.0.32762.0, 1.0.32763.0, dan yang lebih baru.

KERENTANAN Visual Studio Code
Bug kedua dilacak sebagai CVE-2020-17023. Microsoft mengatakan penyerang dapat membuat file package.json berbahaya yang, saat dimuat dalam Visual Studio Code, dapat mengeksekusi kode berbahaya.

Bergantung pada izin pengguna, kode penyerang dapat dijalankan dengan hak administrator dan memungkinkan mereka mengontrol penuh host yang terinfeksi.
File package.json secara teratur digunakan dengan pustaka dan proyek JavaScript. JavaScript, dan terutama teknologi Node.js sisi servernya, adalah salah satu teknologi paling populer saat ini.
Pengguna Visual Studio Code disarankan untuk memperbarui aplikasi secepat mungkin ke versi terbaru.

Source : ZDnet