AWS

Lebih dari 1.800 Aplikasi Android dan iOS Ditemukan Membocorkan Kredensial AWS Hard-Coded

September 2, 2022 by Eevee

Para peneliti telah mengidentifikasi 1.859 aplikasi di Android dan iOS yang berisi kredensial Amazon Web Services (AWS) hard-coded, yang menimbulkan risiko keamanan besar.

“Lebih dari tiga perempat (77%) aplikasi berisi token akses AWS yang valid yang memungkinkan akses ke layanan cloud AWS pribadi,” tim Threat Hunter Symantec, bagian dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.

Menariknya, sedikit lebih dari 50% aplikasi ditemukan menggunakan token AWS yang sama dengan yang ditemukan di aplikasi lain yang dikelola oleh pengembang dan perusahaan lain, yang menunjukkan kerentanan rantai pasokan.

Kredensial ini biasanya digunakan untuk mengunduh sumber daya yang sesuai yang diperlukan untuk fungsi aplikasi serta mengakses file konfigurasi dan mengautentikasi ke layanan cloud lainnya.

Lebih buruk lagi, 47% dari aplikasi yang diidentifikasi berisi token AWS valid yang memberikan akses lengkap ke semua file pribadi dan bucket Amazon Simple Storage Service (S3) di cloud. Ini termasuk file infrastruktur, dan cadangan data, antara lain.

Dalam satu contoh yang ditemukan oleh Symantec, sebuah perusahaan B2B yang tidak disebutkan namanya yang menawarkan platform intranet dan komunikasi yang juga menyediakan perangkat pengembangan perangkat lunak seluler (SDK) kepada pelanggannya memiliki kunci infrastruktur cloud yang tertanam di SDK untuk mengakses layanan terjemahan.

Hal ini mengakibatkan terbukanya semua data pribadi pelanggannya, yang mencakup data perusahaan dan catatan keuangan milik lebih dari 15.000 perusahaan menengah hingga besar.

“Alih-alih membatasi token akses hard-code untuk digunakan dengan layanan cloud terjemahan, siapa pun yang memiliki token memiliki akses penuh tanpa batas ke semua layanan cloud AWS perusahaan B2B,” catat para peneliti.

Selain itu ditemukan juga lima aplikasi perbankan iOS yang mengandalkan AI Digital Identity SDK yang sama yang berisi kredensial cloud, yang secara efektif membocorkan lebih dari 300.000 informasi sidik jari pengguna.

Perusahaan keamanan siber mengatakan telah memberi tahu organisasi tentang masalah yang ditemukan di aplikasi mereka.

Perkembangan ini terjadi ketika para peneliti dari CloudSEK mengungkapkan bahwa 3.207 aplikasi seluler mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.

Sumber: The Hackernews

GitHub: Bagaimana token OAuth yang dicuri membantu menembus lusinan organisasi

April 28, 2022 by Eevee

GitHub telah membagikan garis waktu pelanggaran keamanan bulan ini ketika seorang aktor ancaman memperoleh akses ke dan mencuri repositori pribadi milik lusinan organisasi.

Penyerang menggunakan token aplikasi OAuth curian yang dikeluarkan untuk Heroku dan Travis-CI untuk melanggar akun pelanggan GitHub.com dengan integrasi aplikasi OAuth Heroku atau Travis CI resmi.

Chief Security Officer GitHub Mike Hanley mengatakan perusahaan belum menemukan bukti bahwa sistemnya telah dibobol sejak insiden itu pertama kali ditemukan pada 12 April 2022.

GitHub masih bekerja untuk memperingatkan semua pengguna dan organisasi yang terkena dampak, dengan perusahaan sedang dalam proses mengirimkan pemberitahuan terakhir kepada pengguna GitHub.com yang terpengaruh mulai hari ini.

Analisis perilaku penyerang, sementara ia memiliki akses ke akun Github yang disusupi, menunjukkan bahwa aktivitas berikut dilakukan di GitHub.com menggunakan token aplikasi OAuth yang dicuri:

Penyerang mengautentikasi ke GitHub API menggunakan token OAuth curian yang dikeluarkan untuk Heroku dan Travis CI.
Bagi kebanyakan orang yang memiliki aplikasi Heroku atau Travis CI OAuth yang terpengaruh yang diotorisasi di akun GitHub mereka, penyerang mencantumkan semua organisasi pengguna.
Penyerang kemudian secara selektif memilih target berdasarkan organisasi yang terdaftar.
Penyerang mendaftarkan repositori pribadi untuk akun pengguna yang diminati.
Penyerang kemudian melanjutkan untuk mengkloning beberapa repositori pribadi tersebut.

GitHub mengungkapkan pelanggaran pada malam tanggal 15 April, tiga hari setelah menemukan serangan itu, ketika aktor jahat mengakses infrastruktur produksi npm GitHub.

Pada tahap awal serangan, pelaku ancaman menggunakan kunci API AWS yang dikompromikan yang diperoleh setelah mengunduh beberapa repositori npm pribadi menggunakan token pengguna OAuth yang dicuri.

Sementara GitHub, Travis CI, dan Heroku telah mencabut semua token OAuth untuk memblokir akses lebih lanjut setelah menemukan serangan tersebut, organisasi yang terpengaruh disarankan untuk terus memantau log audit dan log keamanan akun pengguna mereka untuk aktivitas yang berpotensi berbahaya yang terkait dengan insiden ini.

GitHub membagikan panduan berikut kepada pelanggan yang berpotensi terkena dampak untuk membantu mereka menyelidiki log untuk bukti eksfiltrasi data atau aktivitas berbahaya:

Tinjau semua repositori pribadi Anda untuk mengetahui rahasia atau kredensial yang tersimpan di dalamnya. Ada beberapa alat yang dapat membantu tugas ini, seperti pemindaian rahasia GitHub dan trufflehog.
Tinjau aplikasi OAuth yang telah Anda otorisasi untuk akun pribadi Anda atau yang diotorisasi untuk mengakses organisasi Anda dan hapus apa pun yang tidak lagi diperlukan.
Ikuti panduan GitHub untuk memperkuat postur keamanan organisasi GitHub Anda.
Tinjau aktivitas akun Anda, token akses pribadi, aplikasi OAuth, dan kunci SSH untuk aktivitas atau perubahan apa pun yang mungkin berasal dari penyerang.

Sumber: Bleeping Computer

Hot Patch Log4Shell AWS Rentan Terhadap Pelarian Kontainer dan Eskalasi Hak Istimewa

April 20, 2022 by Eevee

Setelah Log4Shell, AWS merilis beberapa solusi hot patch yang memantau aplikasi Java yang rentan dan kontainer Java dan menambalnya dengan cepat. Setiap solusi sesuai dengan lingkungan yang berbeda, meliputi server mandiri, kluster Kubernetes, kluster Elastic Container Service (ECS) dan Fargate. Hot patch tidak eksklusif untuk lingkungan AWS dan dapat diinstal ke cloud atau lingkungan lokal apa pun.

Peneliti Unit 42 mengidentifikasi masalah keamanan yang parah dalam solusi patching ini dan bermitra dengan AWS untuk memulihkannya. Setelah menginstal layanan patch ke server atau cluster, setiap kontainer di lingkungan itu dapat memanfaatkannya untuk mengambil alih host yang mendasarinya. Misalnya, jika Anda menginstal hot patch ke kluster Kubernetes, setiap kontainer di kluster Anda sekarang dapat melarikan diri sampai Anda menonaktifkan hot patch-nya atau meningkatkan ke versi tetap. Selain kontainer, proses yang unprivilege juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root.

Kontainer dapat lolos terlepas mereka menjalankan aplikasi Java atau host menjalankan Bottlerocket, distribusi Linux AWS yang mengeras untuk kontainer. Kontainer yang berjalan dengan nama pengguna atau sebagai pengguna non-root juga terpengaruh. Unit 42 menugaskan CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 dan CVE-2022-0071 untuk melacak kerentanan.

AWS merilis versi tetap untuk setiap solusi patch panas pada 19 April:

Versi 1.1-16 dari paket log4j-cve-2021-44228-hotpatch, yang menggabungkan layanan hot patch.
Versi 1.1-16 dari kubernetes-log4j-cve-2021-44228-node-agent Daemonset, yang menginstal paket yang diperbarui.
Versi 1.02 dari Hotdog, solusi hot patch untuk host Bottlerocket berdasarkan kait Open Container Initiative (OCI).

Unit 42 menyarankan siapa saja yang menginstal salah satu hot patch ini untuk meningkatkan ke versi tetap. Perhatikan bahwa mulai dari 17 Desember 2021, paket JDK (instalasi Java) di Amazon Linux secara otomatis menginstal paket log4j-cve-2021-44228-hotpatch. Atau, pengguna yang yakin aplikasi mereka ditambal terhadap Log4Shell dapat menonaktifkan layanan hot patch mengikuti instruksi di bagian mitigasi di bawah ini.

Prisma Cloud mendeteksi paket patch panas dan akan memperingatkan host yang menjalankan versi rentan.

Selengkapnya: Paloalto Networks

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

February 16, 2022 by Eevee

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Semua DNS Anda adalah milik kami: AWS dan Google Cloud mematikan kerentanan mata-mata

August 9, 2021 by Winnie the Pooh

Hingga Februari tahun ini, layanan DNS Amazon Route53 menawarkan kemampuan penyadapan jaringan yang sebagian besar tidak dihargai. Dan opsi mata-mata yang tidak berdokumen ini juga tersedia di Google Cloud DNS dan setidaknya satu penyedia DNS-as-a-service lainnya.

Dalam presentasi awal pekan ini di konferensi keamanan Black Hat USA 2021 di Las Vegas, Nevada, Shir Tamari dan Ami Luttwak dari perusahaan keamanan Wiz, menjelaskan bagaimana mereka menemukan kelemahan pembajakan server nama DNS yang memungkinkan mereka untuk memata-matai lalu lintas DNS dinamis pelanggan lain.

“Kami menemukan celah sederhana yang memungkinkan kami untuk mencegat sebagian lalu lintas DNS dinamis di seluruh dunia melalui penyedia DNS terkelola seperti Amazon dan Google,” jelas Tamari dalam sebuah posting blog. “Pada dasarnya, kami ‘menyadap’ lalu lintas jaringan internal dari 15.000 organisasi (termasuk perusahaan Fortune 500 dan lembaga pemerintah) dan jutaan perangkat.”

Tamari dan Luttwak menemukan berbagai data sensitif selama percobaan mereka, termasuk nama komputer, nama karyawan, lokasi kantor, dan informasi tentang sumber daya web organisasi yang terbuka. Misalnya, mereka mengklaim telah mengidentifikasi perusahaan yang tampaknya melanggar sanksi perdagangan AS. Musuh jahat dapat menggunakan data ini untuk membantu meluncurkan serangan jaringan.

Menurut Tamari, Amazon dan Google telah memperbaiki masalah ini di layanan DNS masing-masing, tetapi penyedia layanan DNS lainnya mungkin masih rentan. Para peneliti mengatakan tiga dari enam penyedia DNS-as-a-service yang mereka temukan rentan.

Selengkapnya: The Register

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

January 9, 2021 by Winnie the Pooh

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Highlight dari Unit 42 Cloud Threat Report, 2H 2020

November 19, 2020 by Winnie the Pooh

Dalam Laporan Ancaman Cloud dari Unit 42 edisi 2H 2020, para peneliti melakukan Red Team exercise, memindai data cloud publik, dan menarik data milik Palo Alto Networks untuk menjelajahi lanskap ancaman dari identitas dan manajemen akses (IAM) dan mengidentifikasi di mana organisasi dapat meningkatkan konfigurasi IAM mereka.

Selama Red Team exercise, peneliti Unit 42 dapat menemukan dan memanfaatkan kesalahan konfigurasi IAM untuk mendapatkan akses admin ke seluruh lingkungan cloud Amazon Web Services (AWS) – potensi pelanggaran data jutaan dolar di dunia nyata.

Para peneliti berhasil mengeksploitasi IAM role trust policy “AssumeRole” yang salah dikonfigurasi untuk mendapatkan akses sementara ke resource sensitif.

Kebijakan yang salah dikonfigurasi memungkinkan setiap pengguna AWS yang tidak berada di akun untuk mengambil peran dan mendapatkan token akses. Hal ini dapat mengakibatkan sejumlah serangan terhadap organisasi, termasuk denial-of-service (DoS) dan ransomware, atau bahkan membuka pintu untuk advanced persistent threat (APT).

Peneliti Unit 42 menemukan bahwa 75% organisasi di Jepang dan Asia-Pasifik (JAPAC), serta 74% organisasi di Eropa, Timur Tengah, dan Afrika (EMEA), menggunakan Google Cloud untuk menjalankan workloads dengan hak istimewa admin.

Sebaliknya, hanya 54% organisasi di Amerika yang menjalankan jenis hak istimewa yang sama. Ini adalah praktik terbaik untuk menjalankan workloads dengan prinsip hak istimewa paling rendah – membatasi izin untuk pengguna seminimal yang mereka butuhkan.

Jika penyerang dapat membahayakan workload dengan hak istimewa admin, penyerang akan mendapatkan tingkat akses yang sama. Ini menyediakan jalur yang mudah bagi penyerang untuk menggunakan sumber daya cloud untuk melakukan serangan, seperti operasi cryptojacking, dengan mengorbankan organisasi.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Unit 42 Paloalto

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

November 19, 2020 by Winnie the Pooh

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

AWS

Cookies Settings