Bug Bounty

Peneliti Menjatuhkan Lexmark RCE Zero-day Daripada Menjual Vuln ‘for peanuts’

February 2, 2023 by Coffee Bean

Seorang peneliti keamanan menghentikan rantai kerentanan eksekusi kode jarak jauh (RCE) zero-day yang memengaruhi printer Lexmark setelah mengklaim bahwa hadiah pengungkapan yang ditawarkan kepadanya “menggelikan”.

Peneliti independen Peter Geissler (@bl4sty) mengatakan bahwa pengungkapan bug secara publik, cacat zero-day pada saat rilis tetapi sekarang ditambal, lebih disukai daripada laporan yang dijual “untuk kacang”.

Dalam penasihat keamanan yang dirilis pada 23 Januari, Lexmark mengatakan masalah tersebut, dilacak sebagai CVE-2023-23560 (CVSSv3 9.0) dan dirilis di bawah satu penugasan CVE, memengaruhi lebih dari 100 model tetapi kini telah ditambal.

Perusahaan mengatakan tidak ada bukti penggunaan berbahaya di alam liar. Ketika didekati untuk memberikan komentar, Lexmark berkata: “Lexmark mengetahui detail kerentanan ini ketika diungkapkan kepada publik. Kami telah menyediakan tambalan kepada pelanggan kami.

Menurut peneliti, Lexmark tidak diberi tahu sebelum rilis zero-day karena dua alasan.

Pertama, Geissler ingin menyoroti bagaimana kontes Pwn2Own “rusak” dalam beberapa hal, seperti yang ditunjukkan saat hadiah uang rendah ditawarkan untuk “sesuatu yang berpotensi berdampak besar” – seperti rantai eksploit yang dapat membahayakan lebih dari 100 model printer.

Lebih lanjut, dia mengatakan bahwa proses keterbukaan informasi seringkali bertele-tele dan berbelit-belit.

selengkapnya : portswigger.net

Google Memperluas Bug Bounty ke Proyek Open Source-nya

August 31, 2022 by Eevee

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

Kerentanan yang mengarah pada kompromi rantai pasokan
Masalah desain yang menyebabkan kerentanan produk
Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

LockBit 3.0 memperkenalkan program hadiah bug ransomware pertama

June 28, 2022 by Eevee

Operasi ransomware LockBit telah merilis ‘LockBit 3.0,’ memperkenalkan program hadiah bug ransomware pertama dan membocorkan taktik pemerasan baru dan opsi pembayaran cryptocurrency Zcash.

Operasi ransomware diluncurkan pada 2019 dan sejak itu berkembang menjadi operasi ransomware paling produktif, terhitung 40% dari semua serangan ransomware yang diketahui pada Mei 2022.

Selama akhir pekan, geng kejahatan dunia maya merilis operasi ransomware-as-a-service (RaaS) yang diubah yang disebut LockBit 3.0 setelah pengujian beta selama dua bulan terakhir, dengan versi baru sudah digunakan dalam serangan.

Meskipun tidak jelas perubahan teknis apa yang dilakukan pada encryptor, catatan tebusan tidak lagi bernama ‘Restore-My-Files.txt’ dan sebagai gantinya telah dipindahkan ke format penamaan, [id].README.txt, seperti yang ditunjukkan di bawah ini.

Catatan tebusan LockBit 3.0
Sumber: BleepingComputer

Dengan dirilisnya LockBit 3.0, operasi tersebut telah memperkenalkan program bug bounty pertama yang ditawarkan oleh geng ransomware, meminta peneliti keamanan untuk mengirimkan laporan bug dengan imbalan hadiah berkisar antara $1.000 dan $1 juta.

Program hadiah bug LockBit 3.0
Sumber: BleepingComputer

Namun, program bug bounty ini sedikit berbeda dari yang biasa digunakan oleh perusahaan yang sah, karena membantu perusahaan kriminal akan ilegal di banyak negara.

Selain itu, LockBit tidak hanya menawarkan hadiah untuk hadiah atas kerentanan tetapi juga membayar hadiah untuk “ide cemerlang” dalam meningkatkan operasi ransomware dan untuk melakukan doxxing kepada manajer program afiliasi.

Berikut ini adalah berbagai kategori karunia bug yang ditawarkan oleh operasi LockBit 3.0:

Bug Situs Web: Kerentanan XSS, injeksi mysql, mendapatkan shell ke situs dan banyak lagi, akan dibayar tergantung pada tingkat keparahan bug, arah utama adalah untuk mendapatkan decryptor melalui situs web bug, serta akses ke riwayat korespondensi dengan perusahaan terenkripsi.
Locker Bugs: Setiap kesalahan selama enkripsi oleh loker yang menyebabkan file rusak atau kemungkinan mendekripsi file tanpa mendapatkan decryptor.
Doxing: Kami membayar tepat satu juta dolar, tidak lebih dan tidak kurang, untuk doxing bos program afiliasi. Baik Anda seorang agen FBI atau peretas yang sangat pintar yang tahu cara menemukan siapa pun, Anda dapat mengirimi kami pesan TOX, memberi kami nama bos Anda, dan mendapatkan $1 juta dalam bentuk bitcoin atau monero untuk itu.

Selengkapnya

Saat membuka situs Tor untuk negosiasi LockBit 3.0 dan situs kebocoran data, pengunjung disajikan dengan logo animasi dengan berbagai ikon mata uang kripto yang berputar di sekitarnya.

Ikon cryptocurrency yang ditampilkan dalam animasi ini adalah Monero dan Bitcoin, yang sebelumnya diterima oleh operasi sebagai pembayaran tebusan, tetapi juga mencakup koin privasi yang dikenal sebagai Zcash.

Perusahaan pelacakan Cryptocurrency dan penyitaan penegakan hukum telah berulang kali menunjukkan bahwa Bitcoin dapat dilacak, dan sementara Monero adalah koin privasi, itu tidak ditawarkan untuk dijual oleh sebagian besar pertukaran crypto AS.

Zcash juga merupakan koin privasi, membuatnya lebih sulit untuk dilacak. Namun, saat ini ditawarkan untuk dijual di bursa crypto AS paling populer, Coinbase, sehingga memudahkan korban untuk membeli untuk pembayaran uang tebusan.

Namun, jika operasi ransomware beralih ke menerima pembayaran dalam koin ini, kemungkinan besar kita akan melihatnya dihapus dari bursa AS karena tekanan dari pemerintah AS.

Valery Marchive dari LeMagIT menemukan bahwa operasi LockBit 3.0 menggunakan model pemerasan baru, yang memungkinkan pelaku ancaman untuk membeli data yang dicuri selama serangan.

Salah satu file JavaScript yang digunakan oleh situs kebocoran data LockBit 3.0 baru menunjukkan dialog modal HTML baru yang memungkinkan orang untuk membeli data yang bocor di situs tersebut.

Seperti yang Anda lihat di bawah, modals akan menawarkan kemampuan untuk membeli data dan mengunduhnya baik melalui Torrent atau langsung di situs. Opsi yang tersedia dapat ditentukan berdasarkan ukuran data yang dicuri, dengan Torrent digunakan untuk dump data besar dan unduhan langsung untuk jumlah yang lebih kecil.

Sumber JavaScript menunjukkan metode pemerasan data baru
Sumber: BleepingComputer

Karena situs kebocoran data LockBit 3.0 saat ini tidak mengandung korban, tidak jelas bagaimana taktik pemerasan baru ini akan bekerja atau apakah itu diaktifkan.

LockBit adalah salah satu operasi ransomware paling aktif, dengan operator yang menghadap publik secara aktif terlibat dengan pelaku ancaman lain dan komunitas keamanan siber.

Sumber: Bleeping Computer

GitHub bug bounties: pembayaran melonjak melewati $1,5 juta

June 30, 2021 by Winnie the Pooh

Lebih dari setengah juta dolar telah dikeluarkan sebagai hadiah bagi para peneliti yang berpartisipasi dalam program bug bounty GitHub selama setahun terakhir, sehingga total pembayaran menjadi lebih dari $1,5 juta.

Vendor milik Microsoft telah mengoperasikan Program Bug Bounty Keamanan GitHub selama tujuh tahun.

Program bug bounty sekarang menjadi cara umum bagi vendor untuk mendapatkan bantuan dari peneliti pihak ketiga dalam mengamankan produk dan layanan. Bertahun-tahun yang lalu, terkadang sulit untuk mengungkapkan bug secara pribadi dan banyak perusahaan tidak memiliki kontak atau portal khusus untuk laporan kerentanan — tetapi sekarang, hadiah kredit dan finansial sering ditawarkan.

Vendor mengatakan bahwa 2020 “adalah tahun tersibuk” untuk program GitHub.

“Dari Februari 2020 hingga Februari 2021, kami menangani volume pengiriman yang lebih tinggi daripada tahun sebelumnya,” kata GitHub.

Secara total, 1.066 laporan bug dikirimkan di seluruh program publik dan pribadi GitHub — yang terakhir difokuskan pada produk beta dan pra-rilis — sepanjang tahun, dan $524.250 diberikan untuk 203 kerentanan. Sejak 2016, saat GitHub meluncurkan program publiknya di HackerOne, hadiah kini telah mencapai $1.552.004.

GitHub juga beroperasi di bawah prinsip Safe Harbor, di mana bug bounty hunter yang mematuhi kebijakan pengungkapan yang bertanggung jawab, dilindungi dari segala potensi konsekuensi hukum dari penelitian mereka.

Selengkapnya: ZDNet

Pwn2Own 2021: Microsoft Exchange Server, macOS, Windows 10 dan Teams Diretas

April 8, 2021 by Winnie the Pooh

Hari pertama Pwn2Own 2021 sama sekali tidak membosankan. Kami telah melihat kontestan menarik berbagai bug di platform seperti server Microsoft Exchange, Teams, Ubuntu, Windows 10, macOS, dll. Pemenang hari pertama telah mendapatkan lebih dari setengah juta dan akan menargetkan lebih banyak perangkat lunak besok seperti Zoom, Safari , Firefox, Chrome, dll.

Untuk diketahui, Pwn2Own adalah acara peretasan yang diadakan setiap tahun, dua kali sejak baru-baru ini, untuk memunculkan bug di perangkat lunak populer yang menghadap pengguna. Tim merah dan peretas independen yang mengungkap bug serius akan diberikan hadiah uang tunai, dengan tim / orang terakhir mendapatkan Tesla Model 3 beserta bountynya.

Pwn2Own tahun ini memiliki awal yang baik, dengan tim dari berbagai grup keamanan siber meluncurkan perangkat lunak populer seperti Windows 10, Ubuntu, Microsoft Teams, dll. Tim Devcore telah memenangkan uang tunai $ 200.000 dan 20 poin Master of Pwn untuk mencapai akses RCE ke server Microsoft Exchange dengan mengeksploitasi dua bug bypass otentikasi dan eskalasi hak istimewa lokal.

selengkapnya :techdator.net

Kerentanan eksekusi kode jarak jauh ditemukan di platform seluler Starbucks

December 11, 2020 by Winnie the Pooh

Bug potensial eksekusi kode jarak jauh (RCE) telah ditambal di salah satu domain seluler Starbucks.

Raksasa kopi AS menjalankan platform bug bounty di HackerOne. Laporan kerentanan baru yang dikirimkan oleh Kamil “ko2sec” Onur Özkaleli, pertama kali dikirimkan pada 5 November dan dipublikasikan pada 9 Desember, menjelaskan masalah RCE yang ditemukan di mobile.starbucks.com.sg, sebuah platform untuk pengguna Singapura.

Menurut advisory, ko2sec menemukan endpoint .ashx di mobile.starbucks.com.sg yang dimaksudkan untuk menangani file gambar.

Namun, endpoint tidak membatasi upload jenis file, yang berarti penyerang yang menyalahgunakan masalah tersebut dan berpotensi mengupload file berbahaya lalu mengeksekusi kode arbitrer dari jarak jauh.

CVE belum dikeluarkan untuk kerentanan kritis tetapi skor keparahan 9,8 telah ditambahkan ke laporan.

RCE bukan satu-satunya pengajuan yang dibuat peneliti ke Starbucks. Pada bulan Oktober, Ko2sec menggambarkan eksploitasi pengambilalihan akun di situs web Starbucks Singapura yang disebabkan oleh open test environments.

Sangat memungkinkan untuk menargetkan pengguna dengan mengetahui alamat email mereka, melihat informasi pribadi mereka, dan bahkan menggunakan kredit apa pun yang dimuat di dompet akun mereka untuk melakukan pembelian.

Sumber: ZDNet

Bug PlayStation Now memungkinkan situs menjalankan kode berbahaya di PC Windows

December 8, 2020 by Winnie the Pooh

Bug keamanan yang ditemukan di aplikasi cloud gaming PlayStation Now (PS Now) Windows memungkinkan penyerang untuk mengeksekusi kode arbitrary pada perangkat Windows yang menjalankan versi aplikasi yang rentan.

Kerentanan yang ditemukan oleh bug bounty hunter Parsia Hakimian memengaruhi PS Now versi 11.0.2 dan sebelumnya di komputer yang menjalankan Windows 7 SP1 atau yang lebih baru.

Hakimian melaporkan bug PS Now pada 13 Mei 2020, melalui program bug bounty resmi PlayStation di HackerOne. PlayStation mengatasi bug tersebut dan menandai laporan bug tersebut sebagai ‘Terselesaikan’ satu bulan kemudian, pada 25 Juni 2020.

Hakimian menemukan bahwa, masalah keamanan kritis memungkinkan penyerang yang tidak berkepentingan meluncurkan serangan eksekusi kode jarak jauh (RCE) dengan menyalahgunakan kelemahan injeksi kode.

Untuk berhasil mengeksploitasi bug RCE, penyerang harus membujuk pengguna PS NOW yang perangkatnya ingin mereka targetkan untuk membuka situs yang dibuat khusus menggunakan tautan jahat yang disediakan melalui email phishing, forum, saluran Discord, dll.

Sumber: Bleeping Computer

Microsoft Menawarkan $100.000 Untuk Siapa Yang Dapat Meretas OS Linux Custom Mereka

May 7, 2020 by Winnie the Pooh

Microsoft menawarkan peretas hadiah sejumlah $100.000 jika mereka dapat merusak sistem keamanan OS Linux custom perusahaan tersebut. Raksasa software ini membangun versi Linux yang ringkas dan custom tahun lalu untuk OS Azure Sphere, yang dirancang untuk berjalan pada chip khusus untuk platform Internet of Things (IoT).

Program bug bounty ini adalah bagian dari tantangan penelitian tiga bulan yang berlangsung dari 1 Juni hingga 31 Agustus. “Kami akan memberikan hadiah hingga $100.000 untuk skenario tertentu dalam Tantangan Riset Keamanan Azure Sphere selama periode program,” jelas Sylvie Liu, manajer program keamanan di Pusat Respons Keamanan Microsoft.

Microsoft secara khusus mencari sekelompok peneliti keamanan untuk mencoba dan merusak keamanan OS Linux-nya. Para peneliti dapat mendaftar untuk menjadi bagian dari tantangan di sini.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Bug Bounty

Cookies Settings