Bug zero-day

Hacker Menguras ATM Bitcoin Sebesar $1,5 Juta dengan Mengeksploitasi Bug Zero-Day

March 23, 2023 by Flamango

Hacker meninggalkan pelanggan dalam bahaya kerugian yang tidak dapat dikembalikan, produsen kios mengungkapkannya.

Pencurian menargetkan ATM yang dijual oleh General Bytes, perusahaan dengan banyak lokasi di seluruh dunia. BATM atau ATM Bitcoin dapat dipasang di toserba dan bisnis lain untuk memungkinkan orang menukar bitcoin dengan mata uang lain dan sebaliknya. Pelanggan menghubungkan BATM ke server aplikasi crypto (CAS) yang dapat mereka kelola atau, hingga sekarang, yang dapat dikelola oleh General Bytes untuk mereka.

BATM menawarkan opsi yang memungkinkan pelanggan mengunggah video dari terminal ke CAS menggunakan mekanisme yang dikenal sebagai antarmuka server master.

Aktor ancaman tak dikenal mengeksploitasi kerentanan yang sebelumnya tidak diketahui, memungkinkannya menggunakan antarmuka ini untuk mengunggah dan menjalankan aplikasi Java berbahaya untuk melakukan pencurian. Kemudian ia menguras berbagai dompet panas sekitar $1,5 juta Bitcoin.

General Bytes menambal kerentanan 15 jam setelah mempelajarinya, tetapi karena cara kerja cryptocurrency, kerugian tidak dapat dipulihkan.

Pejabat General Bytes menulis bahwa seluruh tim bekerja keras untuk mengumpulkan semua data terkait pelanggaran keamanan dan terus bekerja menyelesaikan semua kasus untuk membantu klien kembali online dan terus mengoperasikan ATM mereka sesegera mungkin.

Ditulis juga permohonan maaf atas apa yang terjadi dan akan meninjau semua prosedur keamanan, dan saat ini sedang diupayakan untuk menjaga pelanggan yang terdampak tetap bertahan.

Praktisi keamanan telah lama menyarankan orang untuk menyimpan dana di dompet dingin yang tidak dapat diakses langsung ke Internet. Sayangnya, BATM dan jenis ATM cryptocurrency lainnya umumnya tidak dapat mengikuti praktik ini, menandakan bahwa BATM kemungkinan tetap menjadi target utama para hacker.

Selengkapnya: arsTECHNICA

Microsoft Patch Edisi Selasa, Februari 2023

February 15, 2023 by Flamango

Microsoft merilis tambalan untuk menyumbat lusinan lubang keamanan di sistem operasi Windows dan perangkat lunak lainnya. Patch Hari Valentine khusus tahun ini Selasa mencakup perbaikan untuk tiga kerentanan “nol hari” yang berbeda yang sudah digunakan dalam serangan aktif.

Penasihat keamanan Microsoft jarang memberikan detail tentang bug zero-day. Redmond menandai CVE-2023-23376 sebagai peningkatan penting dari kerentanan hak istimewa di Driver Sistem File Log Umum Windows, yang ada di sistem Windows 10 dan 11, serta banyak versi server Windows.

CVE-2023-21715 zero-day adalah kelemahan di Microsoft Office yang digambarkan Redmond sebagai kerentanan bypass fitur keamanan.

Microsoft mencantumkan ini sebagai eksploitasi aktif, tetapi mereka tidak memberikan info tentang seberapa luas eksploitasi ini.

Cacat zero-day ketiga yang sudah terlihat dieksploitasi adalah CVE-2023-21823, merupakan peningkatan lain dari kelemahan hak istimewa. Para peneliti di firma forensik keamanan siber Mandiant dikreditkan dengan melaporkan bug tersebut.

Microsoft memperbaiki kerentanan Office lainnya di CVE-2023-21716, merupakan bug Microsoft Word yang dapat menyebabkan eksekusi kode jarak jauh. Lubang keamanan ini memiliki skor keparahan (CVSS) 9,8 dari kemungkinan 10.

Redmond menambal tiga kelemahan Exchange Server (CVE-2023-21706, CVE-2023-21707, dan CVE-2023-21529), menurut Microsoft adalah kelemahan eksekusi kode jarak jauh yang kemungkinan besar akan dieksploitasi.

Microsoft mengatakan otentikasi diperlukan untuk mengeksploitasi bug ini, tetapi sekali lagi kelompok ancaman yang menyerang kerentanan Exchange juga cenderung melakukan phishing target untuk kredensial Exchange mereka.

Semua perangkat konsumen dan komersial yang tersisa yang belum dialihkan dari IE11 ke Microsoft Edge dialihkan dengan pembaruan Microsoft Edge. Pengguna tidak akan dapat membatalkan perubahan tersebut.

Harap pertimbangkan untuk mencadangkan data dan/atau mencitrakan sistem sebelum menerapkan pembaruan apa pun.

Selengkapnya: KrebsonSecurity

Apple Merilis Perbaikan Baru untuk iPhone zero-day yang Dieksploitasi oleh Hacker

February 14, 2023 by Flamango

Apple pada hari Senin merilis versi baru sistem operasi iPhone dan iPad untuk memperbaiki kerentanan yang dieksploitasi oleh hacker, yang berarti mereka memanfaatkannya untuk meretas perangkat Apple.

Di halaman pembaruan keamanan, Apple menulis bahwa menyadari laporan jika masalah ini mungkin telah dieksploitasi secara aktif. Ini adalah bahasa yang digunakan Apple saat seseorang memberitahu perusahaan bahwa mereka telah mengamati hacker mengeksploitasi bug terhadap target di dunia nyata, berlawanan dengan kerentanan yang ditemukan oleh peneliti di lingkungan yang terkendali.

Juru bicara Apple, Scott Radcliffe, mengatakan bahwa perusahaan tidak menambahkan apa pun selain dari apa yang ada di catatan rilis.

Bug terbaru ini ada di WebKit, mesin browser Apple yang digunakan di Safari, dan secara historis merupakan target populer bagi hacker, karena dapat membuka akses ke data perangkat lainnya.

Motherboard melaporkan bahwa hanya dalam empat bulan pertama tahun itu, Apple telah menambal tujuh bug yang dieksploitasi secara liar pada tahun 2021. Sejak itu, banyak hal telah membaik.

Hitungan kerentanan TechCrunch sejak Januari tahun lalu, menunjukkan sembilan bug di iOS yang mungkin telah dieksploitasi secara aktif.

Kemungkinan rata-rata pengguna iPhone akan menjadi sasaran zero-day seperti ini sangat kecil, tetapi ponsel harus tetap harus diperbarui.

Selengkapnya: TechCrunch+

Peretas Mencuri Crypto dari ATM Bitcoin dengan Mengeksploitasi Bug Zero-day

August 21, 2022 by Eevee

Peretas telah mengeksploitasi kerentanan zero-day di server ATM General Bytes Bitcoin untuk mencuri cryptocurrency dari pelanggan.

Ketika pelanggan akan menyetor atau membeli cryptocurrency melalui ATM, dana tersebut malah akan disedot oleh peretas

General Bytes adalah produsen ATM Bitcoin yang, bergantung pada produknya, memungkinkan orang untuk membeli atau menjual lebih dari 40 mata uang kripto yang berbeda.

ATM Bitcoin dikendalikan oleh Server Aplikasi Kripto (CAS) jarak jauh, yang mengelola operasi ATM, mata uang kripto apa yang didukung, dan melakukan pembelian dan penjualan mata uang kripto di bursa.

Peretas mengeksploitasi CAS zero-day

Kemarin, BleepingComputer dihubungi oleh pelanggan General Bytes yang memberi tahu kami bahwa peretas mencuri bitcoin dari ATM mereka.

“Kerentanan ini telah hadir dalam perangkat lunak CAS sejak versi 20201208.”

General Bytes percaya bahwa pelaku ancaman memindai internet untuk server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di Digital Ocean dan layanan cloud General Bytes sendiri.

Pelaku ancaman kemudian mengeksploitasi bug untuk menambahkan pengguna admin default bernama ‘gb’ ke CAS dan memodifikasi pengaturan crypto ‘beli’ dan ‘jual’ dan ‘alamat pembayaran tidak valid’ untuk menggunakan dompet cryptocurrency di bawah kendali peretas.

Setelah tindakan ancaman mengubah pengaturan ini, setiap cryptocurrency yang diterima oleh CAS diteruskan ke peretas sebagai gantinya.

“ATM dua arah mulai meneruskan koin ke dompet penyerang ketika pelanggan mengirim koin ke ATM,” jelas penasihat keamanan.

General Bytes memperingatkan pelanggan untuk tidak mengoperasikan ATM Bitcoin mereka sampai mereka menerapkan dua rilis patch server, 20220531.38 dan 20220725.22, di server mereka.

Mereka juga menyediakan daftar periksa langkah-langkah yang harus dilakukan pada perangkat sebelum digunakan kembali.

Penting untuk diingat bahwa pelaku ancaman tidak akan dapat melakukan serangan ini jika server di-firewall hanya untuk mengizinkan koneksi dari alamat IP tepercaya.

Oleh karena itu, sangat penting untuk mengonfigurasi firewall hanya untuk mengizinkan akses ke Server Aplikasi Kripto dari alamat IP tepercaya, seperti dari lokasi ATM atau kantor pelanggan.

Menurut informasi yang diberikan oleh BinaryEdge, saat ini ada delapan belas Server Aplikasi Crypto Bytes Umum yang masih terhubung ke Internet, dengan mayoritas berlokasi di Kanada.

Tidak jelas berapa banyak server yang dilanggar menggunakan kerentanan ini dan berapa banyak cryptocurrency yang dicuri.

BleepingComputer menghubungi General Bytes kemarin dengan pertanyaan lebih lanjut tentang serangan itu tetapi tidak menerima tanggapan.

Sumber: BleepingComputer

Jenkins Mengungkap Lusinan Bug Zero-Day di Beberapa Plugin

July 2, 2022 by Eevee

Pada hari Kamis, tim keamanan Jenkins mengumumkan 34 kerentanan keamanan yang memengaruhi 29 plugin untuk server otomatisasi open source Jenkins, 29 dari bug tersebut masih dalam keadaan zero-days yang masih menunggu untuk ditambal.

Jenkins adalah platform yang sangat populer (dengan dukungan untuk lebih dari 1.700 plugin) yang digunakan oleh perusahaan di seluruh dunia untuk membangun, menguji, dan menerapkan perangkat lunak.

Skor dasar CVSS zero-days berkisar dari tingkat keparahan rendah hingga tinggi, dan, menurut statistik Jenkins, plugin yang terpengaruh memiliki total lebih dari 22.000 pemasangan.

Daftar lengkap kelemahan yang belum ditambal termasuk XSS, XSS Tersimpan, bug Pemalsuan Permintaan Lintas Situs (CSRF), pemeriksaan izin yang hilang atau salah, serta kata sandi, rahasia, kunci API, dan token yang disimpan dalam teks biasa.

Untungnya, sebagian besar yang berbahaya, zero-days dengan tingkat keparahan tinggi, memerlukan interaksi pengguna untuk dieksploitasi dalam serangan dengan kompleksitas rendah oleh penyerang jarak jauh dengan hak istimewa yang rendah.

Berdasarkan data Shodan, saat ini ada lebih dari 144.000 server Jenkins yang terpapar Internet yang dapat menjadi sasaran serangan jika menjalankan plugin yang belum ditambal.

Sementara tim Jenkins telah menambal empat plugin (yaitu, GitLab, plugin permintaan, Hasil TestNG, Rilis XebiaLabs XL), masih ada daftar panjang plugin yang rentan, termasuk:

Build Notifications Plugin hingga dan termasuk 1.5.0
build-metrics Plugin hingga dan termasuk 1.3
Cisco Spark Plugin hingga dan termasuk 1.1.1
Deployment Dashboard Plugin hingga dan termasuk 1.0.10
Elasticsearch Query Plugin hingga dan termasuk 1.2
eXtreme Feedback Panel Plugin hingga dan termasuk 2.0.1

“Pada publikasi nasihat ini, tidak ada perbaikan,” kata tim keamanan Jenkins ketika menjelaskan kerentanan yang belum ditambal.

Meskipun tidak ada kerentanan yang merupakan kerentanan kritis yang dapat membuat pelaku ancaman mengeksekusi kode atau perintah dari jarak jauh pada server yang rentan untuk mengambil alih, mereka dapat menjadi sasaran dalam serangan terhadap jaringan perusahaan.

Ini bukan pertama kalinya terjadi sejak server Jenkins yang belum ditambal telah dikompromikan sebelumnya untuk menambang cryptocurrency Monero.

Namun, penyerang potensial kemungkinan besar akan mengeksploitasi zero-days ini dalam serangan pengintaian yang memungkinkan mereka mendapatkan lebih banyak wawasan tentang infrastruktur perusahaan yang ditargetkan.

Selengkapnya: BleepingComputer

Bug zero-day Sophos Firewall dieksploitasi beberapa minggu sebelum diperbaiki

June 17, 2022 by Eevee

Peretas China menggunakan eksploitasi zero-day untuk kerentanan tingkat kritis di Sophos Firewall untuk menyusup ke perusahaan dan menembus server web yang dihosting cloud yang dioperasikan oleh korban.

Masalah keamanan telah diperbaiki sementara itu tetapi berbagai pelaku ancaman terus mengeksploitasinya untuk melewati otentikasi dan menjalankan kode arbitrer dari jarak jauh di beberapa organisasi.

Pada tanggal 25 Maret, Sophos menerbitkan nasihat keamanan tentang CVE-2022-1040, kerentanan bypass otentikasi yang memengaruhi Portal Pengguna dan Webadmin dari Sophos Firewall dan dapat dieksploitasi untuk mengeksekusi kode arbitrer dari jarak jauh.

Tiga hari kemudian, perusahaan memperingatkan bahwa pelaku ancaman memanfaatkan masalah keamanan untuk menargetkan beberapa organisasi di kawasan Asia Selatan.

Minggu ini, perusahaan keamanan siber Volexity merinci serangan dari kelompok ancaman persisten canggih China yang mereka lacak sebagai DriftingCloud, yang mengeksploitasi CVE-2022-1040 sejak awal Maret, sedikit lebih dari tiga minggu sebelum Sophos merilis patch.

Musuh menggunakan eksploitasi zero-day untuk mengkompromikan firewall untuk menginstal backdoor webshell dan malware yang akan memungkinkan kompromi sistem eksternal di luar jaringan yang dilindungi oleh Sophos Firewall.

DriftingCloud APT mengeksploitasi bug zero-day di Sophos Firewall (sumber: Volexity)

Ketika Volexity memulai penyelidikan, pelaku ancaman masih aktif dan para peneliti dapat memantau langkah-langkah serangan, mengungkapkan musuh canggih yang berusaha untuk tetap tidak terdeteksi.

Para peneliti mencatat bahwa penyerang mencoba memadukan lalu lintasnya dengan mengakses webshell yang diinstal melalui permintaan ke file “login.jsp” yang sah.

Menggali lebih dalam, para peneliti menemukan bahwa penyerang menggunakan kerangka Behinder, yang mereka yakini juga digunakan oleh grup APT China lainnya yang mengeksploitasi CVE-2022-26134 di server Confluence.

Terlepas dari webshell, Volexity menemukan lebih banyak aktivitas jahat yang memastikan kegigihan dan memungkinkan aktor ancaman untuk melakukan serangan lebih jauh:

Membuat akun pengguna VPN dan mengaitkan pasangan sertifikat di firewall untuk akses jaringan jarak jauh yang sah
Menulis “pre_install.sh” ke ‘/conf/certificate/’
“pre_install.sh” menjalankan perintah jahat untuk mengunduh biner, menjalankannya, lalu menghapusnya dari disk

Para peneliti mengatakan bahwa mendapatkan akses ke Sophos Firewall adalah langkah pertama serangan, memungkinkan musuh untuk melakukan aktivitas man-in-the-middle (MitM) dengan cara memodifikasi respons DNS untuk situs web tertentu yang dikelola oleh perusahaan korban.

Tampaknya penyerang berhasil dalam upaya ini karena mereka mengakses halaman admin CMS menggunakan cookie sesi yang dicuri dan menginstal plugin File Manager untuk menangani file di situs web (mengunggah, mengunduh, menghapus, mengedit).

Begitu mereka mendapatkan akses ke server web, peretas DriftingCloud memasang PupyRAT, Pantegana, dan Sliver – tiga keluarga malware untuk akses jarak jauh yang tersedia untuk umum.

Volexity menilai bahwa grup peretasan DriftingCloud cukup canggih untuk mengembangkan kerentanan zero-day, atau cukup dana untuk membelinya.

Sophos menyediakan hotfix yang menangani CVE-2022-1040 secara otomatis serta mitigasi yang membantu organisasi yang menggunakan firewallnya melindungi dari eksploitasi kerentanan.

Untuk mengidentifikasi serangan serupa, Volexity merekomendasikan penggunaan mekanisme pemantauan keamanan jaringan yang mendeteksi dan mencatat lalu lintas dari perangkat gateway.

Perusahaan juga merekomendasikan penggunaan alat auditd pada server berbasis Unix untuk menyelidiki kompromi dengan lebih mudah. Vendor atau perangkat perimeter juga harus menyediakan metode untuk memeriksa potensi kompromi.

Volexity juga menyediakan seperangkat aturan YARA yang dapat menandai aktivitas mencurigakan dari jenis serangan ini.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Bug zero-day

Peretas mengeksploitasi CAS zero-day

Cookies Settings