CISA

CISA memperingatkan bug Ruckus kritis yang digunakan untuk menginfeksi titik akses Wi-Fi

May 17, 2023 by Mally Leave a Comment

Cybersecurity and Infrastructure Security Agency (CISA) A.S. memperingatkan hari ini tentang kelemahan kritis eksekusi kode jarak jauh (RCE) di panel Ruckus Wireless Admin yang secara aktif dieksploitasi oleh botnet DDoS yang baru ditemukan.

Meskipun bug keamanan ini (CVE-2023-25717) telah diatasi pada awal Februari, banyak pemilik kemungkinan belum menambal titik akses Wi-Fi mereka. Selain itu, tidak ada tambalan yang tersedia bagi mereka yang memiliki model akhir masa pakainya yang terpengaruh oleh masalah ini.

Penyerang menyalahgunakan bug untuk menginfeksi AP Wi-Fi yang rentan dengan malware AndoryuBot (pertama kali terlihat pada Februari 2023) melalui permintaan HTTP GET yang tidak diautentikasi.

Setelah disusupi, perangkat ditambahkan ke botnet yang dirancang untuk meluncurkan serangan Distributed Denial-of-Service (DDoS).

Malware ini mendukung 12 mode serangan DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp- bypass, dan icmp-echo.

Penjahat dunia maya yang ingin meluncurkan serangan DDoS (Distributed Denial of Service) sekarang dapat menyewa daya tembak botnet AndoryuBot, karena operatornya menawarkan layanan mereka kepada orang lain.

Pembayaran untuk layanan ini diterima melalui layanan pembayaran seluler CashApp atau dalam berbagai cryptocurrency, termasuk XMR, BTC, ETH, dan USDT.

selengkapnya : bleepingcomputer

CISA Memperingatkan Bug Kritis Dalam Sistem Pengurutan DNA Illumina

May 4, 2023 by Mally

Badan Keamanan Infrastruktur Cybersecurity A.S. (CISA) dan FDA telah mengeluarkan peringatan darurat tentang dua kerentanan yang mempengaruhi Layanan Salinan Universal (UCS) Illumina, yang digunakan untuk pengurutan DNA di fasilitas medis dan laboratorium di seluruh dunia.

Kerentanan tersebut memungkinkan aktor jahat yang tidak diautentikasi dapat mengunggah dan mengeksekusi kode secara remote di tingkat sistem operasi, membuat penyerang dapat mengubah pengaturan, konfigurasi, perangkat lunak, atau mengakses data sensitif pada produk yang terpengaruh.

Illumina merupakan perusahaan teknologi medis di California yang mengembangkan dan memproduksi bioanalisis canggih dan mesin pengurutan DNA.

Penasehat oleh FDA mengatakan bahwa pada 5 April, Illumina mengirimkan pemberitahuan pada pelanggan yang terkena dampak, menginstruksikan mereka untuk mencari tanda-tanda potensi eksploitasi kerentanan.

Kerentanan pertama yaitu CVE-2023-1968 (skor CVSS v3: 10.0, “kritis”), memungkinkan penyerang jarak jauh mengikat ke alamat IP yang terbuka, memungkinkan penyerang yang tidak diautentikasi untuk mendengarkan semua lalu lintas jaringan untuk menemukan host yang lebih rentan di jaringan.

Sementara kerentanan kedua adalah CVE-2023-1966 (skor CVSS v3: 7.4, “tinggi”), merupakan kesalahan konfigurasi keamanan yang memungkinkan pengguna UCS untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

Beberapa produk Illumina yang terdampak membuatnya menerbitkan saran mengenai langkah apa yang harus diambil dalam setiap kasus. CISA turut merekomendasikan pengguna agar meminimalkan paparan sistem kontrol ke internet, menggunakan firewall, dan VPN saat diperlukan akses jarak jauh.

Selengkapnya: BleepingComputer

CISA Memperingatkan 5 Kelemahan Keamanan yang Dieksploitasi Secara Aktif: Diperlukan Tindakan Mendesak

April 12, 2023 by Mally

Badan Keamanan Siber dan Infrastruktur A.S. (CISA) pada hari Jumat menambahkan lima kelemahan keamanan ke dalam katalog Kerentanan Eksploitasi yang Diketahui (KEV), mengutip bukti eksploitasi aktif di alam liar.

Kerentanan yang diperbaiki dalam tambalan pada Maret 2021 oleh Veritas antara lain:
– CVE-2021-27876 (skor CVSS: 8.1): Kerentanan Akses File Veritas Backup Exec Agent
– CVE-2021-27877 (skor CVSS: 8.2): Veritas Backup Exec Agent Kerentanan Otentikasi Tidak Benar
– CVE-2021-27878 (skor CVSS: 8.8): Kerentanan Eksekusi Perintah Veritas Backup Exec Agent

Ini termasuk tiga kelemahan tingkat tinggi dalam perangkat lunak Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877, dan CVE-2021-27878) yang dapat menyebabkan eksekusi perintah hak istimewa pada sistem yang mendasarinya.

CISA juga menambahkan CVE-2019-1388 (skor CVSS: 7,8) ke katalog KEV, cacat eskalasi hak istimewa yang memengaruhi Dialog Sertifikat Microsoft Windows yang dapat dieksploitasi untuk menjalankan proses dengan izin yang lebih tinggi pada host yang sudah disusupi.

Kerentanan kelima yang termasuk dalam daftar adalah cacat pengungkapan informasi di Arm Mali GPU Kernel Driver (CVE-2023-26083) yang diungkapkan oleh Google Threat Analysis Group (TAG) sebagai disalahgunakan oleh vendor spyware, bagian dari eksploit rantai untuk membobol smartphone Android Samsung.

Agen Cabang Eksekutif Sipil Federal (FCEB) memiliki waktu hingga 28 April 2023, untuk menerapkan tambalan guna mengamankan jaringan mereka dari potensi ancaman.

Selengkapnya: The Hacker News

CISA Memerintahkan Lembaga untuk Menambal Bug yang Dieksploitasi untuk Menghilangkan Spyware

March 31, 2023 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) memerintahkan agen federal untuk menambal kerentanan keamanan yang dieksploitasi sebagai zero-days dalam serangan baru-baru ini untuk memasang spyware komersial di perangkat seluler.

Cacat tersebut disalahgunakan sebagai bagian dari beberapa rantai eksploitasi dalam dua kampanye terpisah yang menargetkan pengguna Android dan iOS, seperti yang baru-baru ini diungkapkan oleh Grup Analisis Ancaman (TAG) Google.

Terlihat bahwa pelaku ancaman menggunakan rantai eksploitasi terpisah untuk mengkompromikan perangkat iOS dan Android pada serangan pertama November 2022.

Sebulan kemudian, rantai kompleks beberapa zero-day dan n-day dieksploitasi untuk menargetkan ponsel Android Samsung yang menjalankan versi Browser Internet Samsung terbaru.

Muatan akhir adalah paket spyware untuk Android yang mampu mendekripsi dan mengekstraksi data dari berbagai aplikasi obrolan dan browser.

Kedua kampanye tersebut sangat ditargetkan, dan penyerang “mengambil keuntungan dari jeda waktu yang besar antara rilis perbaikan dan saat itu diterapkan sepenuhnya pada perangkat pengguna akhir,” menurut Clément Lecigne dari Google TAG.

Penemuan Google TAG didorong oleh temuan yang dibagikan oleh Lab Keamanan Amnesty International, yang juga menerbitkan rincian mengenai domain dan infrastruktur yang digunakan dalam serangan tersebut.

CISA hari ini menambahkan lima dari sepuluh kerentanan yang digunakan dalam dua kampanye spyware ke dalam katalog Known Exploited Vulnerabilities (KEV) antara lain CVE-2021-30900, CVE-2022-38181, CVE-2023-0266, CVE-2022-3038, dan CVE-2022-22706.

Badan keamanan siber memberikan waktu tiga minggu hingga 20 April kepada badan-badan Federal Civilian Executive Branch Agencies (FCEB) untuk menambal perangkat seluler yang rentan terhadap serangan potensial yang akan menargetkan lima kelemahan tersebut.

Selengkapnya: BleepingComputer

Produsen Teknologi Membiarkan Pintu Terbuka untuk Peretasan China, Easterly Memperingatkan

March 1, 2023 by Mally

Kepala Badan Keamanan Siber dan Infrastruktur pada Senin memperingatkan konsekuensi yang berpotensi mengerikan jika produsen teknologi gagal meningkatkan keamanan produk mereka.

Penyedia teknologi menormalkan perilaku menyimpang yang beroperasi di ambang batas kecelakaan, kata Direktur CISA Jen Easterly dalam pidatonya di Universitas Carnegie Mellon. Budaya industri yang terburu-buru produk ke pasar berbahaya bagi konsumen dan negara, katanya.

Easterly berharap serangan siber yang diluncurkan oleh China diberi tanggapan dan perhatian yang sama seperti serangan balon mata-mata baru-baru ini di wilayah udara AS.

Beban keamanan siber telah ditempatkan pada konsumen, organisasi kecil, tim TI, kepala petugas keamanan informasi (CISO) dan lainnya yang tidak dapat berbuat banyak terhadap penjahat siber berpengalaman dan negara-bangsa.

Alasan AS memiliki industri keamanan siber bernilai miliaran dolar saat ini adalah karena perusahaan belum diberi insentif untuk menyematkan produk mereka dengan fitur keamanan siber sejak awal desain mereka.

Easterly memperingatkan mengenai masa depan, di mana kekuatan dunia telah belajar dari kesalahan langkah perang siber Rusia di Ukraina dan telah menggabungkan serangan fisik dengan serangan siber yang dapat menyebabkan ledakan pipa gas, lumpuhnya transportasi A.S. sistem, dan hal buruk lainnya.

Selengkapnya: The Record

Ransomware AustraliaNewVarian ESXiArgs Baru Muncul Setelah CISA Merilis Alat Decryptor

February 13, 2023 by Mally

Setelah Cybersecurity and Infrastructure Security Agency (CISA) AS merilis dekripsi untuk korban yang terkena dampak untuk pulih dari serangan ransomware ESXiArgs, pelaku ancaman telah bangkit kembali dengan versi terbaru yang mengenkripsi lebih banyak data.

Dilaporkan oleh administrator sistem di forum online, varian baru ini memiliki file yang lebih besar dari 128MB akan memiliki 50% data terenkripsi, membuat proses pemulihan lebih menantang.

Perubahan penting lainnya adalah penghapusan alamat Bitcoin dari catatan tebusan. Penyerang mendesak korban untuk menghubungi mereka di Tox untuk mendapatkan informasi wallet.

Saatv peneliti sedang melacak pembayaran dan mungkin telah mengetahui sebelum merilis ransomware bahwa proses enkripsi dalam varian asli relatif mudah untuk dielakkan, pelaku ancaman mengetahui itu.

Sebanyak 1.252 server telah terinfeksi oleh versi baru ESXiArgs per 9 Februari 2023, 1.168 di antaranya adalah infeksi ulang. Dan lebih dari 3.800 host unik telah disusupi.

Sebagian besar infeksi berlokasi di Prancis, AS, Jerman, Kanada, Inggris, Belanda, Finlandia, Turki, Polandia, dan Taiwan.

Aspek penting yang membedakan ESXiArgs dari keluarga ransomware lainnya adalah tidak adanya situs kebocoran data, yang menunjukkan bahwa itu tidak berjalan di model ransomware-as-a-service (RaaS).

Total Host ESXiArgs yang Terinfeksi Kembali, 23 Feb 2023

Perusahaan keamanan siber Rapid7 menemukan 18.581 server ESXi yang terhubung ke internet yang rentan terhadap CVE-2021-21974.

Selengkapnya: The Hacker News

Ransomware ESXiArgs Mencapai Lebih Dari 3.800 Server Saat Hacker Terus Meningkatkan Malware

February 10, 2023 by Mally

Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.

Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.

Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.

Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.

Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.

Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.

Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.

Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.

VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.

Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.

Selengkapnya: Security Week

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

February 9, 2023 by Mally

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

CISA

Cookies Settings