CISA

CISA Memperingatkan Bug ManageEngine RCE Kritis yang Dieksploitasi dalam Serangan

January 24, 2023 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan eksekusi kode remote (RCE) yang mempengaruhi sebagian besar produk Zoho ManageEngine ke katalog bugnya yang diketahui dieksploitasi secara liar.

Cacat keamanan ini dilacak sebagai CVE-2022-47966 dan telah ditambal dalam beberapa gelombang mulai 27 Oktober 2022.

Pelaku ancaman yang tidak diautentikasi dapat mengeksploitasi jika sistem masuk tunggal (SSO) berbasis SAML diaktifkan.

Peneliti keamanan Horizon3 merilis analisis teknis dengan kode exploit proof-of-concept (PoC) dan memperingatkan serangan ‘spray and pray’ yang masuk.

Ditemukan lebih dari 8.300 instans ServiceDesk Plus dan Endpoint Central yang terpapar Internet dan sekitar 10% diantaranya diperkirakan rentan.

Berapa perusahaan keamanan siber memperingatkan bahwa instans ManageEngine yang belum ditambal yang diekspos secara online kini ditargetkan dengan eksploitasi CVE-2022-47966 dalam serangan berkelanjutan.

Dihimbau untuk Mengutamakan Patching
Berdasarkan arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada November 2021, semua agen Federal Civilian Executive Branch Agencies (FCEB) harus menambal sistem mereka terhadap bug yang dieksploitasi secara aktif ini setelah ditambahkan ke katalog CISA’s Known Exploited Vulnerabilities (KEV).

Agensi keamanan siber juga mendesak semua organisasi dari sektor swasta dan publik untuk memprioritaskan menambal kerentanan ini.

Pada bulan September, CISA memerintahkan agen federal untuk menambal kelemahan kritis lainnya (CVE-2022-35405) di beberapa produk Zoho ManageEngine yang memungkinkan eksekusi kode remote yang tidak diautentikasi setelah eksploitasi berhasil.

Selengkapnya: BleepingComputer

Hive ransomware memeras $100 juta dari lebih dari 1.300 korban

November 18, 2022 by Mally

Biro Investigasi Federal (FBI) mengatakan bahwa geng ransomware Hive yang terkenal telah berhasil memeras sekitar $100 juta dari lebih dari seribu perusahaan sejak Juni 2021.

FBI juga mengatakan bahwa geng Hive akan menyebarkan muatan ransomware tambahan pada jaringan korban yang menolak membayar uang tebusan.

“Hive November 2022, aktor ransomware Hive telah menjadi korban lebih dari 1.300 perusahaan di seluruh dunia, menerima sekitar US$100 juta sebagai pembayaran uang tebusan, menurut informasi FBI,” ungkap FBI.

Daftar korban termasuk organisasi dari berbagai industri dan sektor infrastruktur penting seperti fasilitas pemerintah, komunikasi, dan teknologi informasi, dengan fokus pada entitas Kesehatan dan Kesehatan Masyarakat (HPH).

Ini terungkap dalam penasehat bersama yang diterbitkan hari ini dengan Cybersecurity and Infrastructure Security Agency (CISA) dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Penasihat hari ini dikeluarkan untuk membagikan indikator kompromi Hive (IOC) dan taktik, teknik, dan prosedur (TTP) yang ditemukan oleh FBI saat menyelidiki serangan ransomware Hive.

Meskipun pengiriman ke platform ID Ransomware tidak menyertakan semua serangan ransomware Hive, para korban telah mengirimkan lebih dari 850 sampel sejak awal tahun, banyak di antaranya didorong menyusul lonjakan besar aktivitas antara akhir Maret dan pertengahan April.

Sementara tiga agen federal di belakang penasehat tidak mendorong pembayaran uang tebusan karena kemungkinan besar akan mendorong pelaku ancaman lain untuk bergabung dengan serangan ransomware, para korban didesak untuk melaporkan serangan Hive ke kantor lapangan FBI lokal mereka atau ke CISA di report@cisa. gov terlepas dari apakah mereka membayar uang tebusan atau tidak.

Ini akan membantu penegak hukum mengumpulkan informasi penting yang diperlukan untuk melacak aktivitas operasi ransomware, mencegah serangan tambahan, atau meminta pertanggungjawaban penyerang atas tindakan mereka.

FBI juga merilis indikator tambahan kompromi dan detail teknis yang terkait dengan serangan ransomware Hive pada Agustus 2021.

Hive adalah operasi Ransomware-as-a-Service (RaaS) yang aktif setidaknya sejak Juni 2021, dengan beberapa anggotanya diketahui telah bekerja untuk Hive dan geng kejahatan dunia maya Conti secara bersamaan setidaknya selama enam bulan, mulai November 2021.

Sumber: Bleeping Computer

CISA memerintahkan agensi untuk menambal Windows zero-day baru yang digunakan dalam serangan

July 13, 2022 by Mally Leave a Comment

CISA telah menambahkan kerentanan eskalasi hak istimewa lokal yang dieksploitasi secara aktif di Windows Client/Server Runtime Subsystem (CSRSS) ke daftar bug yang disalahgunakan di alam liar.

Kelemahan keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-22047) berdampak pada platform Windows server dan klien, termasuk rilis Windows 11 dan Windows Server 2022 terbaru.

Microsoft telah menambalnya sebagai bagian dari Patch Juli 2022 Selasa, dan mengklasifikasikannya sebagai zero-day karena disalahgunakan dalam serangan sebelum perbaikan tersedia.

Redmond mengatakan kerentanan itu ditemukan secara internal oleh Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Security Response Center (MSRC).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 2 Agustus, untuk menambal kerentanan CVE-2022-22047 yang dieksploitasi secara aktif dan memblokir serangan yang sedang berlangsung yang dapat menargetkan sistem mereka.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk mengamankan jaringan mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi di seluruh AS untuk memperbaiki peningkatan bug hak istimewa CSRSS Windows ini untuk menggagalkan upaya penyerang untuk meningkatkan hak istimewa pada sistem Windows yang belum ditambal.

Sejak BOD 22-01 diterbitkan, CISA telah menambahkan ratusan kerentanan keamanan ke daftar bug yang dieksploitasi dalam serangan, memerintahkan agen federal AS untuk menambal sistem mereka sesegera mungkin untuk mencegah pelanggaran.

Sumber: Bleeping Computer

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

June 30, 2022 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer

CISA memperingatkan organisasi untuk beralih ke Exchange Online Modern Auth hingga Oktober

June 30, 2022 by Mally

CISA telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Exchange Microsoft untuk mempercepat peralihan dari metode otentikasi warisan Otentikasi Dasar tanpa dukungan otentikasi multifaktor (MFA) ke alternatif Otentikasi Modern.

Basic Auth (otentikasi proxy) adalah skema autentikasi berbasis HTTP yang digunakan oleh aplikasi untuk mengirim kredensial dalam teks biasa ke server, titik akhir, atau layanan online.

Alternatifnya, Modern Auth (Active Directory Authentication Library dan otentikasi berbasis token OAuth 2.0), menggunakan token akses OAuth dengan masa pakai terbatas yang tidak dapat digunakan kembali untuk mengautentikasi sumber daya lain selain yang dikeluarkan untuknya.

Aplikasi yang menggunakan Auth Dasar memungkinkan penyerang untuk menebak kredensial dalam serangan semprotan kata sandi atau menangkapnya dalam serangan man-in-the-middle melalui TLS. Lebih buruk lagi, saat menggunakan autentikasi dasar, otentikasi multifaktor (MFA) cukup rumit untuk diaktifkan, dan, akibatnya, sering kali tidak digunakan sama sekali.

Agen Federal Civilian Executive Branch (FCEB) juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth, yang menurut Microsoft, akan mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing yang berhasil.

Menurut panduan CISA, ini dapat dilakukan dengan membuat kebijakan otentikasi untuk semua kotak surat Exchange Online dari Halaman Auth Modern Pusat Admin M365 (detail di sini) atau kebijakan Akses Bersyarat di Azure Active Directory (AAD) menggunakan Pusat Admin AAD (petunjuk di sini).

Peringatan CISA muncul setelah Microsoft juga mengingatkan pelanggan pada bulan Mei bahwa mereka akan mulai menonaktifkan Otentikasi Dasar di penyewa acak di seluruh dunia mulai 1 Oktober 2022.

Microsoft pertama kali mengumumkan bahwa mereka akan menonaktifkan Autentikasi Dasar di Exchange Online untuk semua protokol di semua penyewa pada September 2021.

Redmond berencana untuk menonaktifkan Basic Auth untuk protokol MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, dan Remote PowerShell.

Sementara SMTP AUTH telah dinonaktifkan di jutaan penyewa yang tidak menggunakannya, Microsoft mengatakan tidak akan menonaktifkannya di tempat yang masih digunakan.

Laporan Guardicore yang diterbitkan pada September 2021 lebih jauh menyoroti pentingnya memindahkan pengguna Exchange Online dari autentikasi dasar.

Amit Serper, AVP Riset Keamanan Guardicore pada saat itu, mengungkapkan bagaimana ratusan ribu kredensial domain Windows bocor dalam teks biasa ke domain eksternal oleh klien email yang salah dikonfigurasi menggunakan auth dasar.

Sumber: Bleeping Computer

CISA Mengeluarkan Arahan Darurat Ketika Kerentanan Dunia Maya ‘Kritis’ Muncul

May 19, 2022 by Mally

Cybersecurity and Infrastructure Security Agency mengeluarkan arahan darurat baru hari ini yang mengatakan kerentanan di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager menempatkan jaringan federal dan sistem dengan risiko langsung.

“Kerentanan ini menimbulkan risiko yang tidak dapat diterima untuk keamanan jaringan federal,” kata Direktur CISA Jen Easterly dalam rilisnya. “CISA telah mengeluarkan Arahan Darurat ini untuk memastikan bahwa badan-badan sipil federal mengambil tindakan segera untuk melindungi jaringan mereka. Kami juga sangat mendesak setiap organisasi — besar dan kecil — untuk mengikuti langkah pemerintah federal dan mengambil langkah serupa untuk melindungi jaringan mereka.”

CISA mengatakan VMware pertama kali menemukan kerentanan baru pada bulan April dan merilis tambalan, tetapi ini adalah yang baru yang perlu segera dimitigasi oleh agensi. CISA mengatakan eksposur cyber baru adalah “injeksi template sisi server yang dapat mengakibatkan eksekusi kode jarak jauh; tingkatkan hak istimewa ke ‘root;’ dan dapatkan akses administratif tanpa perlu mengautentikasi.”

VMware menyebut kerentanan “kritis” dalam sebuah posting di situs webnya, memberikan skor 9,8 dari 10.

VMware juga mengeluarkan patch untuk kerentanan baru hari ini.

Dalam arahan darurat terbaru ini, CISA percaya bahwa kerentanan terhadap sistem agensi sangat mengerikan sehingga membutuhkan tindakan segera.

Sumber: Federal News Network

Kontrol dan Praktik Keamanan yang Lemah Dieksploitasi Secara Rutin untuk Akses Awal

May 18, 2022 by Mally

Otoritas keamanan siber Amerika Serikat, Kanada, Selandia Baru, Belanda, dan Inggris telah mengeluarkan Penasihat Keamanan Siber bersama (CSA) pada 10 kontrol keamanan yang lemah yang dieksploitasi secara rutin, konfigurasi yang buruk, dan praktik buruk yang memungkinkan pelaku jahat untuk menyusup ke jaringan. Meskipun praktik buruk ini mungkin umum, organisasi dapat menerapkan praktik dasar, seperti berikut ini, untuk membantu melindungi sistem mereka:

Akses kontrol.
Memperkuat kredensial.
Membangun manajemen log terpusat.
Gunakan solusi antivirus.
Gunakan alat deteksi.
Operasikan layanan yang terpapar pada host yang dapat diakses internet dengan konfigurasi aman.
Tetap perbarui perangkat lunak.

CISA mendorong organisasi untuk meninjau Kontrol dan Praktik Keamanan yang Lemah yang Dieksploitasi Secara Rutin untuk Akses Awal dan menerapkan mitigasi yang disarankan.

Sumber: CISA

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

May 18, 2022 by Mally

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

CISA

Cookies Settings