Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for CISA

CISA

Badan keamanan siber mengungkapkan kerentanan yang paling banyak dieksploitasi pada tahun 2021

by

Bekerja sama dengan NSA dan FBI, otoritas keamanan siber di seluruh dunia hari ini merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi oleh pelaku ancaman selama tahun 2021.

Otoritas keamanan siber mendesak organisasi dalam penasihat bersama untuk segera menambal kelemahan keamanan ini dan menerapkan sistem manajemen tambalan untuk mengurangi permukaan serangan mereka.

Secara global, aktor jahat telah diamati memfokuskan serangan mereka pada sistem yang menghadap internet, termasuk email dan server jaringan pribadi virtual (VPN), menggunakan eksploitasi yang menargetkan kerentanan yang baru diungkapkan.

“Otoritas keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris menilai, pada tahun 2021, pelaku siber jahat secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia,” bunyi nasihat itu.

Ini mungkin karena aktor jahat dan peneliti keamanan merilis eksploitasi proof of concept (POC) dalam waktu dua minggu sejak pengungkapan awal untuk sebagian besar bug yang dieksploitasi teratas sepanjang tahun 2021.

Namun, penyerang memfokuskan beberapa serangan mereka pada kerentanan lama yang ditambal bertahun-tahun sebelumnya, yang menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan ketika tambalan tersedia.

Berikut aftar 15 kelemahan keamanan yang paling banyak dieksploitasi dengan tautan ke entri Basis Data Kerentanan Nasional dan malware terkait. Selengkapnya

Badan keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris juga telah mengidentifikasi dan mengungkapkan 21 kerentanan keamanan tambahan yang biasa dieksploitasi oleh pelaku siber jahat selama tahun 2021, termasuk yang berdampak pada Accellion File Transfer Appliance (FTA), Windows Print Spooler, dan Pulse Secure Pulsa Hubungkan Aman.

Penasihat bersama mencakup langkah-langkah mitigasi yang akan membantu mengurangi risiko yang terkait dengan kelemahan penyalahgunaan teratas yang dijelaskan di atas.

CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang dieksploitasi secara rutin pada tahun 2020 bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Pusat Keamanan Siber Nasional Inggris (NCSC) ).

Pada November 2021, MITER juga membagikan daftar kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada tahun 2021 dan 25 kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Sumber: Bleeping Computer

CISA memperingatkan penyerang yang sekarang mengeksploitasi bug Windows Print Spooler

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan tiga kelemahan keamanan baru ke daftar bug yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal di Windows Print Spooler.

Kerentanan tingkat keparahan tinggi ini (dilacak sebagai CVE-2022-22718) berdampak pada semua versi Windows sesuai dengan saran Microsoft dan telah ditambal selama Patch Februari 2022 pada hari Selasa.

Satu-satunya informasi yang dibagikan Microsoft tentang kelemahan keamanan ini adalah bahwa pelaku ancaman dapat mengeksploitasinya secara lokal dalam serangan dengan kompleksitas rendah tanpa interaksi pengguna.

Redmond menambal beberapa bug Windows Print Spooler lainnya dalam 12 bulan terakhir, termasuk kerentanan eksekusi kode jarak jauh PrintNightmare yang kritis.

Setelah detail teknis dan eksploitasi proof-of-concept (POC) untuk PrintNightmare secara tidak sengaja bocor, CISA memperingatkan admin untuk menonaktifkan layanan Windows Print Spooler pada Pengontrol Domain dan sistem yang tidak digunakan untuk mencetak untuk memblokir kemungkinan serangan masuk.

Minggu lalu, CISA menambahkan bug eskalasi hak istimewa lainnya di Driver Sistem File Log Umum Windows ke daftar kelemahan yang dieksploitasi di alam liar, bug yang dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA) dan ditambal oleh Microsoft selama Patch Selasa bulan ini. .

Menurut arahan operasional yang mengikat November (BOD 22-01), semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan Tereksploitasi yang Diketahui (KEV).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 10 Mei, untuk menambal kerentanan CVE-2022-22718 yang sekarang aktif dieksploitasi dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan ini hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk memperbaiki elevasi bug hak istimewa Windows Print Spooler ini untuk menggagalkan upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan dua kerentanan keamanan lama ke katalog KEV-nya hari ini, juga disalahgunakan dalam serangan yang sedang berlangsung.

Nama Kerentanan CVE Tanggal Ditambahkan

  • CVE-2022-22718 Microsoft Windows Print Spooler Privilege Eskalasi Kerentanan 2022-04-19
  • CVE-2018-6882 Zimbra Collaboration Suite (ZCS) Skrip Lintas Situs (XSS) 2022-04-19
  • CVE-2019-3568 WhatsApp VOIP Stack Buffer Overflow Kerentanan 2022-04-19

Sejak BOD 22-01 binding directive dikeluarkan, CISA telah menambahkan ratusan bug keamanan ke dalam daftar kerentanan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk mencegah pelanggaran.

Sumber : Bleeping Computer

CISA memperingatkan organisasi untuk menambal bug Windows LPE yang dieksploitasi secara aktif

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sepuluh bug keamanan baru ke daftar kerentanan yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal dengan tingkat keparahan tinggi di Windows Common Log File System Driver.

Cacat keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-24521) dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA), dan ditambal oleh Microsoft selama Patch Selasa bulan ini.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan ini setelah ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

CISA memberi mereka waktu tiga minggu, hingga 2 Mei, untuk menambal kelemahan kerentanan CVE-2022-24521 dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk menambal bug keamanan yang dieksploitasi secara aktif ini untuk memblokir upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan sembilan kerentanan lagi ke katalognya hari ini, disalahgunakan dalam serangan yang sedang berlangsung. selengkapnya

Hari ini, CISA juga mendorong admin untuk menginstal pembaruan keamanan yang mengatasi kerentanan eksekusi kode jarak jauh pra-autentikasi kritis (dengan peringkat keparahan 9,8/10) di Perpustakaan Runtime Microsoft Remote Procedure Call (RPC), juga ditambal minggu ini sebagai bagian dari April 2022 Patch Selasa.

Pada hari Senin, CISA juga memerintahkan badan-badan sipil federal untuk menambal bug keamanan yang dieksploitasi secara aktif (CVE-2022-23176) di perangkat firewall WatchGuard Firebox dan XTM.

Grup peretasan Sandworm yang didukung Rusia sebelumnya menyalahgunakan bug ini untuk membangun botnet yang dijuluki Cyclops Blink dari perangkat jaringan WatchGuard Small Office/Home Office (SOHO) yang disusupi.

Pada hari Rabu, pemerintah AS mengganggu botnet Cyclops Blink dengan menghapus malware dari server perintah-dan-kontrol sebelum dijadikan senjata dan digunakan dalam serangan.

Setelah mengeluarkan BOD 22-01 binding directive, CISA telah menambahkan ratusan kerentanan keamanan ke dalam daftar kelemahan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk memblokir pelanggaran keamanan.

Sumber :Bleeping Computer

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Geng Ransomware meningkatkan upaya untuk meminta orang dalam untuk menyerang

by

Sebuah survei terhadap 100 perusahaan IT Amerika Utara besar (lebih dari 5.000 karyawan) menunjukkan bahwa pelaku ransomware melakukan upaya yang lebih besar untuk merekrut orang dalam di perusahaan yang ditargetkan untuk membantu dalam serangan.

Dibandingkan dengan survei sebelumnya, terdapat peningkatan 17% dalam jumlah karyawan yang menawarkan uang untuk membantu serangan ransomware terhadap majikan mereka.

Persentase perusahaan yang didekati oleh pelaku ransomware
Sumber: Hitachi ID

Pelaku ancaman biasanya menggunakan email dan media sosial untuk menghubungi karyawan, tetapi 27% dari upaya pendekatan mereka dilakukan melalui panggilan telepon, cara kontak langsung dan berani.

Adapun uang yang ditawarkan kepada karyawan, sebagian besar menerima tawaran di bawah $500.000, tetapi beberapa proposal berada di utara satu juta USD.

Jumlah yang ditawarkan kepada karyawan nakal
Sumber: Hitachi ID

Sebagaimana tercermin dalam temuan survei Hitachi ID, ancaman orang dalam umumnya diabaikan, diremehkan, dan tidak diperhitungkan saat mengembangkan rencana keamanan siber.

Ketika eksekutif TI ditanyai tentang seberapa khawatir mereka tentang ancaman internal, 36% menjawab dengan lebih khawatir tentang ancaman eksternal, dengan 3% tidak khawatir tentang ancaman sama sekali.

Apa yang eksekutif TI pikirkan tentang ancaman orang dalam
Sumber: Hitachi ID

CISA merilis alat yang dapat membantu perusahaan menilai sikap mereka terhadap ancaman orang dalam pada September 2021, memperingatkan bahwa tren tertentu sedang meningkat.

Entitas yang memutuskan untuk meningkatkan pelatihan karyawan dan mengirim email palsu kepada karyawan di area kritis dengan laporan karyawan yang tidak puas atau indikator kinerja rendah. Namun, sebagian besar belum menerapkan langkah-langkah keamanan khusus untuk mengatasi masalah tersebut.

Fakta bahwa Amerika Serikat sedang mengalami lonjakan berhenti dari pekerjaan yang disebut “Pengunduran Diri Hebat” meningkatkan peluang keberhasilan bagi aktor ransomware dalam negosiasi yang aneh ini.

Banyak orang yang merasa stres berlebihan, dibayar rendah, dieksploitasi, kelelahan, atau merasa bahwa pekerjaan tidak lagi sepadan dengan waktu dan energi mereka.

Orang-orang ini terlihat sebagai kandidat ideal untuk geng ransomware yang membujuk mereka dengan bayaran besar untuk menjadi kaki tangan jangka pendek.

Sumber : Bleeping Computer

CISA: Jangan gunakan autentikasi satu faktor pada sistem yang terpapar Internet

by

Single-factor authentication (SFA) telah ditambahkan hari ini oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) ke daftar singkat praktik buruk keamanan siber yang disarankan untuk tidak dilakukan.

Katalog Praktik Buruk CISA mencakup praktik yang oleh badan federal dianggap “sangat berisiko” dan tidak boleh digunakan oleh organisasi di pemerintah dan sektor swasta karena hal itu memaparkan mereka pada risiko dimana sistem mereka disusupi oleh pelaku ancaman.

Mereka sangat berbahaya bagi organisasi yang mendukung Infrastruktur Kritis atau Fungsi Kritis Nasional (NCF) yang bertanggung jawab atas keamanan nasional dan stabilitas ekonomi, serta keselamatan publik.

Selain itu, praktik berbahaya ini “sangat mengerikan” pada sistem yang terpapar Internet yang dapat ditargetkan dan dikompromikan oleh aktor ancaman dari jarak jauh.

Seperti yang dikatakan oleh badan keamanan siber federal, SFA (metode otentikasi keamanan rendah yang hanya mengharuskan pengguna untuk memberikan nama pengguna dan kata sandi) “sangat berisiko” ketika digunakan untuk otentikasi jarak jauh atau masuk ke akun dengan izin administratif.

Penyerang dapat dengan cepat mendapatkan akses ke sistem yang dilindungi menggunakan metode keamanan rendah ini mengingat kata sandi dapat dengan mudah dicuri atau ditebak melalui berbagai teknik (misalnya, phishing, keylogging, network sniffing, social engineering, malware, serangan brute force, credential dumping).

Selengkapnya: Bleeping Computer

Agensi Siber mengatakan peretasan SolarWinds dapat dicegah dengan langkah-langkah keamanan sederhana

by

Peretasan SolarWinds, salah satu insiden keamanan siber terbesar dalam sejarah AS, mungkin dapat dicegah atau diminimalkan jika langkah-langkah keamanan dasar telah diterapkan, kata seorang pejabat tinggi pemerintah awal bulan ini.

Dalam surat 3 Juni kepada Senator Ron Wyden (D-Ore.) yang diberikan kepada The Hill pada hari Senin, penjabat Direktur Cybersecurity and Infrastructure Security Agency (CISA) Brandon Wales setuju dengan pertanyaan Wyden mengenai apakah firewall yang ditempatkan di sistem agen korban dapat membantu memblokir virus malware yang digunakan dalam serangan SolarWinds.

“CISA setuju bahwa firewall yang memblokir semua koneksi keluar ke internet akan menetralkan malware,” tulis Wales.

Dia menekankan, bagaimanapun, bahwa sementara agensi “melakukan pengamatan jaringan korban dengan konfigurasi ini yang berhasil memblokir upaya koneksi dan tidak memiliki eksploitasi lanjutan, efektivitas tindakan pencegahan ini tidak berlaku untuk semua jenis intrusi dan mungkin tidak layak mengingat persyaratan operasional untuk beberapa lembaga”.

Wales mengatakan bahwa CISA tidak memiliki angka tentang berapa banyak agen federal yang mengelompokkan dan memisahkan jaringan mereka, pedoman keamanan utama yang telah lama direkomendasikan agen tersebut sebagai cara untuk mencegah peretas bergerak melalui jaringan sensitif.

Dia juga menekankan bahwa CISA membuat “perbaikan mendesak” untuk meningkatkan pemahamannya tentang ancaman dunia maya ke jaringan federal, termasuk menggunakan sebagian dari $650 juta yang termasuk dalam Undang-Undang Rencana Penyelamatan Amerika untuk memindahkan perlindungan keamanan di dalam jaringan agensi alih-alih hanya menjaga perimeter.

Selengkapnya: The Hill