Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloud

Cloud

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Hot Patch Log4Shell AWS Rentan Terhadap Pelarian Kontainer dan Eskalasi Hak Istimewa

by

Setelah Log4Shell, AWS merilis beberapa solusi hot patch yang memantau aplikasi Java yang rentan dan kontainer Java dan menambalnya dengan cepat. Setiap solusi sesuai dengan lingkungan yang berbeda, meliputi server mandiri, kluster Kubernetes, kluster Elastic Container Service (ECS) dan Fargate. Hot patch tidak eksklusif untuk lingkungan AWS dan dapat diinstal ke cloud atau lingkungan lokal apa pun.

Peneliti Unit 42 mengidentifikasi masalah keamanan yang parah dalam solusi patching ini dan bermitra dengan AWS untuk memulihkannya. Setelah menginstal layanan patch ke server atau cluster, setiap kontainer di lingkungan itu dapat memanfaatkannya untuk mengambil alih host yang mendasarinya. Misalnya, jika Anda menginstal hot patch ke kluster Kubernetes, setiap kontainer di kluster Anda sekarang dapat melarikan diri sampai Anda menonaktifkan hot patch-nya atau meningkatkan ke versi tetap. Selain kontainer, proses yang unprivilege juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root.

Kontainer dapat lolos terlepas mereka menjalankan aplikasi Java atau host menjalankan Bottlerocket, distribusi Linux AWS yang mengeras untuk kontainer. Kontainer yang berjalan dengan nama pengguna atau sebagai pengguna non-root juga terpengaruh. Unit 42 menugaskan CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 dan CVE-2022-0071 untuk melacak kerentanan.

AWS merilis versi tetap untuk setiap solusi patch panas pada 19 April:

  • Versi 1.1-16 dari paket log4j-cve-2021-44228-hotpatch, yang menggabungkan layanan hot patch.
  • Versi 1.1-16 dari kubernetes-log4j-cve-2021-44228-node-agent Daemonset, yang menginstal paket yang diperbarui.
  • Versi 1.02 dari Hotdog, solusi hot patch untuk host Bottlerocket berdasarkan kait Open Container Initiative (OCI).

Unit 42 menyarankan siapa saja yang menginstal salah satu hot patch ini untuk meningkatkan ke versi tetap. Perhatikan bahwa mulai dari 17 Desember 2021, paket JDK (instalasi Java) di Amazon Linux secara otomatis menginstal paket log4j-cve-2021-44228-hotpatch. Atau, pengguna yang yakin aplikasi mereka ditambal terhadap Log4Shell dapat menonaktifkan layanan hot patch mengikuti instruksi di bagian mitigasi di bawah ini.

Prisma Cloud mendeteksi paket patch panas dan akan memperingatkan host yang menjalankan versi rentan.

Selengkapnya: Paloalto Networks

Berapa Lama Sebelum VPN Dihentikan?

by

Sebuah survei CFO Gartner mengungkapkan 74% organisasi berencana untuk menjaga setidaknya sebagian dari karyawan mereka secara permanen jauh. Itu saja seharusnya sudah menjamin pasar VPN yang berkembang di masa depan. Namun, Gartner juga menunjukkan bahwa 60% perusahaan akan menghapus sebagian besar VPN akses jarak jauh mereka secara bertahap dalam beberapa tahun.

Serangan siber yang memanfaatkan kerentanan zero day meningkat sebesar 1916% dan 1527% untuk dua penyedia VPN perusahaan terkemuka. Lonjakan serangan siber baru-baru ini yang melibatkan VPN, ditambah dengan hilangnya produktivitas berbasis latensi dan biaya dukungan VPN yang tinggi, mengikis kepercayaan yang dimiliki organisasi terhadap VPN.

VPN pada dasarnya tidak memiliki kelincahan yang dibutuhkan untuk melindungi perangkat seluler koneksi VPN disetel ulang setiap kali pengguna mengganti jaringan yang terhubung dengan mereka dan juga setiap kali mereka menghidupkan perangkat seluler mereka dari mode tidur. Semua koneksi ulang ini membebani sumber daya jaringan, memengaruhi kinerja kerja, dan produktivitas karyawan, sesuatu yang tidak disukai bisnis modern.

VPN juga tidak cocok dengan kebijakan BYOD (bawa perangkat Anda sendiri) karena mereka sering menggunakan sertifikat autentikasi yang ada di perangkat tertentu yang biasanya milik perusahaan. Saat karyawan terus berpindah di antara beberapa perangkat untuk bekerja, VPN gagal mengejar semuanya dengan mulus. VPN tidak memberikan kontrol granular atas kebijakan keamanan karena pendekatan keamanannya yang sederhana, semua atau tidak sama sekali. Ketika kontraktor independen dan vendor pihak ketiga lainnya memerlukan akses ke beberapa sumber daya internal saja, VPN memberikan akses ke seluruh jaringan secara default.

Akhirnya, cloud secara efektif menjadi hukuman mati bagi VPN. Sekarang data tidak sepenuhnya berada dalam batas-batas jaringan perusahaan yang dilindungi oleh firewall perusahaan, terowongan aman VPN tidak dirancang untuk memperluas keamanannya ke semua tempat di mana data didistribusikan. Perusahaan modern memiliki sumber daya di cloud serta di edge, sehingga mereka membutuhkan ekosistem keamanan yang meresap seperti jejak TI mereka.

Bisnis harus memiliki kemampuan untuk memperluas perimeter keamanan mereka secara dinamis ke hampir di mana saja aset dan pekerja penting mereka berada. Untuk itu, mereka membutuhkan pola pikir keamanan di mana-mana yang mencakup BYOD, pekerja jarak jauh, sumber daya cloud, vendor pihak ketiga, dan inti jaringan juga.

Untuk itu, bisnis perlu melepaskan VPN lama mereka demi solusi mutakhir seperti SWG (gerbang web aman) untuk melindungi pengguna dan perangkat yang terhubung ke internet dan menegakkan kebijakan penggunaan yang dapat diterima untuk internet, CASB (keamanan akses cloud broker) untuk memperluas kebijakan keamanan dan akses ke aplikasi berbasis cloud mereka dan ZTNA (akses jaringan tanpa kepercayaan) untuk memverifikasi setiap pengguna sebelum memberikan akses ke aset penting bahkan jika mereka sudah berada di dalam perimeter jaringan aman.

Layanan dan kontrol yang diperlukan bisnis modern ini membuat tumpukan keamanan yang kompleks dengan banyak vendor dan manajemen yang sulit, karena setiap kontrol keamanan yang ditambahkan bisnis ke jaringannya pada dasarnya akan meningkatkan permukaan serangannya, menjadikannya lebih rentan. SASE (secure access service edge) berpotensi mengisi celah karena mengintegrasikan jaringan dengan kontrol keamanan yang disebutkan di atas. Gartner telah memprediksi kebangkitan SASE selama beberapa tahun sekarang. Namun, seperti teknologi baru lainnya, ada keraguan dan bahkan skeptisisme seputar adopsi model keamanan yang lebih baru.

Meskipun banyak yang tidak mau mengakuinya, VPN tidak cukup memenuhi tantangan keamanan masa depan. Faktor penentu bagi banyak bisnis mungkin adalah investasi yang telah mereka buat dan harus mereka lakukan untuk melanjutkan perjalanan transformasi mereka.

Sumber : Info Security

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

by

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

Google mengakuisisi startup keamanan siber Siemplify seharga $500 juta

by

Google mengakuisisi startup cybersecurity Israel Siemplify, Harga akuisisi tersebut diperkirakan mencapai $500 juta. Siemplify mempekerjakan 200 orang di Israel, AS, dan London, yang akan bergabung dengan Google setelah akuisisi.

Google akan menggunakan Siemplify untuk membentuk dasar bagi operasi keamanan sibernya di Israel yang akan menjadi bagian dari aktivitas cloud perusahaan. Pendiri Siemplify akan melanjutkan di perusahaan.

CEO Google Sundar Pichai berjanji kepada Presiden AS Joe Biden bahwa perusahaan akan menginvestasikan $10 miliar dalam keamanan siber selama lima tahun ke depan. Google berencana memperluas program tanpa kepercayaan, membantu mengamankan rantai pasokan perangkat lunak, dan meningkatkan keamanan sumber terbuka.

Perusahaan berjanji untuk melatih 100.000 orang Amerika di bidang-bidang seperti Dukungan TI dan Analisis Data, mempelajari keterampilan sesuai permintaan termasuk privasi dan keamanan data. Janji ini akan mencakup akuisisi dan investasi, dengan Siemplify menjadi pembelian pertama Google yang telah menginvestasikan $50 juta di perusahaan keamanan siber Israel lainnya, Cybereason, tahun lalu.

Siemplify telah mengumpulkan $58 juta selama empat putaran hingga saat ini, dengan VC G20 Ventures Israel sebagai pemegang saham terbesar perusahaan. Investor tambahan termasuk 83North, Jump Capital, dan Georgian, yang baru-baru ini juga berinvestasi di startup keamanan siber Israel Noname Security.

Platform Operasi Keamanan Siemplify dirancang untuk menjadi “sistem operasi” SOC (pusat operasi keamanan). Tidak seperti platform SOAR (orkestrasi keamanan, otomatisasi, dan respons) lainnya yang sebagian besar berfokus pada pembuatan buku pedoman dan otomatisasi, Siemplify dirancang untuk mengelola seluruh fungsi operasi keamanan dari ujung ke ujung. Platform perusahaan akan diintegrasikan ke dalam sistem cloud Google.

Analis dapat memprioritaskan ancaman yang berpotensi diabaikan, memungkinkan mereka untuk menyelidiki, sebagai satu, peringatan yang mungkin telah diterima dari sensor keamanan terpisah tetapi merupakan bagian dari ancaman yang sama.

Akuisisi terbesar Google di Israel hingga saat ini adalah kesepakatan $1,1 miliar untuk Waze pada 2016. Pada 2019, Google Cloud mengakuisisi perusahaan Israel Elastifile seharga $200 juta dan Aluma seharga $100 juta

Sumber : CTECH

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

by

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Keamanan cloud beralih ke ‘dev’ bukan ‘ops,’ kata Snyk

by

Penyedia platform keamanan pengembang Snyk membawa pendekatan keamanan cloud yang membuat perusahaan menonjol dari yang lain di ruang angkasa, dan ada tanda-tanda pasar akan semakin bergerak ke arah perusahaan yang tumbuh cepat, menurut Guy Podjarny, salah satu pendiri dan presiden dari Snyk.

Dalam pernyataan email kepada VentureBeat, Podjarny menjawab pertanyaan tentang munculnya kategori baru dalam keamanan cloud — platform perlindungan aplikasi cloud-native, atau CNAPP. Penawaran CNAPP menyatukan berbagai alat yang berbeda, termasuk alat untuk mengamankan infrastruktur cloud, identitas dan izin cloud, mesin virtual, wadah, dan fungsionalitas tanpa server.

Daripada CNAPP, Snyk mengatakan itu menawarkan “CNAS,” atau keamanan aplikasi asli cloud. Platform ini bertujuan untuk memberikan pendekatan “mengutamakan pengembang” terhadap keamanan cloud, dengan alat yang dibuat agar familiar bagi pengembang. Perusahaan pada akhirnya bertujuan untuk mewujudkan perusahaan alat pengembang daripada perusahaan keamanan — dengan alat pemindaian kode yang dimaksudkan untuk dimasukkan ke dalam proses pengembang untuk memastikan keamanan aplikasi sejak awal.

Menurut Podjarny, hal tersebut membuat Snyk berbeda dari vendor di ruang CNAPP, yang mencakup vendor keamanan siber yang sudah mapan bersama dengan beberapa startup keamanan yang didanai teratas saat ini.

“Sementara pemain CNAPP fokus pada operasi — mengamati sistem yang dikerahkan dan menjalankan untuk mengidentifikasi dan menanggapi ancaman — Snyk berlabuh di dev dan kode, memodelkan aplikasi untuk mengidentifikasi masalah lebih awal dan mencegah penyebarannya,” kata Podjarny dalam pernyataannya kepada VentureBeat. “Pendekatan ini, yang kami sebut CNAS, membawa pendekatan ‘shift left’ AppSec yang berevolusi menjadi keamanan cloud karena jauh lebih efisien dan hemat biaya.”

Akan selalu ada kebutuhan untuk pendekatan Dev dan Ops untuk CNAPP, tetapi seiring waktu penekanannya akan bergeser dari yang terakhir ke yang pertama, kata Podjarny.

Selengkapnya: Venture Beat

Serangan siber Rusia terbaru menargetkan ratusan jaringan AS Lapor Microsoft

by

Badan yang berbasis di Rusia di balik serangan siber besar-besaran SolarWinds tahun lalu telah menargetkan ratusan lebih banyak perusahaan dan organisasi dalam gelombang serangan terbarunya terhadap sistem komputer yang berbasis di AS, kata Microsoft dalam sebuah posting blog.

Microsoft, dalam sebuah posting blog tertanggal 24 Oktober, mengatakan gelombang terbaru Nobelium menargetkan “pengecer dan penyedia layanan teknologi lainnya” dari layanan cloud.

Serangan-serangan itu adalah bagian dari kampanye yang lebih luas selama musim panas, kata Microsoft, seraya menambahkan bahwa pihaknya telah memberi tahu 609 pelanggan antara 1 Juli dan 19 Oktober bahwa mereka telah diserang.

Hanya sebagian kecil dari upaya terbaru yang berhasil, Microsoft mengatakan kepada New York Times, yang pertama kali melaporkan pelanggaran tersebut, tetapi tidak memberikan rincian lebih lanjut.

Pejabat keamanan siber AS tidak dapat segera dihubungi untuk mengkonfirmasi laporan tersebut.

Pejabat A.S. mengkonfirmasi kepada Times bahwa operasi itu sedang berlangsung, dengan seorang pejabat administrasi senior yang tidak disebutkan namanya menyebutnya “operasi run-of-the-mill yang tidak canggih yang dapat dicegah jika penyedia layanan cloud telah menerapkan praktik keamanan siber dasar.”

“Kegiatan baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan membangun mekanisme untuk mengawasi – sekarang atau di masa depan – target yang menarik bagi pemerintah Rusia, “tulis Microsoft.

Selengkapnya: Reuters