Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloudflare

Cloudflare

Hentikan peniruan merek dengan Cloudflare DMARC Management

by

Di akhir tahun 2021 Cloudflare meluncurkan Pusat Keamanan, sebuah solusi terpadu yang menyatukan rangkaian produk keamanan dan kecerdasan Internet unik kami.

Ini memungkinkan tim keamanan untuk dengan cepat mengidentifikasi potensi risiko keamanan dan ancaman terhadap organisasi mereka, memetakan permukaan serangan mereka, dan memitigasi risiko ini hanya dengan beberapa klik. Sementara Pusat Keamanan awalnya berfokus pada keamanan aplikasi, kami sekarang menambahkan wawasan nol kepercayaan penting untuk lebih meningkatkan kemampuannya.

Ketika merek Anda dicintai dan dipercaya, pelanggan dan prospek menantikan email yang Anda kirimkan kepada mereka. Sekarang bayangkan mereka menerima email dari Anda: ada merek Anda, subjeknya menarik, ada tautan untuk mendaftar sesuatu yang unik — bagaimana mereka bisa menolak kesempatan itu?

Tetapi bagaimana jika email itu tidak berasal dari Anda? Bagaimana jika mengeklik tautan itu adalah penipuan yang membawa mereka ke jalur penipuan atau pencurian identitas? Dan bagaimana jika mereka mengira Anda yang melakukannya? Yang benar adalah, bahkan orang-orang yang berpikiran keamanan kadang-kadang tertipu oleh email spoof yang dibuat dengan baik.

Itu menimbulkan risiko bagi bisnis dan reputasi Anda. Risiko yang tidak ingin Anda ambil – tidak ada yang melakukannya. Peniruan identitas merek adalah masalah yang signifikan bagi organisasi secara global, dan itulah sebabnya kami membuat Manajemen DMARC – tersedia dalam versi Beta saat ini.

Dengan Pengelolaan DMARC, Anda memiliki wawasan penuh tentang siapa yang mengirim email atas nama Anda. Anda dapat menyetujui satu klik setiap sumber yang merupakan pengirim sah untuk domain Anda, lalu menyetel kebijakan DMARC untuk menolak email apa pun yang dikirim dari klien yang tidak disetujui.

Selengkapnya: Cloudflare

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

by

Cloudflare selama akhir pekan memitigasi serangan DDoS yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Perusahaan perlindungan web tersebut selama akhir pekan memitigasi serangan denial-of-service (DDoS) terdistribusi yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan, menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Selengkapnya: Security Week

Situs WordPress diretas dengan peringatan Cloudflare DDoS palsu yang mendorong malware

by

Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.

Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.

Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.

Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.

Prompt kode verifikasi (atas) dan generator (bawah) (Sucuri)

Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.

Isi file security_install.iso
Sumber: BleepingComputer

Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.

Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.

Rantai serangan perlindungan Cloudflare DDoS (Sucuri) palsu

Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.

Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.

Kode berbahaya ditemukan di jquery.min.js (Sucuri)

Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.

Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.

Sumber: Bleeping Computer

Seorang Mahasiswa Menemukan Bug di Perutean Email Cloudflare yang Memungkinkan Anda Membaca Email Setiap Pengguna

by

Tahun lalu, perusahaan IT Cloudflare meluncurkan layanan perutean email, yang memberi pengguna kemampuan untuk mengatur sejumlah besar alamat yang terhubung ke kotak masuk yang sama.

Perutean email dapat menjadi alat privasi yang kuat, karena memungkinkan Anda untuk menyembunyikan alamat email Anda yang sebenarnya di balik jaringan alamat sementara atau “dapat dibakar”.

Sayangnya, seperti yang ditunjukkan dalam penelitian yang diterbitkan Rabu oleh seorang mahasiswa dari Denmark, layanan Cloudflare memiliki bug raksasa di dalamnya. Cacatnya, ketika dieksploitasi dengan benar, memungkinkan pengguna mana pun untuk membaca—atau bahkan memanipulasi—email pengguna lain.

Albert Pedersen, yang saat ini menjadi mahasiswa di Skive College di Midtjylland, menulis bahwa ia menemukan kerentanan invasif pada bulan Desember. Dalam sebuah tulisan yang diterbitkan di situs webnya, Pedersen menjelaskan bahwa bug tersebut akan memungkinkan peretas untuk “memodifikasi konfigurasi perutean domain apa pun menggunakan layanan.”

Kerentanan, yang telah dikonfirmasi oleh Cloudflare tetapi dikatakan tidak pernah dieksploitasi, melibatkan cacat dalam sistem “verifikasi kepemilikan zona” program, yang berarti bahwa peretas dapat mengonfigurasi ulang perutean dan penerusan email untuk domain email yang tidak dimiliki oleh mereka.

Manipulasi eksploit yang tepat akan memungkinkan seseorang yang mengetahui bug tersebut untuk merutekan ulang email pengguna ke alamat mereka sendiri. Itu juga akan memungkinkan peretas untuk mencegah email tertentu dikirim ke target sama sekali.

Dalam tulisannya, Pedersen mencatat bahwa tidak sulit untuk menemukan daftar alamat email online yang dilampirkan ke layanan Cloudflare. Menggunakan salah satu daftar itu, orang jahat bisa dengan mudah menargetkan siapa saja yang menggunakan layanan penerusan.

Setelah menemukan eksploit, Pedersen berhasil mereproduksinya beberapa kali menggunakan beberapa domain pribadi dan memutuskan untuk melaporkan masalah tersebut ke program hadiah bug Cloudflare. Program ini akhirnya memberinya total $6.000 untuk usahanya. Pedersen juga mengatakan blognya diterbitkan dengan izin dari Cloudflare.

Dalam email ke Gizmodo, perwakilan perusahaan menegaskan kembali bahwa bug telah diperbaiki segera setelah ditemukan: “Seperti yang dirangkum dalam blog peneliti, kerentanan ini diungkapkan melalui program bug bounty kami. Kami kemudian menyelesaikan masalah dan memverifikasi bahwa kerentanan belum dieksploitasi.”

Untung saja tidak, karena jika seorang peretas mendapatkan eksploitasi ini, mereka dapat menyebabkan kekacauan kotak masuk yang nyata. Dalam tulisannya, Pederson mencatat bahwa penjahat dunia maya dapat menggunakan bug ini untuk mengatur ulang kata sandi, yang akan mengancam akun lain yang terhubung ke alamat email yang dieksploitasi:

“Ini bukan hanya masalah privasi yang besar, tetapi karena fakta bahwa tautan pengaturan ulang kata sandi sering dikirim ke alamat email pengguna, aktor jahat juga berpotensi mendapatkan kendali atas akun apa pun yang ditautkan ke alamat email itu. Ini adalah contoh bagus mengapa Anda harus menggunakan otentikasi 2 faktor,” tulisnya.

Sumber: GIZMODO

Pemadaman Cloudflare pada 21 Juni 2022

by

Hari ini, 21 Juni 2022, Cloudflare mengalami gangguan yang memengaruhi lalu lintas di 19 pusat data kami. Sayangnya, 19 lokasi ini menangani sebagian besar lalu lintas global kami. Pemadaman ini disebabkan oleh perubahan konfigurasi jaringan yang merupakan bagian dari proyek jangka panjang untuk meningkatkan ketahanan di lokasi tersibuk kami. Pemadaman dimulai pada 06:27 UTC. Pada 06:58 UTC, pusat data pertama dihidupkan kembali dan pada 07:42 UTC semua pusat data online dan berfungsi dengan benar.

Tergantung pada lokasi Anda di dunia, Anda mungkin tidak dapat mengakses situs web dan layanan yang mengandalkan Cloudflare. Di lokasi lain, Cloudflare terus beroperasi secara normal.

Kami sangat menyayangkan pemadaman ini. Ini adalah kesalahan kami dan bukan hasil dari serangan atau aktivitas jahat.

Latar Belakang

Selama 18 bulan terakhir, Cloudflare telah bekerja untuk mengubah semua lokasi tersibuk kami menjadi arsitektur yang lebih fleksibel dan tangguh. Saat ini, kami telah mengonversi 19 pusat data kami ke arsitektur ini, yang secara internal disebut Multi-Colo PoP (MCP): Amsterdam, Atlanta, Ashburn, Chicago, Frankfurt, London, Los Angeles, Madrid, Manchester, Miami, Milan, Mumbai, Newark, Osaka, São Paulo, San Jose, Singapura, Sydney, Tokyo.

Bagian penting dari arsitektur baru ini adalah lapisan rute tambahan yang menciptakan jaringan koneksi (mesh). Mesh ini memungkinkan kita untuk dengan mudah menghidup-matikan bagian dari jaringan internal di pusat data untuk pemeliharaan atau untuk menangani masalah.

Arsitektur baru ini telah memberi kami peningkatan keandalan yang signifikan, serta memungkinkan kami untuk menjalankan pemeliharaan di lokasi ini tanpa mengganggu lalu lintas pelanggan. Karena lokasi ini juga membawa sebagian besar lalu lintas Cloudflare, masalah apa pun di sini dapat memiliki dampak yang sangat luas, dan sayangnya, itulah yang terjadi hari ini.

Selengkapnya: Cloudflare

Pemadaman Cloudflare besar-besaran yang disebabkan oleh kesalahan konfigurasi jaringan

by

Cloudflare mengatakan pemadaman besar-besaran yang memengaruhi lebih dari selusin pusat data dan ratusan platform dan layanan online utama saat ini disebabkan oleh perubahan yang seharusnya meningkatkan ketahanan jaringan.

Menurut laporan pengguna, daftar lengkap situs web dan layanan yang terpengaruh termasuk, tetapi tidak terbatas pada, Amazon, Twitch, Amazon Web Services, Steam, Coinbase, Telegram, Discord, DoorDash, Gitlab, dan banyak lagi.

Perusahaan mulai menyelidiki insiden ini sekitar pukul 06:34 UTC setelah laporan konektivitas ke jaringan Cloudflare yang terganggu mulai datang dari pelanggan dan pengguna di seluruh dunia.

Meskipun tidak ada rincian mengenai apa yang menyebabkan pemadaman dalam laporan insiden yang dipublikasikan di situs status sistem Cloudflare, perusahaan membagikan lebih banyak info tentang pemadaman 21 Juni di blog resmi.

Meskipun lokasi yang terpengaruh hanya mewakili 4% dari seluruh jaringan Cloudflare, pemadaman mereka memengaruhi sekitar 50% dari semua permintaan HTTP yang ditangani oleh Cloudflare secara global.

Dampak pemadaman Cloudflare (Cloudflare)

Perubahan yang menyebabkan pemadaman hari ini adalah bagian dari proyek yang lebih besar yang akan mengubah pusat data di lokasi tersibuk Cloudlfare menjadi arsitektur yang lebih tangguh dan fleksibel, yang secara internal dikenal sebagai Multi-Colo PoP (MCP).

Daftar pusat data yang terpengaruh dalam insiden hari ini termasuk Amsterdam, Atlanta, Ashburn, Chicago, Frankfurt, London, Los Angeles, Madrid, Manchester, Miami, Milan, Mumbai, Newark, Osaka, São Paulo, San Jose, Singapura, Sydney, dan Tokyo.

Garis waktu pemadaman:
3:56 UTC: Kami menerapkan perubahan ke lokasi pertama kami. Tidak ada lokasi kami yang terpengaruh oleh perubahan, karena ini menggunakan arsitektur lama kami.
06:17: Perubahan diterapkan ke lokasi tersibuk kami, tetapi bukan lokasi dengan arsitektur MCP.
06:27: Peluncuran mencapai lokasi yang mendukung MCP, dan perubahan diterapkan ke punggung kami. Saat itulah insiden dimulai, karena ini dengan cepat membuat 19 lokasi ini offline.
06:32: Insiden Cloudflare internal diumumkan.
06:51: Perubahan pertama dilakukan pada router untuk memverifikasi akar penyebab.
06:58: Akar penyebab ditemukan dan dipahami. Pekerjaan mulai mengembalikan perubahan yang bermasalah.
07:42: Pengembalian terakhir telah selesai. Ini tertunda karena insinyur jaringan berjalan di atas perubahan satu sama lain, mengembalikan pengembalian sebelumnya, menyebabkan masalah muncul kembali secara sporadis.

Sumber: Bleeping Computer

Phishing menghindar menggabungkan terowongan terbalik dan layanan pemendekan URL

by

Peneliti keamanan melihat peningkatan dalam penggunaan layanan terowongan terbalik bersama dengan penyingkat URL untuk kampanye phishing skala besar, membuat aktivitas jahat lebih sulit dihentikan.

Praktik ini menyimpang dari metode yang lebih umum untuk mendaftarkan domain dengan penyedia hosting, yang cenderung menanggapi keluhan dan menghapus situs phishing.

Dengan terowongan terbalik, pelaku ancaman dapat meng-host halaman phishing secara lokal di komputer mereka sendiri dan merutekan koneksi melalui layanan eksternal. Menggunakan layanan pemendekan URL, mereka dapat membuat tautan baru sesering yang mereka inginkan untuk melewati deteksi.

Banyak tautan phishing diperbarui dalam waktu kurang dari 24 jam, membuat pelacakan dan penghapusan domain menjadi tugas yang lebih menantang.

Perusahaan perlindungan risiko digital CloudSEK mengamati peningkatan jumlah kampanye phishing yang menggabungkan layanan untuk tunneling terbalik dan pemendekan URL.

Dalam sebuah laporan yang dibagikan, para peneliti mengatakan mereka menemukan lebih dari 500 situs yang dihosting dan didistribusikan dengan cara ini.

Layanan terowongan terbalik yang paling banyak disalahgunakan yang ditemukan CloudSEK dalam penelitian mereka adalah Ngrok, LocalhostRun, dan Argo Cloudflare. Mereka juga melihat Bit.ly, is.gd, dan layanan pemendekan URL cutt.ly menjadi lebih umum.

Layanan terowongan terbalik melindungi situs phishing dengan menangani semua koneksi ke server lokal yang dihostingnya. Dengan cara ini, setiap koneksi yang masuk diselesaikan oleh layanan tunnel dan diteruskan ke mesin lokal.

Modus operandi pelaku phising (CloudSEK)

Korban yang berinteraksi dengan situs phishing ini berakhir dengan data sensitif mereka disimpan langsung di komputer penyerang.

Dengan menggunakan penyingkat URL, aktor ancaman menutupi nama URL, yang biasanya berupa string karakter acak, kata CloudSEK. Dengan demikian, nama domain yang akan menimbulkan kecurigaan disembunyikan di URL pendek.

Menurut CloudSEK, musuh mendistribusikan tautan ini melalui saluran komunikasi populer seperti WhatsApp, Telegram, email, teks, atau halaman media sosial palsu.

Salah satu contoh kampanye phishing yang menyalahgunakan layanan ini yang dideteksi CloudSEK adalah meniru YONO, platform perbankan digital yang ditawarkan oleh State Bank of India.

Situs phishing YONO yang dihosting secara lokal (CloudSEK)

URL yang ditentukan oleh penyerang disembunyikan di balik “cutt[.]ly/UdbpGhs” dan mengarah ke domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” yang menggunakan layanan tunneling Argo Cloudflare.

Halaman phishing ini meminta kredensial rekening bank, nomor kartu PAN, nomor identifikasi unik Aadhaar, dan nomor ponsel.

CloudSEK tidak menjelaskan seberapa efektif kampanye ini tetapi menyoroti bahwa pelaku ancaman jarang menggunakan nama domain yang sama selama lebih dari 24 jam, meskipun mereka mendaur ulang template halaman phishing.

Informasi sensitif yang dikumpulkan dengan cara ini dapat dijual di web gelap atau digunakan oleh penyerang untuk mengosongkan rekening bank. Jika data berasal dari perusahaan, pelaku ancaman dapat menggunakannya untuk meluncurkan serangan ransomware, atau penipuan kompromi email bisnis (BEC).

Untuk melindungi dari jenis ancaman ini, pengguna harus menghindari mengklik tautan yang diterima dari sumber yang tidak dikenal atau mencurigakan. Mengetik nama domain bank di browser secara manual adalah metode yang baik untuk mencegah terkena situs palsu.

Sumber: Bleeping Computer

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer