Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Versi Flash yang didistribusikan di Cina setelah EOL menginstal adware

by

Meskipun aplikasi Flash Player secara resmi mencapai akhir masa pakainya pada 31 Desember 2020, Adobe telah mengizinkan perusahaan lokal Cina untuk terus mendistribusikan Flash di Cina, di mana aplikasi masih menjadi bagian besar dari ekosistem TI lokal dan digunakan secara luas di sektor publik dan swasta.

Saat ini, aplikasi Flash Player lama versi Cina ini hanya tersedia melalui flash.cn, situs web yang dikelola oleh perusahaan bernama Zhong Cheng Network, satu-satunya entitas yang diberi otorisasi oleh Adobe untuk mendistribusikan Flash di dalam Cina.

Tetapi dalam sebuah laporan yang diterbitkan awal bulan ini, perusahaan keamanan Minerva Labs mengatakan produk keamanannya menerima banyak peringatan keamanan yang terkait dengan versi Flash Player Cina ini.

Selama analisis, para peneliti menemukan bahwa aplikasi tersebut memang memasang versi Flash yang valid tetapi juga mengunduh dan menjalankan muatan tambahan.

Lebih tepatnya, aplikasi sedang mengunduh dan menjalankan nt.dll, sebuah file yang dimuat di dalam proses FlashHelperService.exe dan yang melanjutkan untuk membuka jendela browser baru secara berkala, menampilkan berbagai situs iklan dan popup-berat.

Ancaman khusus ini tidak berdampak pada pengguna barat karena versi Flash yang mereka unduh dari flash.cn tidak akan berfungsi pada sistem di luar Cina, tetapi mengingat laporan Minerva, mereka tidak boleh mencoba untuk mengujinya, karena ini dapat menginstal adware dan membahayakan keamanan sistem / jaringan mereka.

Sumber: ZDNet

Bahasa pemrograman Python mempercepat pembaruan untuk mengatasi kerentanan kode jarak jauh

by

Python Software Foundation (PSF) telah meluncurkan Python 3.9.2 dan 3.8.8 untuk mengatasi dua kelemahan keamanan yang terkenal, termasuk satu yang dapat dieksploitasi dari jarak jauh tetapi dalam istilah praktis hanya dapat digunakan untuk menjatuhkan mesin secara offline.

PSF mendesak asosiasi pengguna Python untuk meningkatkan sistem ke Python 3.8.8 atau 3.9.2, khususnya untuk mengatasi kerentanan eksekusi kode jarak jauh (RCE) yang dilacak sebagai CVE-2021-3177.

Proyek ini mempercepat perilisan setelah menerima tekanan tak terduga dari beberapa pengguna yang mengkhawatirkan kelemahan keamanan.

Python 3.x hingga 3.9.1 memiliki buffer overflow di PyCArg_repr di ctypes/callproc.c, yang dapat menyebabkan eksekusi kode jarak jauh.

Ini mempengaruhi aplikasi Python yang “menerima bilangan floating-point sebagai input tidak tepercaya, seperti yang ditunjukkan oleh argumen 1e300 ke c_double.from_param.”

Bug terjadi karena “sprintf” digunakan secara tidak aman. Dampaknya luas karena Python sudah diinstal sebelumnya dengan banyak distribusi Linux dan Windows 10.

Meskipun kerentanan eksekusi kode jarak jauh adalah berita buruk, RedHat mencatat bahwa “ancaman tertinggi dari kerentanan ini adalah ketersediaan sistem.” Dengan kata lain, penyerang kemungkinan hanya bisa melakukan serangan denial of service.

Selengkapnya: ZDNet

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

by Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

Para peretas ini menjual login jaringan ke penawar tertinggi. Dan geng ransomware membelinya

by Leave a Comment

Kelas penjahat siber yang sedang berkembang memainkan peran penting di pasar bawah tanah dengan melanggar jaringan perusahaan dan menjual akses ke penawar tertinggi untuk dieksploitasi sesuka mereka.

Pembelian dan penjualan kredensial login yang dicuri dan bentuk akses jarak jauh lainnya ke jaringan telah lama menjadi bagian dari ekosistem dark web, tetapi menurut analisis para peneliti keamanan siber di Digital Shadows, terdapat peningkatan penting dalam daftar oleh ‘Initial Access Brokers’ selama setahun terakhir.

Broker ini bekerja untuk meretas jaringan tetapi alih-alih menghasilkan keuntungan dengan melakukan kampanye siber mereka sendiri, mereka akan bertindak sebagai perantara, menjual jalan masuk ke jaringan ke penjahat lain, menghasilkan uang dari penjualan.

Akses melalui Remote Desktop Protocol (RDP) adalah daftar yang paling dicari oleh penjahat siber. Permintaan ini – dan potensi akses yang ditawarkannya – tercermin dalam harga daftar, dengan harga jual rata-rata untuk akses mulai dari $ 9.765.

Metode akses ini sangat populer di kalangan geng ransomware, yang berpotensi mendapatkan kembali apa yang mereka bayarkan untuk akses berkali-kali lipat dengan mengeluarkan tuntutan tebusan ratusan ribu atau bahkan jutaan dolar: $ 10.000 untuk akses awal hampir tidak berharga, jika target bisa diperas untuk membayar tebusan bitcoin.

Selengkapnya: ZDNet

Blockchain bitcoin membantu menjaga botnet agar tidak dihapus

by

Baru-baru ini, botnet yang telah diikuti para peneliti selama sekitar dua tahun mulai menggunakan cara baru untuk mencegah penghapusan server perintah-dan-kontrol: dengan menyamarkan salah satu alamat IP-nya di blockchain bitcoin.

Ketika semuanya bekerja normal, mesin yang terinfeksi akan melapor ke server kontrol yang terpasang untuk menerima instruksi dan pembaruan malware.

Dalam event server tersebut akan sinkholed, namun, botnet akan menemukan alamat IP untuk server cadangan yang dikodekan dalam blockchain bitcoin, buku besar terdesentralisasi yang melacak semua transaksi yang dilakukan menggunakan mata uang digital.

Dengan memiliki server tempat botnet dapat digunakan, operator mencegah sistem yang terinfeksi menjadi yatim piatu. Menyimpan alamat di blockchain memastikannya tidak akan pernah bisa diubah, dihapus, atau diblokir, seperti yang terkadang terjadi ketika peretas menggunakan metode pencadangan yang lebih tradisional.

Sementara peneliti Akamai mengatakan mereka belum pernah melihat botnet di alam liar menggunakan blockchain terdesentralisasi untuk menyimpan alamat server, mereka dapat menemukan penelitian ini yang menunjukkan server perintah yang berfungsi penuh yang dibangun di atas blockchain untuk cryptocurrency Ethereum.

Selengkapnya: Ars Technica

VMware memperbaiki bug RCE penting di semua penginstalan vCenter default

by

VMware telah mengatasi kerentanan eksekusi kode jarak jauh (RCE) yang kritis di platform manajemen infrastruktur virtual Server vCenter yang memungkinkan penyerang berpotensi mengambil kendali sistem yang terpengaruh.

Server vCenter membantu admin TI mengelola host dan mesin virtual tervirtualisasi dalam lingkungan perusahaan melalui satu konsol.

Kerentanan yang dilaporkan secara pribadi dilacak sebagai CVE-2021-21972, dan dinilai dengan skor dasar CVSSv3 9,8 dari 10 menurut nasihat keamanan VMware.

CVE-2021-21972 dilaporkan oleh Mikhail Klyuchnikov dari Positive Technologies, dan dapat dieksploitasi dari jarak jauh oleh penyerang yang tidak berkepentingan dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Karena sifat kritis kerentanan keamanan ini, sangat disarankan untuk memperbarui penginstalan Server vCenter yang rentan sesegera mungkin.

Untuk menambal kerentanan, Anda harus memutakhirkan penginstalan yang terpengaruh ke vCenter Server 6.5 U3n, 6.7 U3l, atau 7.0 U1c.

VMware juga menyediakan solusi yang menghilangkan kemungkinan eksploitasi bagi mereka yang tidak dapat segera memperbarui ke versi yang memperbaiki cacat keamanan CVE-2021-21972.

Langkah-langkah mendetail tentang penerapan solusi tersebut pada peralatan virtual berbasis Linux (vCSA) dapat ditemukan di dokumen dukungan KB82374 VMware.

Selengkapnya: Bleeping Computer

Presiden Microsoft: Satu-satunya alasan kami mengetahui tentang peretasan SolarWinds adalah karena FireEye memberi tahu kami

by

Peretasan besar-besaran ke dalam sistem pemerintah melalui kontraktor perangkat lunak akan tetap tidak diketahui oleh publik jika bukan karena keputusan satu perusahaan untuk bersikap transparan tentang pelanggaran sistemnya, Presiden Microsoft Brad Smith mengatakan kepada anggota parlemen pada sidang hari Selasa.

Kesaksian Smith menyoroti berapa banyak insiden keamanan siber yang dapat dirahasiakan. Smith mengatakan kepada anggota parlemen bahwa perusahaan sektor swasta harus diwajibkan untuk transparan tentang pelanggaran signifikan pada sistem mereka.

Smith memberi tahu Kongres bahwa Microsoft memberi tahu 60 pelanggan, terutama di AS, bahwa mereka telah disusupi sehubungan dengan serangan itu. Namun dia memperingatkan anggota parlemen bahwa pasti ada lebih banyak korban yang belum diidentifikasi.

Smith mengusulkan bahwa selain membutuhkan lebih banyak pengungkapan dari perusahaan swasta, pemerintah harus memberikan “pembagian yang lebih cepat dan lebih komprehensif” dengan komunitas keamanan.

Selengkapnya: CNBC

‘Antivirus sudah mati’: Meningkatnya ancaman keamanan perusahaan pada tahun 2021 dan cara melindunginya

by

Tahun 2020 belum pernah terjadi sebelumnya dalam hampir segala hal, dan serangan siber tidak terkecuali. Laporan Ancaman Global CrowdStrike 2021 dari perusahaan keamanan siber cloud-native CrowdStrike menyatakan bahwa ini adalah “mungkin tahun paling aktif dalam ingatan”.

Khusus untuk perusahaan, laporan tersebut mengungkap ancaman yang harus diperhatikan di tahun mendatang. Aktor jahat melanjutkan peralihan mereka ke serangan terhadap target bernilai tinggi seperti perusahaan, yang dikenal sebagai “perburuan hewan besar”, yang menjadi semakin populer dalam beberapa tahun terakhir karena potensi bayaran yang lebih menguntungkan.

Aktor jahat juga mengembangkan alat dan prosedur baru serta membentuk aliansi untuk meningkatkan kekuatan dan jangkauan serangan mereka. Yang paling signifikan, mereka semakin mengintegrasikan teknik blackmail dan pemerasan ke dalam operasi ransomware.

Penjahat siber juga mengeksploitasi pandemi COVID-19, memangsa ketakutan, menargetkan sektor kesehatan, dan memanfaatkan peralihan mendadak ke pekerjaan jarak jauh. Menurut laporan tersebut, 71% ahli keamanan siber yang disurvei mengatakan bahwa mereka lebih khawatir tentang serangan ransomware akibat COVID-19. Selain itu, tahun 2020 melihat apa yang mungkin merupakan serangan rantai pasokan paling canggih dan menjangkau jauh dalam sejarah.

Pertahanan terbaik bagi perusahaan adalah diberi tahu tentang ancaman yang berkembang, bertindak cepat jika terjadi serangan, dan bersikap proaktif dengan solusi keamanan canggih. “Anda harus memiliki solusi generasi berikutnya. Antivirus sudah mati,” kata VP senior CrowdStrike Adam Meyers.

Selengkapnya: Venturebeat