Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Firefox 85 menghapus Flash dan menambahkan perlindungan terhadap supercookies

by

Mozilla telah merilis Firefox 85, versi baru dari peramban kesayangannya yang menghilangkan dukungan untuk plugin Adobe Flash Player tetapi juga meningkatkan perlindungan privasi dengan menambahkan pertahanan yang lebih komprehensif terhadap “supercookies.”

Firefox sekarang bergabung dengan Chrome dan Edge, yang keduanya menghapus dukungan untuk Flash awal bulan ini dengan dirilisnya Chrome 88 dan Edge 88.

Tetapi meskipun Firefox 85 adalah versi pertama yang dikirimkan tanpa plugin Flash yang banyak disalahgunakan, fitur yang lebih besar dalam rilis ini adalah “partisi jaringan”.

Pertama kali dilaporkan oleh ZDNet bulan lalu, fitur partisi jaringan berfungsi dengan memisahkan cache browser Firefox per situs web, solusi teknis yang mencegah situs web melacak pengguna saat mereka berpindah ke seluruh web.

Dalam posting blog, Mozilla mengatakan fitur baru ini secara efektif memblokir penggunaan supercookies di dalam Firefox di masa mendatang.

Fitur lain yang dikirimkan dengan Firefox 85 adalah perubahan cara bookmark disimpan di dalam Firefox.

Dimulai dengan versi ini, Firefox sekarang mengingat di mana pengguna menyimpan bookmark terakhir mereka dan menyimpan semua bookmark lainnya ke lokasi yang sama.

Perubahan lainnya dirinci dalam log perubahan Firefox 85 di sini, sementara pembaruan keamanan tercantum di sini.

Sumber: ZDNet

Pembuat derek terkemuka Palfinger terkena serangan siber global

by

Produsen derek dan pengangkat terkemuka Palfinger menjadi sasaran serangan siber yang sedang berlangsung yang telah mengganggu sistem TI dan operasi bisnis.

Palfinger adalah pembuat solusi derek dan pengangkatan terkemuka yang biasa digunakan untuk konstruksi, serta solusi pengangkatan, pemuatan, dan penanganan darat dan laut.

Palfinger adalah perusahaan Austria dengan lebih dari 11.000 karyawan di 35 lokasi dan menghasilkan pendapatan €1,75 miliar untuk 2019.

Situs Palfinger saat ini menampilkan peringatan yang memperingatkan bahwa perusahaan mengalami serangan siber yang telah menghapus email mereka dan mengganggu operasi bisnis.

Sumber: BleepingComputer

Pemberitahuan keamanan berjudul ‘Serangan siber di PALFINGER Group’ juga menyatakan bahwa sistem perencanaan sumber daya Perusahaan (ERP) mereka mati dan bahwa “sebagian besar lokasi grup di seluruh dunia terpengaruh.”

Palfinger juga meminta mitra untuk tidak membuat pesanan pembelian lebih lanjut untuk saat ini.

Tidak diketahui apa yang menyebabkan serangan siber tersebut, tetapi kemungkinan itu adalah serangan ransomware.

Sumber: Bleeping Computer

Bug Cisco DNA Center Membuka Perusahaan untuk Serangan Jarak Jauh

by

Kerentanan cross-site request forgery (CSRF) di Cisco Digital Network Architecture (DNA) Center dapat membuka peluang bagi pengguna perusahaan untuk diserang dan diambil alih dari jarak jauh.

Cacat tersebut, dilacak sebagai CVE-2021-1257, ada di antarmuka manajemen berbasis web dari Cisco DNA Center, yang merupakan platform manajemen dan orkestrasi jaringan terpusat untuk Cisco DNA. Ini membawa skor kerentanan-keparahan CVSS 7,1, menjadikannya tingkat keparahan tinggi.

Antarmuka manajemen berbasis web yang digunakan untuk mengakses dan menggunakan Cisco DNA Center memiliki perlindungan CSRF yang tidak memadai dalam versi perangkat lunak sebelum 2.1.1.0. Patch yang dikeluarkan pada 25 Januari mengatasi masalah tersebut.

Penyerang dapat mengeksploitasi kerentanan dengan merekayasa sosial pengguna manajemen berbasis web agar mengikuti tautan yang dibuat khusus, misalnya melalui email phishing atau obrolan. Jika pengguna mengklik link tersebut, penyerang dapat melakukan tindakan sewenang-wenang pada perangkat dengan hak istimewa pengguna yang diautentikasi.

Tindakan ini termasuk memodifikasi konfigurasi perangkat, memutuskan sesi pengguna dan menjalankan perintah Command Runner, catat Cisco.

Kerentanan ini diperbaiki di Cisco DNA Center Software rilis 2.1.1.0, 2.1.2.0, 2.1.2.3 dan 2.1.2.4, dan yang lebih baru.

Sumber: Threat Post

Botnet DreamBus menargetkan aplikasi perusahaan yang berjalan di server Linux

by

Kemungkinannya adalah jika Anda menggunakan server Linux secara online akhir-akhir ini dan Anda membiarkan kelemahan terkecil sekalipun, grup kejahatan siber akan menjeratnya sebagai bagian dari botnetnya. Ancaman terbaru ini bernama DreamBus.

Analisis dalam laporan yang diterbitkan minggu lalu oleh firma keamanan Zscaler, perusahaan tersebut mengatakan ancaman baru ini adalah varian dari botnet lama bernama SystemdMiner, yang pertama kali terlihat pada awal 2019.

Tapi versi DreamBus saat ini telah menerima beberapa perbaikan dibandingkan dengan penampakan SystemdMiner awal.

Saat ini, botnet menargetkan aplikasi tingkat perusahaan yang berjalan di sistem Linux. Target mencakup banyak koleksi aplikasi, seperti PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, dan layanan SSH.

Beberapa dari aplikasi ini ditargetkan dengan serangan brute force terhadap nama pengguna administrator default mereka, yang lain dengan perintah jahat yang dikirim ke endpoint API yang terbuka, atau melalui eksploitasi untuk kerentanan yang lebih lama.

Idenya adalah untuk memberi geng DreamBus pijakan di server Linux di mana mereka nantinya dapat mengunduh dan menginstal aplikasi sumber terbuka yang menambang cryptocurrency Monero (XMR) untuk menghasilkan keuntungan bagi para penyerang.

Zscaler juga mengatakan bahwa DreamBus menggunakan beberapa tindakan untuk mencegah deteksi yang mudah. Salah satunya adalah bahwa semua sistem yang terinfeksi malware dikomunikasikan dengan server command and control (C&C) botnet melalui protokol DNS-over-HTTPS (DoH) yang baru. Malware berkemampuan DoH sangat jarang, karena rumit untuk disiapkan.

Selengkapnya: ZDNet

Bug yang sudah berusia puluhan tahun di sudo Linux dapat disalahgunakan oleh semua pengguna yang login untuk mendapatkan hak akses root

by

Peneliti keamanan dari Qualys telah mengidentifikasi kerentanan heap buffer overflow di sudo yang dapat dimanfaatkan oleh pengguna nakal untuk mengambil alih sistem host.

Sudo adalah utilitas baris perintah open source yang banyak digunakan di Linux dan sistem operasi Unix lainnya. Ini dirancang untuk memberikan kontrol administratif pengguna yang dipilih dan tepercaya saat diperlukan.

Bug (CVE-2021-3156) yang ditemukan oleh Qualys, memungkinkan setiap pengguna lokal untuk mendapatkan akses level root pada host yang rentan dalam konfigurasi defaultnya.

Versi sudo yang terpengaruh adalah: 1.8.2 hingga 1.8.31p2 dan 1.9.0 hingga 1.9.5p1. Qualys mengembangkan eksploitasi untuk beberapa distribusi Linux, termasuk Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27), dan Fedora 33 (Sudo 1.9.2), dan biz keamanan percaya bahwa distribusi lain juga rentan.

Ubuntu dan Red Hat telah menerbitkan tambalan, dan distro Anda mungkin juga memilikinya, jadi tambalah segera.

Dalam artikelnya, peneliti Qualys menjelaskan, “set_cmnd() rentan terhadap buffer overflow berbasis heap, karena karakter out-of-bounds yang disalin ke buffer ‘user_args’ tidak disertakan dalam ukurannya.”

Dalam sebuah pernyataan, Mehul Revankar, VP manajemen produk dan teknik di Qualys, mengatakan kerentanan “mungkin merupakan kerentanan sudo paling signifikan dalam memori baru-baru ini (baik dalam hal cakupan dan dampak) dan telah bersembunyi di depan mata selama hampir 10 tahun.”

Sumber: The Register

Peretas membocorkan data 2,28 juta pengguna situs kencan

by

Seorang peretas terkenal minggu ini membocorkan rincian lebih dari 2,28 juta pengguna yang terdaftar di MeetMindful.com, sebuah situs kencan yang didirikan pada tahun 2014.

Data situs kencan telah dibagikan sebagai unduhan gratis di forum peretasan yang dapat diakses publik yang dikenal karena perdagangannya dalam database yang diretas.

Data yang bocor, file 1,2 GB, tampaknya merupakan dump dari database pengguna situs.

Konten file ini mencakup banyak informasi yang diberikan pengguna saat mereka menyiapkan profil di situs MeetMindful dan aplikasi seluler.

Beberapa poin data paling sensitif yang disertakan dalam file tersebut meliputi:

  • Nama asli
  • Alamat email
  • Detail kota, negara bagian, dan kode pos
  • Detail tubuh
  • Preferensi kencan
  • Status pernikahan
  • Tanggal lahir
  • Lintang dan bujur
  • Alamat IP
  • Kata sandi akun dengan hash Bcrypt
  • ID pengguna Facebook
  • Token otentikasi Facebook
Sumber: ZDNet

Meskipun tidak semua akun yang bocor menyertakan detail lengkapnya, bagi banyak pengguna MeetMindful, data yang diberikan dapat digunakan untuk melacak profil kencan mereka kembali ke identitas dunia nyata mereka.

Data situs dirilis oleh pelaku ancaman yang dikenal sebagai ShinyHunters, yang awal pekan ini juga membocorkan detail jutaan pengguna yang terdaftar di Teespring, sebuah portal web yang memungkinkan pengguna membuat dan menjual pakaian yang dicetak khusus.

Sumber: ZDNet

Laptop yang diberikan ke sekolah-sekolah Inggris sudah ditanami dengan worm remote-access

by

Sebuah pengiriman laptop yang dipasok ke sekolah-sekolah Inggris oleh Departemen Pendidikan untuk membantu anak-anak belajar karena lockdown telah ditanami dengan malware, The Register mengungkapkan.

Laptop yang terpengaruh, didistribusikan ke sekolah-sekolah di bawah skema Get Help With Technology (GHWT) pemerintah Inggris, yang dimulai tahun lalu, dibundel dengan Gamarue – worm remote-access lama dari tahun 2010-an. Perangkat lunak jahat ini tidak hanya menyebar dari komputer ke komputer, tetapi juga mencoba untuk terhubung ke server luar untuk instruksi yang harus dilakukan.

Register melaporkan bahwa sekumpulan 23.000 komputer, GeoBook 1E yang menjalankan Windows 10, yang dibuat oleh Tactus Group yang bermarkas di Shenzhen, berisi unit yang dimuat dengan malware. 77.000 unit Geo telah dikirim sejauh ini di bawah GHWT, dengan beberapa ribu tersisa untuk dikirimkan.

The Register telah diperlihatkan email yang dikirim ke dan dari Departemen Pendidikan (DfE), yang mengawasi skema GHWT, menandai kekhawatiran tentang laptop. Tampaknya setidaknya satu sekolah memformat dan menginstal ulang laptop dari awal yang diketahui sebagai akibat infeksi sebelum memberikannya kepada siswa.

Sumber: The Register

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

by

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet