Cybersecurity

TikTok Memperbaiki bug reflected XSS, eksploitasi pengambilalihan akun satu klik

November 24, 2020 by Winnie the Pooh

TikTok telah menambal cacat keamanan reflected XSS dan bug yang menyebabkan pengambilalihan akun yang memengaruhi domain web perusahaan.

Dilaporkan melalui platform bug bounty HackerOne oleh peneliti Muhammed “milly” Taskiran, kerentanan pertama terkait dengan parameter URL di domain tiktok.com yang tidak dibersihkan dengan benar.

Peneliti bug bounty menemukan bahwa masalah ini dapat dieksploitasi untuk mencapai reflected cross-site scripting (XSS), yang berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.

Selain itu, Taskiran menemukan endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF), serangan di mana pelaku ancaman dapat menipu pengguna untuk mengirimkan tindakan atas nama mereka ke aplikasi web sebagai pengguna tepercaya.

“Endpoint memungkinkan saya menyetel kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar,” kata pemburu bug itu.

Taskiran dianugerahi hadiah bug bounty sebesar $ 3.860.

Sumber: ZDNet

Lebih dari 300 ribu akun Spotify diretas dalam serangan credential stuffing

November 24, 2020 by Winnie the Pooh

Peretas telah mencoba untuk mendapatkan akses ke akun Spotify menggunakan database 380 juta data dengan kredensial login dan informasi pribadi yang dikumpulkan dari berbagai sumber.

Sebuah laporan baru yang merinci bagaimana database yang berisi lebih dari 380 juta data, termasuk kredensial login, secara aktif digunakan untuk meretas akun Spotify dapat menjelaskan pelanggaran akun ini.

Serangan umum yang digunakan untuk meretas akun disebut serangan credential stuffing, yaitu ketika pelaku ancaman menggunakan kumpulan besar kombinasi nama pengguna / sandi yang bocor dalam pelanggaran keamanan sebelumnya untuk mendapatkan akses ke akun pengguna di platform online lainnya.

Hari ini, VPNMentor merilis laporan tentang database yang terekspos di Internet yang berisi 300 juta data kombinasi nama pengguna dan kata sandi yang digunakan dalam serangan isian kredensial terhadap Spotify.

Setiap data dalam database ini berisi nama login (alamat email), kata sandi, dan apakah kredensial berhasil masuk ke akun Spotify, seperti yang ditunjukkan di bawah ini.

Tidak diketahui bagaimana 300 juta data ini dikumpulkan, tetapi kemungkinan melalui pelanggaran data atau “koleksi” kredensial yang besar yang biasanya dirilis oleh pelaku ancaman secara gratis.

Para peneliti percaya bahwa 300 juta data yang terdaftar dalam database memungkinkan penyerang menembus 300.000 hingga 350.000 akun Spotify.

Sumber: Bleeping Computer

Malware membuat toko online palsu di atas situs WordPress yang diretas

November 24, 2020 by Winnie the Pooh

Geng kejahatan siber baru terlihat mengambil alih situs WordPress yang rentan untuk memasang toko e-commerce tersembunyi dengan tujuan membajak peringkat dan reputasi search engine situs asli serta mempromosikan penipuan online.

Serangan tersebut ditemukan awal bulan ini dengan menargetkan honeypot WordPress yang disiapkan dan dikelola oleh Larry Cashdollar, seorang peneliti keamanan untuk tim keamanan Akamai.

Para penyerang memanfaatkan serangan brute-force untuk mendapatkan akses ke akun admin situs, setelah itu mereka menimpa file indeks utama situs WordPress dan menambahkan kode berbahaya.

Sementara kode itu sangat disamarkan, Cashdollar mengatakan peran utama malware adalah bertindak sebagai proxy dan mengarahkan semua lalu lintas masuk ke server command-and-control (C&C) jarak jauh yang dikelola oleh peretas.

Di server inilah seluruh “logika bisnis” serangan terjadi. Menurut Cashdollar, tipikal serangan adalah sebagai berikut:

Pengguna mengunjungi situs WordPress yang diretas.
Situs WordPress yang diretas mengalihkan permintaan pengguna untuk melihat situs tersebut ke server C&C malware.
Jika pengguna memenuhi kriteria tertentu, server C&C memberi tahu situs tersebut untuk membalas dengan file HTML berisi toko online yang menjajakan berbagai macam objek duniawi.
Situs yang diretas menanggapi permintaan pengguna dengan toko online palsu alih-alih situs asli yang ingin dilihat pengguna.

Cashdollar mengatakan bahwa selama peretas memiliki akses ke honeypot nya, para penyerang menampung lebih dari 7.000 toko e-commerce yang mereka maksudkan untuk melayani pengunjung yang datang.

Selain itu, para peneliti Akamai mengatakan para peretas juga membuat peta situs XML untuk situs WordPress yang diretas yang berisi entri untuk toko online palsu bersama dengan halaman asli situs tersebut. Ini berakibat meracuni kata kuncinya dengan entri yang tidak terkait dan palsu yang menurunkan peringkat halaman hasil mesin pencari (SERP) situs web.

Sumber: ZDNet

Router eksklusif Walmart dan lainnya yang dijual di Amazon & eBay memiliki backdoor tersembunyi untuk mengontrol perangkat

November 24, 2020 by Winnie the Pooh

Dalam kolaborasi antara CyberNews Sr. Peneliti Keamanan Informasi Mantas Sasnauskas dan peneliti James Clee dan Roni Carta, backdoor yang mencurigakan telah ditemukan di router Jetstream buatan China, dijual secara eksklusif di Walmart sebagai router wifi yang “terjangkau”.

Backdoor ini memungkinkan penyerang memiliki kemampuan untuk mengontrol tidak hanya router, tetapi juga perangkat apa pun yang terhubung ke jaringan itu dari jarak jauh.

Selain router Jetstream, tim peneliti keamanan siber juga menemukan bahwa router Wavlink berbiaya rendah, biasanya dijual di Amazon atau eBay, memiliki backdoor serupa. Router Wavlink juga berisi skrip yang memindai wifi terdekat dan memiliki kemampuan untuk terhubung ke jaringan tersebut.

Para peneliti keamanan juga menemukan bukti bahwa backdoor ini secara aktif dieksploitasi, dan ada upaya untuk menambahkan perangkat ke botnet Mirai.

Meskipun Jetstream memiliki kesepakatan eksklusif dengan Walmart, dan dijual dengan nama merek lain seperti Ematic, hanya ada sedikit informasi yang tersedia tentang perusahaan China mana yang benar-benar memproduksi produk ini. Sementara Wavlink adalah perusahaan teknologi yang berbasis di Shenzhen, Cina, di provinsi Guangdong.

Salah satu aspek paling menarik dari penelitian ini adalah penemuan backdoor mencurigakan yang diaktifkan di semua perangkat.

Router Jetstream dan Wavlink menampilkan GUI sederhana (atau antarmuka yang ramah pengguna) untuk backdoor nya yang berbeda dari antarmuka yang disajikan kepada admin router. Meskipun Wavlink memiliki instruksi di situs webnya tentang bagaimana pengguna dapat mengakses router mereka, backdoor yang ditemukan tampaknya diarahkan pada eksekusi kode jarak jauh, atau RCE.

Penelitian ini juga menemukan bahwa kredensial yang diperlukan untuk mengakses perangkat diperiksa di kode Javascript. Artinya, jika Anda akan memeriksa elemen, pada endpoint tertentu Anda dapat mengambil kata sandi root dan mengakses komputer target dari jarak jauh.

Di perangkat yang tidak memiliki sandi di Javascript, ada cadangan tidak terenkripsi yang dapat diunduh tanpa autentikasi. Cadangan ini akan memungkinkan penyerang mendapatkan kata sandi admin juga.

Tonton video di bawah ini untuk mendengar langsung dari Sasnauskas, Clee dan Carta tentang bagaimana mereka menemukan backdoor dan apa artinya bagi konsumen:

Sumber: Cyber News

Layanan gratis Google sekarang menjadi sahabat kampanye phishing

November 20, 2020 by Winnie the Pooh

Pelaku ancaman menyalahgunakan alat dan layanan produktivitas gratis Google untuk membuat kampanye phishing yang meyakinkan yang dapat mencuri kredensial Anda atau mengelabui Anda agar memasang malware.

Dalam laporan baru oleh firma keamanan email Armorblox, peneliti menggambarkan bagaimana pelaku ancaman membuat kampanye phishing yang rumit menggunakan layanan Google yang tidak hanya terlihat meyakinkan tetapi juga menghindari deteksi.

Salah satunya adalah layanan pembuatan formulir gratis yang disebut Google Form yang memungkinkan siapa saja membuat survei online gratis yang kemudian dapat dikirim ke pengguna lain.

Namun, pelaku ancaman menyalahgunakan Google Form untuk membuat formulir yang rumit yang berupaya mencuri kredensial Anda, seperti formulir pemulihan akun American Express palsu pada contoh berikut. Pelaku ancaman kemudian dapat mengumpulkan informasi yang diserahkan di kemudian hari.

Selain itu, layanan Google yang paling umum digunakan dalam penipuan phishing adalah Google Documents. Layanan ini tidak hanya digunakan untuk mengarahkan penerima ke pencurian kredensial dan penipuan akuntansi, tetapi juga untuk mengirimkan malware.

Karena Google Docs sangat banyak digunakan, hampir semua dokumen baru akan melewati gerbang email yang aman sampai mereka diidentifikasi sebagai berbahaya.

Google Docs juga banyak digunakan dalam kampanye malware BazarLoader sebagai halaman perantara untuk mendownload malware yang menyamar sebagai invoice, informasi COVID-19, dan jenis dokumen lainnya.

Baca berita selengkapnya pada tautan di bawah ini;
Sumber: Bleeping Computer

Serangan LidarPhone mengubah penyedot debu pintar menjadi mikrofon

November 20, 2020 by Winnie the Pooh

Sebuah tim akademisi telah merinci penelitian baru minggu ini yang mengubah penyedot debu pintar menjadi mikrofon yang mampu merekam percakapan di sekitarnya.

Dinamakan LidarPhone, teknik ini bekerja dengan mengambil komponen navigasi berbasis laser LiDAR built-in dari vakum dan mengubahnya menjadi mikrofon laser.

Mikrofon laser adalah alat pengintai terkenal yang digunakan selama Perang Dingin untuk merekam percakapan dari jauh. Agen intelijen mengarahkan laser ke jendela yang jauh untuk memantau bagaimana kaca bergetar dan menerjemahkan getaran untuk menguraikan percakapan yang terjadi di dalam ruangan.

Akademisi dari University of Maryland dan National University of Singapore mengambil konsep sederhana yang sama tetapi menerapkannya pada robot pembersih vakum Xiaomi Roborock.

Serangan LidarPhone tidak langsung, dan kondisi tertentu harus dipenuhi. Sebagai permulaan, penyerang perlu menggunakan malware atau proses pembaruan yang tercemar untuk memodifikasi firmware penyedot debu untuk mengambil kendali komponen LiDAR.

Ini diperlukan karena LiDAR vakum bekerja dengan berputar setiap saat, sebuah proses yang mengurangi jumlah titik data yang dapat dikumpulkan penyerang.

Melalui firmware yang telah terkompromi, penyerang perlu menghentikan LiDAR vakum agar tidak berputar dan sebaliknya memfokuskannya pada satu objek terdekat pada satu waktu, di mana ia dapat merekam bagaimana permukaannya bergetar menjadi gelombang suara.

Para peneliti juga mengatakan pembacaan laser yang dikumpulkan perlu diunggah ke server jarak jauh penyerang untuk diproses lebih lanjut guna meningkatkan sinyal dan mendapatkan kualitas suara ke keadaan yang dapat dipahami oleh pengamat manusia.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Highlight dari Unit 42 Cloud Threat Report, 2H 2020

November 19, 2020 by Winnie the Pooh

Dalam Laporan Ancaman Cloud dari Unit 42 edisi 2H 2020, para peneliti melakukan Red Team exercise, memindai data cloud publik, dan menarik data milik Palo Alto Networks untuk menjelajahi lanskap ancaman dari identitas dan manajemen akses (IAM) dan mengidentifikasi di mana organisasi dapat meningkatkan konfigurasi IAM mereka.

Selama Red Team exercise, peneliti Unit 42 dapat menemukan dan memanfaatkan kesalahan konfigurasi IAM untuk mendapatkan akses admin ke seluruh lingkungan cloud Amazon Web Services (AWS) – potensi pelanggaran data jutaan dolar di dunia nyata.

Para peneliti berhasil mengeksploitasi IAM role trust policy “AssumeRole” yang salah dikonfigurasi untuk mendapatkan akses sementara ke resource sensitif.

Kebijakan yang salah dikonfigurasi memungkinkan setiap pengguna AWS yang tidak berada di akun untuk mengambil peran dan mendapatkan token akses. Hal ini dapat mengakibatkan sejumlah serangan terhadap organisasi, termasuk denial-of-service (DoS) dan ransomware, atau bahkan membuka pintu untuk advanced persistent threat (APT).

Peneliti Unit 42 menemukan bahwa 75% organisasi di Jepang dan Asia-Pasifik (JAPAC), serta 74% organisasi di Eropa, Timur Tengah, dan Afrika (EMEA), menggunakan Google Cloud untuk menjalankan workloads dengan hak istimewa admin.

Sebaliknya, hanya 54% organisasi di Amerika yang menjalankan jenis hak istimewa yang sama. Ini adalah praktik terbaik untuk menjalankan workloads dengan prinsip hak istimewa paling rendah – membatasi izin untuk pengguna seminimal yang mereka butuhkan.

Jika penyerang dapat membahayakan workload dengan hak istimewa admin, penyerang akan mendapatkan tingkat akses yang sama. Ini menyediakan jalur yang mudah bagi penyerang untuk menggunakan sumber daya cloud untuk melakukan serangan, seperti operasi cryptojacking, dengan mengorbankan organisasi.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Unit 42 Paloalto

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings