Cybersecurity

Serangan Bypass NAT/Firewall Baru Memungkinkan Peretas Mengakses Layanan TCP/UDP

November 4, 2020 by Winnie the Pooh

Sebuah penelitian baru telah mendemonstrasikan teknik yang memungkinkan penyerang untuk melewati perlindungan firewall dan mengakses layanan TCP/UDP dari jarak jauh pada mesin korban.

Temuan ini diungkapkan oleh peneliti privasi dan keamanan Samy Kamkar pada akhir pekan lalu.

Disebut NAT Slipstreaming, metode ini melibatkan mengirimkan kepada target sebuah tautan ke situs berbahaya (atau situs sah yang dimuat dengan iklan berbahaya) yang, ketika dikunjungi, pada akhirnya memicu gateway untuk membuka port TCP/UDP pada korban, dengan demikian menghindari pembatasan port berbasis browser.

Teknik ini dilakukan dengan menggunakan router NetGear Nighthawk R7000 yang menjalankan kernel Linux versi 2.6.36.4.

Network address translation (NAT) adalah proses di mana perangkat jaringan, seperti firewall, memetakan kembali ruang alamat IP ke yang lain dengan mengubah informasi alamat jaringan di header IP paket saat mereka transit.

Keuntungan utamanya adalah membatasi jumlah alamat IP publik yang digunakan di jaringan internal organisasi dan meningkatkan keamanan dengan membiarkan satu alamat IP publik dibagikan di antara banyak sistem.

NAT Slipstreaming bekerja dengan memanfaatkan segmentasi paket TCP dan IP untuk menyesuaikan batas paket dari jarak jauh dan menggunakannya untuk membuat paket TCP/UDP dimulai dengan metode SIP (Session Initiation Protocol) seperti REGISTER atau INVITE.

Dengan kata lain, campuran segmentasi paket dan permintaan SIP di HTTP dapat digunakan untuk mengelabui NAT ALG agar membuka port untuk koneksi masuk ke klien.

Seluruh kode proof-of-concept untuk NAT Slipstreaming dapat ditemukan di sini.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: The Hacker News

Google menambal Chrome zero-day kedua dalam dua minggu

November 3, 2020 by Winnie the Pooh

Google telah merilis pembaruan keamanan hari ini untuk browser web Chrome-nya yang menambal sepuluh bug keamanan, termasuk satu kerentanan zero-day yang saat ini aktif dieksploitasi di alam liar.

Diidentifikasi sebagai CVE-2020-16009, zero-day ini ditemukan oleh Grup Analisis Ancaman (TAG) Google, tim keamanan di Google yang bertugas melacak pelaku ancaman dan operasi mereka yang sedang berlangsung.

Dengan cara khas Google, detail tentang zero-day dan grup yang mengeksploitasi bug belum dipublikasikan – untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lain mengembangkan eksploitasi mereka sendiri untuk zero-day yang sama.

Namun, dalam changelog singkat yang diterbitkan hari ini, Google mengatakan kerentanan zero-day ini berada di V8, komponen Chrome yang menangani kode JavaScript.

Pengguna Chrome disarankan untuk memperbarui browser mereka ke versi 86.0.4240.183 segera.

Berita selengkapnya dapat dibaca pada tautan di bawa ini;
Source: ZDNet

CERT/CC meluncurkan bot Twitter untuk memberi nama random pada bug keamanan

November 3, 2020 by Winnie the Pooh

Dalam upaya untuk mengurangi penggunaan nama kerentanan yang sensasional dan menakutkan, tim CERT/CC meluncurkan bot Twitter yang akan menetapkan nama secara random dan netral ke setiap bug keamanan yang menerima pengenal CVE.

Dinamakan Vulnonim, bot dioperasikan oleh Pusat Koordinasi CERT (CERT/CC) di Universitas Carnegie Mellon, tim CERT pertama yang dibuat, dan sekarang menjadi kolaborator dan mitra tim resmi US-CERT DHS.

Ide untuk bot ini muncul setelah diskusi yang tampaknya tak berujung seputar topik “jika kerentanan harus memiliki nama?”

Selama beberapa dekade, semua kelemahan keamanan utama telah diberi pengenal CVE oleh MITRE Corporation. ID ini biasanya dalam format CVE-[TAHUN]-[NOMOR], seperti CVE-2019-0708. Perusahaan dan peneliti menyadari bahwa bug yang mereka temukan memiliki lebih banyak peluang untuk lebih menonjol jika bug itu memiliki nama yang terdengar keren.

Dalam sebuah posting blog, tim CERT/CC memutuskan untuk mengedepankan solusi untuk menempatkan beberapa urutan dalam penamaan kerentanan. Jawaban mereka adalah bot Vulnonim, yang akan menetapkan nama kode dua kata dalam format kata sifat-kata sifat untuk setiap ID CVE yang baru ditetapkan.

Leigh Metcalf, anggota tim CERT/CC berpendapat bahwa manusia pada dasarnya membutuhkan istilah yang mudah diingat untuk menggambarkan bug keamanan karena “manusia tidak dikondisikan dengan baik untuk mengingat angka,” seperti yang digunakan untuk ID CVE.

“Tujuan kami adalah untuk menciptakan nama netral yang menyediakan sarana bagi orang untuk mengingat kerentanan tanpa menyiratkan betapa menakutkan (atau tidak menakutkan) kerentanan tertentu yang dimaksud,” kata Metcalf.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Marriott didenda £18,4 juta oleh pengawas Inggris atas pelanggaran data pelanggan

November 3, 2020 by Winnie the Pooh

Kantor Komisaris Informasi (ICO) telah mendenda Marriott sebesar £18,4 juta atas pelanggaran data pada tahun 2014, yang hukumannya telah dikurangi karena adanya COVID-19.

Grup hotel Marriott menjadi sasaran pelanggaran data tahun 2014 yang berdampak pada Starwood resort chain, yang diakuisisi oleh Marriott pada tahun 2015.

Pada saat itu, pelaku ancaman dapat menyusup ke sistem Starwood dan mengeksekusi malware melalui web shell, termasuk alat akses jarak jauh dan perangkat lunak pemanen kredensial.

Para penyerang kemudian dapat memasukkan database yang digunakan untuk menyimpan data reservasi tamu termasuk nama, alamat email, nomor telepon, nomor paspor, detail perjalanan, dan informasi program loyalitas.

Serangan berlanjut hingga 2018, dan selama empat tahun, informasi milik sekitar 339 juta tamu dicuri. Secara total, tujuh juta catatan yang berkaitan dengan tamu Inggris terungkap.

Namun, pengawas tersebut mengakui bahwa “Marriott melakukan tindakan secepat mungkin untuk menghubungi pelanggan dan ICO” setelah insiden keamanan siber terungkap, dan “bertindak cepat untuk mengurangi risiko kerusakan yang diderita pelanggan.”

“Jutaan data orang terpengaruh oleh kegagalan Marriott; ribuan orang menghubungi saluran bantuan dan orang lain mungkin harus mengambil tindakan untuk melindungi data pribadi mereka karena perusahaan yang mereka percayai tidak melakukannya,” komentar Elizabeth Denham, Komisaris Informasi Inggris. “Ketika sebuah bisnis gagal menjaga data pelanggan, dampaknya bukan hanya kemungkinan denda, yang paling penting adalah publik yang datanya harus mereka lindungi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Paket npm berbahaya membuka backdoor di komputer programmer

November 3, 2020 by Winnie the Pooh

Tim keamanan npm telah menghapus library JavaScript berbahaya dari situs web npm yang berisi kode berbahaya untuk membuka backdoor di komputer programmer.

Library JavaScript diberi nama “twilio-npm,” dan perilakunya yang berbahaya ditemukan pada akhir pekan lalu oleh Sonatype, sebuah perusahaan yang memantau repositori paket publik sebagai bagian dari layanan operasi keamanan pengembang (DevSecOps).

Dalam sebuah laporan, Sonatype mengatakan library tersebut pertama kali diterbitkan di situs web npm pada hari Jumat, ditemukan pada hari yang sama, dan dihapus pada 2 November setelah tim keamanan npm memasukkan paket tersebut ke daftar hitam.

Meskipun portal npm berumur pendek, library tersebut telah diunduh lebih dari 370 kali dan secara otomatis disertakan dalam proyek JavaScript yang dibangun dan dikelola melalui utilitas baris perintah npm (Node Package Manager).

Ax Sharma, peneliti keamanan Sonatype yang menemukan dan menganalisis library tersebut, mengatakan kode berbahaya yang ditemukan di library Twilio palsu membuka shell reverse TCP di semua komputer tempat library diunduh dan diimpor di dalam proyek JavaScript/npm/Node.js.

Reverse shell membuka koneksi ke “4.tcp.ngrok[.]Io:11425” dimana ia menunggu untuk menerima perintah baru untuk dijalankan di komputer pengguna yang terinfeksi.

Sharma mengatakan shell terbalik hanya bekerja pada sistem operasi berbasis UNIX.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Grup peretas menggunakan Solaris zero-day untuk menerobos jaringan perusahaan

November 3, 2020 by Winnie the Pooh

Mandiant, unit investigasi firma keamanan FireEye, telah menerbitkan rincian tentang aktor ancaman baru yang mereka sebut UNC1945. Perusahaan keamanan tersebut mengatakan menggunakan kerentanan zero-day dalam sistem operasi Oracle Solaris sebagai bagian dari intrusi ke jaringan perusahaan.

Target reguler serangan UNC1945 termasuk perusahaan telekomunikasi, keuangan, dan konsultasi, kata tim Mandiant dalam sebuah laporan yang diterbitkan tanggal 2 November 2020.

Dilacak sebagai CVE-2020-14871, zero-day ini adalah kerentanan dalam Solaris Pluggable Authentication Module (PAM) yang memungkinkan UNC1945 untuk melewati prosedur otentikasi dan memasang backdoor bernama SLAPSTICK di server Solaris yang terpapar internet.

Mandiant mengatakan para peretas kemudian menggunakan backdoor ini sebagai titik masuk untuk meluncurkan operasi pengintaian di dalam jaringan perusahaan dan berpindah secara lateral ke sistem lain.

Untuk menghindari deteksi, Mandiant mengatakan kelompok itu mengunduh dan menginstal mesin virtual QEMU yang menjalankan versi Tiny Core Linux OS.

Mandiant mengatakan pihaknya mengamati kelompok tersebut menggunakan bermacam-macam pengujian penetrasi sumber terbuka dan alat keamanan, tetapi juga jenis malware khusus. Perusahaan juga percaya bahwa UNC1945 membeli EVILSUN (alat yang memungkinkan mereka untuk mengeksploitasi zero-day Solaris dan menanam backdoor SLAPSTICK) dari forum peretasan publik seharga $3.000 (Rp 43 juta).

Zero-day (CVE-2020-14871) telah di-patch bulan lalu di patch keamanan Oracle Oktober 2020.

Berita selengkapnya serta IoC dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Fire Eye

Malware Android Firestarter Menyalahgunakan Google Firebase Cloud Messaging

November 2, 2020 by Winnie the Pooh

Grup APT memulai serangan dengan loader malware Android baru, yang menggunakan layanan perpesanan Google yang sah untuk melewati deteksi.

Malware, yang dijuluki “Firestarter”, digunakan oleh grup ancaman APT yang disebut “DoNot”. DoNot menggunakan Firebase Cloud Messaging (FCM), yang merupakan solusi cloud lintas platform untuk pesan dan notifikasi untuk aplikasi Android, iOS, dan web. Layanan ini disediakan oleh Firebase, anak perusahaan Google, dan sebelumnya juga telah dimanfaatkan oleh penjahat siber.

Dalam hal ini, loader menggunakannya sebagai mekanisme komunikasi untuk terhubung dengan server perintah-dan-kontrol (C2) DoNot, membantu aktivitas grup menghindari deteksi.

“Penelitian kami mengungkapkan bahwa DoNot telah bereksperimen dengan teknik baru untuk menjaga pijakan pada mesin korban mereka,” menurut peneliti dengan Cisco Talos dalam analisis hari Kamis. “Eksperimen ini, yang dibuktikan dengan loader Firestarter, adalah tanda betapa bertekadnya mereka untuk tetap menjalankan operasi meskipun terekspos, yang menjadikan mereka aktor yang sangat berbahaya yang beroperasi di area spionase.”

Tim DoNot terus berfokus pada India dan Pakistan, dan dikenal karena menargetkan pejabat pemerintah Pakistan dan organisasi nirlaba Kashmir (Kashmir adalah kelompok etnis Dardik yang berasal dari Lembah Kashmir yang disengketakan).

Pengguna dibujuk untuk memasang aplikasi berbahaya di perangkat seluler mereka, kemungkinan dilakukan melalui pesan langsung yang memanfaatkan rekayasa sosial, kata peneliti. Nama file aplikasi Android ini (kashmir_sample.apk atau Kashmir_Voice_v4.8.apk) menunjukkan minat yang berkelanjutan di India, Pakistan, dan krisis Kashmir.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

WordPress Menambal Bug RCE Keparahan Tinggi Berusia 3 Tahun

November 2, 2020 by Winnie the Pooh

WordPress merilis pembaruan 5.5.2 untuk platform perangkat lunak penerbitan web nya.

Pembaruan ini menambal bug dengan tingkat keparahan tinggi, yang dapat memungkinkan penyerang jauh yang tidak diautentikasi untuk mengambil alih situs web yang ditargetkan melalui serangan denial-of-service yang telah disesuaikan.

Secara keseluruhan, Rilis Keamanan dan Pemeliharaan WordPress menangani 10 bug keamanan dan juga membawa banyak peningkatan fitur ke platform. WordPress mengatakan pembaruan tersebut adalah “rilis keamanan dan pemeliharaan siklus pendek” sebelum rilis utama berikutnya versi 5.6. Dengan pembaruan ini, semua versi sejak WordPress 3.7 juga akan menjadi yang terbaru.

Peneliti yang menemukan bug tersebut, Omar Ganiev, pendiri DeteAct, mengatakan kepada Threatpost bahwa dampak kerentanan mungkin tinggi, tetapi kemungkinan musuh dapat mereproduksi serangan di alam liar rendah.

Baik WordPress maupun Ganiev tidak percaya bahwa kerentanan telah dieksploitasi di alam liar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings