Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug Containerd Mengekspos Kredensial Akun Cloud

by

Kerentanan keamanan dapat dimanfaatkan untuk memaksa platform cloud containerd untuk mengungkap registri host atau kredensial akun cloud pengguna.

Containerd menyebut dirinya sebagai alat runtime yang “mengelola siklus hidup kontainer lengkap dari sistem hostnya, mulai dari transfer dan penyimpanan gambar hingga eksekusi kontainer dan pengawasan hingga penyimpanan tingkat rendah hingga lampiran jaringan dan seterusnya. Dengan demikian, ia menawarkan visibilitas yang dalam ke lingkungan cloud pengguna, di berbagai vendor.

Kerentanan ini (CVE-2020-15157) terletak dalam proses pengambilan gambar kontainer, menurut Gal Singer, peneliti di Aqua.

“Gambar kontainer adalah kombinasi dari file manifes dan beberapa file lapisan individu,” tulisnya dalam posting baru-baru ini. “File manifes [dalam format Gambar V2 Schema 2]… dapat berisi ‘lapisan asing’ yang ditarik dari registri jarak jauh. Saat menggunakan containerd, jika registri jarak jauh merespons dengan kode status HTTP 401, bersama dengan header HTTP tertentu, host akan mengirimkan token autentikasi yang dapat dicuri.”

Non-Trivial Exploitation

Peneliti Brad Geesaman di Darkbit, yang melakukan penelitian tentang kerentanan (yang ia sebut “ContainerDrip”), mengumpulkan proof-of-concept (PoC) untuk vektor serangan terkait.

“Pertanyaannya menjadi: ‘Bagaimana caranya membuat mereka mengirim kredensial mereka kepada saya [untuk otentikasi registri jarak jauh]?'” Katanya dalam sebuah posting awal bulan ini. “Ternyata, yang harus Anda lakukan adalah menanyakan pertanyaan yang tepat.”

Containerd telah menambal kerentanan ini, yang terdaftar dengan tingkat keparahan medium, di versi 1.2.4; containerd 1.3.x tidak rentan.

Untuk detail teknis dan PoC dapat dilihat pada tautan berikut:
Source: The Threat Post

Pelanggaran Vastaamo: Peretas yang Memeras Pasien Psikoterapi

by

Aktor siber telah meretas sistem raksasa psikoterapi Vastaamo – dan mengancam akan mengekspos file pasien mereka jika mereka tidak membayar uang tebusan.

Vastaamo yang berbasis di Finlandia, yang memiliki lebih dari 40.000 pasien psikoterapi, mengatakan di situs webnya bahwa daftar pelanggannya kemungkinan besar telah disusupi antara akhir November 2018 dan Maret 2019 (tidak jelas mengapa datanya baru muncul sekarang).

Menurut Vastaamo dan berbagai korban yang dilaporkan berbicara di Twitter, para penjahat siber sekarang mendekati pasien dan menuntut uang tebusan 200 € (Rp 3,5 juta) dari mereka – yang jumlahnya akan meningkat menjadi 500 € (Rp 8,7 juta) jika mereka tidak membayar dalam waktu 24 jam.

Para penyerang juga dilaporkan meminta 450.000 € (Rp 7,8 miliar) dalam bentuk Bitcoin dari Vastaamo.

Jack Mannino, CEO di nVisium, mengatakan kepada Threatpost bahwa banyak penyedia layanan kesehatan skala kecil hingga menengah dan lembaga pendidikan swasta tidak memiliki kontrol dan perlindungan keamanan dasar – seringkali karena tidak adanya pemahaman atau sumber daya untuk mengatasi tantangan ini.

“Sayangnya, lembaga-lembaga ini seringkali tidak memiliki kemampuan internal untuk melakukan pemantauan keamanan dan pengerasan lingkungan mereka secara terus menerus,” katanya. “Saat permukaan serangan mereka terus meningkat, data pasien akan tetap menjadi target di seluruh penyedia layanan kesehatan dan sekolah.”

“Meskipun semua kebocoran, terutama yang terkait dengan kesehatan pasien, bersifat sensitif, jenis data ini tidak sesederhana kasus tekanan darah tinggi,” kata Ray Kelly, insinyur keamanan utama di WhiteHat Security, kepada Threatpost.

“Kemampuan penyerang untuk mengungkapkan catatan psikologis pasien dapat sangat merusak reputasi seseorang dan memengaruhi banyak aspek, seperti hubungan atau karier mereka. Insentif bagi seseorang untuk membayar aktor jahat sangat tinggi dalam situasi ini.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Para Ahli Memperingatkan Risiko Privasi yang Disebabkan oleh Pratinjau Tautan di Aplikasi Perpesanan

by

Peneliti keamanan siber selama akhir pekan mengungkapkan risiko keamanan baru yang terkait dengan pratinjau tautan di aplikasi perpesanan populer yang menyebabkan layanan membocorkan alamat IP, mengekspos tautan yang dikirim melalui obrolan terenkripsi end-to-end, dan bahkan mengunduh gigabyte data secara diam-diam di latar belakang.

“Tautan yang dibagikan dalam obrolan mungkin berisi informasi pribadi yang ditujukan hanya untuk penerima,” kata peneliti Talal Haj Bakry dan Tommy Mysk.

“Ini bisa berupa tagihan, kontrak, catatan medis, atau apa pun yang mungkin dirahasiakan.”

“Aplikasi yang mengandalkan server untuk menghasilkan pratinjau tautan mungkin melanggar privasi penggunanya dengan mengirimkan tautan yang dibagikan dalam obrolan pribadi ke server mereka.”

Pratinjau tautan yang dihasilkan di sisi penerima membuka pintu ke risiko baru yang memungkinkan pelaku kejahatan untuk mengukur perkiraan lokasi mereka tanpa tindakan apa pun yang diambil oleh penerima hanya dengan mengirimkan tautan ke server di bawah kendali mereka.

Ini terjadi karena aplikasi perpesanan, setelah menerima pesan dengan tautan, membuka URL secara otomatis untuk membuat pratinjau dengan mengungkapkan alamat IP ponsel dalam permintaan yang dikirim ke server.

Reddit Chat dan aplikasi yang dirahasiakan, yang “dalam proses memperbaiki masalah ini”, ditemukan mengikuti pendekatan ini, menurut para peneliti.

Penggunaan server eksternal untuk menghasilkan pratinjau, sambil mencegah masalah kebocoran alamat IP, menciptakan masalah baru: Apakah server yang digunakan untuk membuat pratinjau menyimpan salinan, dan jika demikian, untuk berapa lama, dan untuk apa mereka menggunakannya?

Beberapa aplikasi, termasuk Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, dan Zoom, termasuk dalam kategori ini, tanpa ada indikasi bagi pengguna bahwa “server mengunduh apa pun yang mereka temukan di tautan”.

Pengujian aplikasi ini mengungkapkan bahwa kecuali untuk Facebook Messenger dan Instagram, yang lain memberlakukan batas 15-50 MB untuk file yang diunduh oleh server masing-masing. Slack, misalnya, menyimpan pratinjau tautan dalam cache selama sekitar 30 menit.

Meski begitu, para peneliti memperingatkan, ini bisa menjadi “mimpi buruk privasi” jika server menyimpan salinannya dan “pernah ada pelanggaran data dari server ini.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

Botnet KashmirBlack diyakini sebagai botnet di balik serangan siber pada WordPress, Joomla, Drupal, dan lainnya

by

Botnet yang sangat canggih diyakini telah menginfeksi ratusan ribu situs web dengan menyerang platform sistem manajemen konten (CMS) yang mendasarinya.

Dinamakan KashmirBlack, botnet ini mulai beroperasi pada November 2019.

Peneliti keamanan dari Imperva —yang menganalisis botnet minggu lalu— mengatakan tujuan utama botnet tampaknya untuk menginfeksi situs web dan kemudian menggunakan server mereka untuk penambangan mata uang kripto, mengarahkan lalu lintas sah situs ke halaman spam, dan ke derajat yang lebih rendah, menunjukkan adanya perusakan web.

Imperva mengatakan botnet ini awalnya kecil, tetapi setelah berbulan-bulan pertumbuhan konstan, telah berkembang menjadi raksasa canggih yang mampu menyerang ribuan situs per hari.

Saat ini, KashmirBlack “dikelola oleh satu server C&C (Command and Control) dan menggunakan lebih dari 60 – kebanyakan pengganti yang tidak bersalah – server sebagai bagian dari infrastrukturnya,” kata Imperva.

KashmirBlack berkembang dengan memindai internet untuk situs-situs yang menggunakan perangkat lunak usang dan kemudian menggunakan eksploitasi untuk mengetahui kerentanan yang diketahui menginfeksi situs dan server yang mendasarinya.

Sejak November 2019, Imperva mengatakan telah melihat 16 kerentanan yang disalahgunakan oleh botnet ini.

Berdasarkan beberapa petunjuk yang ditemukan, peneliti Imperva mengatakan mereka yakin botnet itu adalah karya seorang peretas bernama Exect1337, anggota kru peretas Indonesia PhantomGhost.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Pengambilalihan Perangkat IoT Melonjak 100 Persen pada 2020

by

Kamera, lemari es, dan perangkat Internet-of-Things (IoT) lain yang tampaknya biasa-biasa saja adalah favorit penjahat siber tahun ini, dengan penelitian baru menunjukkan peningkatan tajam (100 persen) dalam infeksi IoT yang diamati pada jaringan nirkabel.

Perangkat IoT sekarang bertanggung jawab atas 32,72 persen dari semua infeksi yang diamati di jaringan seluler dan Wi-Fi – naik dari 16,17 persen pada 2019. Dan para peneliti dari Nokia’s Threat Intelligence Lab mengatakan, dalam Threat Intelligence Report 2020 yang dirilis minggu ini, mereka yakin bahwa jumlah infeksi IoT akan terus bertambah “secara dramatis” karena perangkat yang terhubung terus bertambah di rumah dan lingkungan perusahaan.

“Tidak mengherankan bahwa perangkat IoT adalah permata mahkota bagi penjahat siber,” kata Dirk Schrader, wakil presiden global di New Net Technologies, kepada Threatpost. “Bisnis di seluruh dunia mengubah proses mereka, lini produksinya menggunakan aset digital. Memiliki kendali atas aset ini berarti bahwa tangan penjahat siber – secara harfiah – berada di saklar utama perusahaan yang berubaha secara digital. ”

Perangkat IoT bahkan menjadi target ransomware, ia menambahkan: “Bahaya atas penutupan hampir sepenuhnya adalah alasan mengapa perusahaan lebih cenderung membayar tebusan yang lebih tinggi.”

Secara keseluruhan, pada tahun 2020, perangkat Android adalah yang paling sering menjadi sasaran malware, menurut temuan peneliti, yang merupakan 26,64 persen dari semua infeksi. Sementara perangkat Windows dan PC yang semakin terkoneksi ke jaringan seluler melalui dongle USB dan Wi-Fi mencapai 38,92 persen.

Sementara itu, pertumbuhan IoT masih jauh dari selesai: Pengenalan 5G juga diharapkan terus meningkatkan tidak hanya jumlah perangkat IoT, tetapi bagian dari perangkat yang terhubung dapat diakses langsung dari internet.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

RAT Windows baru dapat dikendalikan melalui saluran Telegram

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru yang diiklankan di forum peretasan bawah tanah berbahasa Rusia.

Dinamakan T-RAT, malware ini tersedia hanya dengan $45, dan nilai jual utamanya adalah kemampuan untuk mengontrol sistem yang terinfeksi melalui saluran Telegram, daripada panel administrasi berbasis web.

Penulisnya mengklaim ini memberi pembeli akses yang lebih cepat dan lebih mudah ke komputer yang terinfeksi dari lokasi mana pun, memungkinkan pelaku ancaman untuk mengaktifkan fitur pencurian data segera setelah korban terinfeksi, sebelum kehadiran RAT ditemukan.

Untuk ini, saluran Telegram RAT mendukung 98 perintah yang, ketika diketik di dalam jendela obrolan utama, memungkinkan pemilik RAT untuk mengambil kata sandi dan cookie browser, menavigasi sistem file korban dan mencari data sensitif, menggunakan keylogger, merekam audio melalui mikrofon, mengambil tangkapan layar dari desktop korban, mengambil gambar melalui webcam, dan mengambil konten clipboard.

Sistem perintah dan kontrol sekunder tersedia melalui RDP atau VNC, tetapi fitur Telegram adalah yang diiklankan kepada pembeli, terutama karena kemudahan pemasangan dan penggunaan.

Penggunaan Telegram sebagai sistem komando dan kontrol telah menjadi tren dalam beberapa tahun terakhir, dan T-RAT bahkan bukan RAT pertama yang menerapkan model seperti itu.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Empat negara Eropa lainnya menandatangani perjanjian keamanan 5G AS

by

Departemen Luar Negeri AS mengumumkan pada hari Jumat bahwa empat negara Eropa lainnya telah menandatangani pernyataan keamanan 5G.

Republik Slovakia, Bulgaria, dan Makedonia Utara semuanya membuat deklarasi bersama dengan Amerika Serikat, sementara Kosovo menandatangani nota kesepahaman. Teks keempatnya sangat mirip.

Deklarasi tersebut berada di bawah program Jaringan Bersih Washington yang diumumkan pada bulan Agustus untuk mencakup operator, toko aplikasi, komputasi cloud, dan kabel bawah laut.

“Huawei memperdagangkan inovasi dan reputasi perusahaan AS dan asing terkemuka,” kata Menteri Luar Negeri Amerika Serikat Mike Pompeo pada saat itu.

“Perusahaan-perusahaan ini harus menghapus aplikasi mereka dari toko aplikasi Huawei untuk memastikan mereka tidak bermitra dengan pelanggar hak asasi manusia.”

AS telah mengklaim bahwa sebagian besar Eropa – baik dengan larangan pemerintah atau perusahaan telekomunikasi besar yang memilih untuk tidak menggunakan peralatan dari Huawei atau ZTE – telah bergabung dalam program Jaringan Bersihnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Apple mengesahkan enam aplikasi berbahaya yang menyamar sebagai Flash Installer

by

Pembuat malware telah berhasil menyelundupkan aplikasi berbahaya melalui proses App notarization Apple untuk kedua kalinya tahun ini dan kedua kalinya dalam enam minggu terakhir.

App notarization adalah perlindungan keamanan baru yang secara resmi diperkenalkan oleh Apple awal tahun ini.

Ini adalah proses yang mengharuskan pengembang aplikasi Mac untuk mengirimkan aplikasi mereka ke Apple untuk serangkaian pemindaian keamanan otomatis yang memeriksa malware atau pola kode berbahaya lainnya.

App notarization telah diwajibkan untuk semua aplikasi yang ingin dijalankan pada macOS versi terbaru Apple, seperti Catalina dan Big Sur.

Dalam sebuah laporan yang diterbitkan minggu ini, Joshua Long, Kepala Analis Keamanan untuk pembuat perangkat lunak keamanan Mac Intego, mengatakan perusahaannya menemukan enam aplikasi baru yang melewati proses ini.

Enam aplikasi yang disahkan berperan sebagai Flash installer. Setelah terinstal, aplikasi akan mendownload dan menginstal adware OSX / MacOffers.

“OSX/MacOffers paling diketahui suka memodifikasi mesin pencari di browser korban,” kata Long kepada ZDNet.

“Apple mencabut sertifikat pengembang saat malware sedang diselidiki, sebelum kami sempat melaporkannya ke Apple,” kata Long.

“Tidak jelas bagaimana Apple menyadarinya; mungkin mereka mungkin mendapatkan laporan dari peneliti lain yang menyelidiki malware tersebut, atau mungkin dari pengguna Mac yang menemukannya di alam liar.”

Berita selengkapnya:
Source: ZDNet