Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Cisco Memperingatkan Kelemahan DoS yang Parah dalam Perangkat Lunak Keamanan Jaringan

by

Cisco telah mengatasi banyak kerentanan tingkat tinggi di seluruh jajaran produk keamanan jaringannya.

Cacat yang paling parah dapat dimanfaatkan oleh penyerang jarak jauh yang tidak diautentikasi untuk meluncurkan passel serangan berbahaya – dari penolakan layanan (DoS) hingga pemalsuan permintaan lintas situs (cross-site request forgery/CSRF).

Kerentanan ada di perangkat lunak Cisco Firepower Threat Defense (FTD), yang merupakan bagian dari rangkaian produk keamanan jaringan dan manajemen lalu lintas; dan perangkat lunak Adaptive Security Appliance (ASA), sistem operasi untuk keluarga perangkat keamanan jaringan perusahaan ASA.

“Tim Respons Insiden Keamanan Produk Cisco tidak mengetahui pengumuman publik atau penggunaan jahat dari kerentanan yang dijelaskan dalam advisory ini,” menurut Cisco dalam pembaruan yang dirilis pada hari Rabu.

Cacat (CVE-2020-3456) mendapat nilai 8,8 dari 10 pada skala CVSS, dan berasal dari perlindungan CSRF yang tidak mencukupi di antarmuka FCM. Kerentanan ini dapat dieksploitasi untuk mengaktifkan CSRF – yang berarti bahwa ketika penyerang diautentikasi di server, mereka juga memiliki kendali atas klien.

Berita selengkapnya dapat diakses melalui tautan berikut;
Source: The Threat Post

Oracle Membunuh 402 Bug dalam Pembaruan Patch Oktober Besar-besaran

by

Perushaan raksasa perangkat lunak Oracle mendesak pelanggan untuk memperbarui sistem mereka pada rilis Oktober dari Critical Patch Update triwulanan (CPU) nya, yang memperbaiki 402 kerentanan di berbagai keluarga produk.

Lebih dari setengah (272) kerentanan ini membuka produk hingga eksploitasi jarak jauh tanpa otentikasi. Itu berarti bahwa kekurangan tersebut dapat dieksploitasi melalui jaringan tanpa memerlukan kredensial pengguna.

Meskipun detail kekurangannya sendiri masih sedikit, dua dari kerentanan kritis yang diungkapkan oleh Oracle memberi peringkat skor keparahan tertinggi – 10 dari 10 – pada skala CVSS.

Kerentanan CVE-2020-1953, yang dapat dieksploitasi dari jarak jauh tanpa memerlukan kredensial pengguna, tidak memerlukan interaksi pengguna dan mudah untuk dieksploitasi, menurut Oracle. Versi yang terpengaruh termasuk 7.1.1, 7.2.0, 7.2.1 dan 7.3.0.

Pengguna dapat menemukan dokumen ketersediaan patch untuk setiap produk di sini.

Source: The Threat Post

Seedworm: Grup Terkait Iran Terus Menargetkan Organisasi di Timur Tengah

by

Seedworm (alias MuddyWater), kelompok spionase yang memiliki kaitan dengan Iran, telah sangat aktif dalam beberapa bulan terakhir, menyerang berbagai sasaran, termasuk sejumlah besar organisasi pemerintah di Timur Tengah.

Banyak organisasi yang diserang oleh Seedworm dalam beberapa bulan terakhir juga menjadi sasaran alat yang baru ditemukan bernama PowGoop (Downloader.Covic), menunjukkan bahwa itu adalah alat yang telah dimasukkan Seedworm ke dalam gudang senjatanya.

Gelombang serangan Seedworm baru-baru ini diungkap oleh Targeted Attack Cloud Analytics dari Symantec. Di antara hal-hal yang ditandai oleh Cloud Analytics adalah kunci registri yang disebut “SecurityHealthCore”. Kode yang berada di kunci registri ini dijalankan oleh PowerShell dari tugas terjadwal. Di semua organisasi tempat kunci registri ini ditemukan, backdoor Seedworm (Pintu Belakang .Mori) kemudian terdeteksi.

Serangan ini ditemukan terhadap sasaran di Irak, Turki, Kuwait, Uni Emirat Arab, dan Georgia. Selain beberapa entitas pemerintah, organisasi di sektor telekomunikasi dan layanan komputer juga menjadi sasaran.

Aktivitas seedworm berlanjut hingga setidaknya Juli 2020, dengan pemasangan alat peretasan tambahan oleh penyerang.

Symantec mengamati Seedworm juga melakukan aktivitas pencurian kredensial serta menyiapkan terowongan ke infrastrukturnya sendiri untuk membantu pergerakan lateral menggunakan alat sumber terbuka yang disebut Secure Sockets Funneling (SSF) dan Chisel.

Detail teknis mengenai kelompok ini dan teknik serangan dapat diakses melalui link berikut;
Source: Symantec

WordPress menyebarkan pembaruan keamanan paksa untuk bug berbahaya di plugin populer

by

Tim keamanan WordPress telah mengambil langkah langka minggu lalu dan menggunakan kemampuan internal yang kurang dikenal untuk secara paksa mendorong pembaruan keamanan untuk plugin populer.

Situs WordPress yang menjalankan plugin Loginizer secara paksa diperbarui minggu ini ke Loginizer versi 1.6.4.

Versi ini berisi perbaikan keamanan untuk bug injeksi SQL berbahaya yang dapat memungkinkan peretas mengambil alih situs WordPress yang menjalankan versi lama plugin Loginizer.

Loginizer adalah salah satu plugin WordPress paling populer saat ini, dengan basis penginstalan lebih dari satu juta situs.

Plugin ini memberikan peningkatan keamanan untuk halaman login WordPress. Menurut deskripsi resminya, Loginizer dapat membuat daftar hitam atau daftar putih alamat IP dari mengakses halaman login WordPress, dapat menambahkan dukungan untuk otentikasi dua faktor, atau dapat menambahkan CAPTCHA sederhana untuk memblokir upaya login otomatis, di antara banyak fitur lainnya.

Bug ini adalah salah satu masalah keamanan terburuk yang ditemukan di plugin WordPress dalam beberapa tahun terakhir, dan itulah mengapa tim keamanan WordPress tampaknya telah memutuskan untuk secara paksa mendorong patch Loginizer 1.6.4 ke semua situs yang terpengaruh.

Berita selengkapnya dapat dibaca pada tautan berikut ini;
Source: ZDNet

Kerentanan Zero-day Pada Chrome Yang Baru Dalam Serangan Aktif – Perbarui Browser Anda Sekarang

by

Jika Anda menggunakan browser Google Chrome di komputer Windows, Mac, atau Linux, Anda perlu segera memperbarui perangkat lunak browser Anda ke versi terbaru yang dirilis Google hari ini.

Google merilis Chrome versi 86.0.4240.111 hari ini untuk menambal beberapa masalah keamanan dengan tingkat keparahan tinggi, termasuk kerentanan zero-day yang telah dieksploitasi di alam liar oleh penyerang untuk membajak komputer yang ditargetkan.

Dilacak sebagai CVE-2020-15999, kerentanan yang dieksploitasi secara aktif adalah jenis cacat kerusakan memori yang disebut heap buffer overflow di Freetype, library pengembangan perangkat lunak sumber terbuka yang populer untuk merender font yang dikemas dengan Chrome.

Selain kerentanan zero-day FreeType, Google juga memperbaiki empat kelemahan lain dalam pembaruan Chrome terbaru, tiga di antaranya adalah kerentanan berisiko tinggi — bug implementasi yang tidak tepat di Blink, penggunaan setelah free bug di media Chrome, dan penggunaan setelah free bug dalam PDFium — dan satu penggunaan berisiko menengah setelah masalah free dalam fungsi pencetakan browser.

Untuk memperbarui Chrome Anda pada Windows dan Mac, Klik pada bagian kanan atas di Chrome Anda > Help > About Chrome, lalu pembaruan akan otomatis berjalan jika sudah tersedia.

Untuk memperbarui Chrome pada mesin Linux, gunakan update manager di desktop Anda.

Berita selengkapnya:
Source: The Hacker News

AS menuntut peretas Rusia di balik serangan NotPetya, KillDisk, dan Olympic Destroyer

by

Departemen Kehakiman AS telah mengungkap dakwaan terhadap enam warga Rusia yang diyakini sebagai anggota salah satu unit peretasan dan perang siber Rusia – yang dikenal sebagai Sandworm.

Sebagai bagian dari unit ini, para pejabat AS mengatakan keenam nya melakukan serangan siber yang “merusak” atas nama dan di bawah perintah pemerintah Rusia dengan maksud untuk mengguncang negara lain, mencampuri politik internal mereka, dan menyebabkan malapetaka dan kerugian moneter.

Serangan mereka berlangsung selama dekade terakhir dan termasuk beberapa serangan siber terbesar yang diketahui hingga saat ini:

  1. Pemerintah Ukraina & Infrastruktur Kritis: Dari Desember 2015 hingga Desember 2016, grup ini mengatur serangan malware yang merusak terhadap jaringan listrik Ukraina, Kementerian Keuangan Ukraina, dan Layanan Keuangan Negara Ukraina, menggunakan malware yang mengubah peralatan industri (BlackEnergy pada 2015 dan Industroyer pada tahun 2016) atau menghapus hard drive (KillDisk).
  2. Pemilu Prancis: Pada bulan April dan Mei 2017, Sandworm mengatur kampanye spearphishing dan upaya peretasan dan kebocoran terkait yang menargetkan “La République En Marche!” Presiden Prancis Macron! (“En Marche!”), Politikus Prancis, dan pemerintah Prancis lokal sebelum pemilu Prancis 2017.
  3. Wabah Ransomware NotPetya: Pada 27 Juni 2017, Sandworm merilis ransomware NotPetya. Awalnya ditujukan untuk perusahaan Ukraina, ransomware dengan cepat menyebar dan memengaruhi perusahaan di seluruh dunia, menyebabkan kerusakan lebih dari $1 miliar bagi para korbannya.
  4. Penyelenggara, Peserta, Mitra, dan Peserta Olimpiade Musim Dingin PyeongChang: Antara Desember 2017 hingga Februari 2018, Sandworm meluncurkan kampanye spearphishing dan aplikasi seluler berbahaya yang menargetkan warga dan pejabat Korea Selatan, atlet Olimpiade, mitra, dan pengunjung, serta Komite Olimpiade Internasional (“IOC”) pejabat. Serangan tersebut terjadi setelah atlet Rusia dilarang dari acara olahraga tersebut karena skema doping yang disponsori negara.
  5. Sistem TI Olimpiade Musim Dingin PyeongChang (Perusak Olimpiade): Dari Desember 2017 hingga Februari 2018, Sandworm mengatur intrusi ke dalam komputer yang mendukung Olimpiade Musim Dingin PyeongChang 2018, yang mencapai puncaknya pada 9 Februari 2018, dengan dirilisnya Olympic Destroyer, jenis malware yang merusak yang mencoba menghapus server penting selama upacara pembukaan.
  6. Investigasi Novichok Poisoning: Pada bulan April 2018, kelompok Sandworm mengatur kampanye spearphishing yang menargetkan investigasi oleh Organisasi untuk Larangan Senjata Kimia (“OPCW”) dan Laboratorium Sains dan Teknologi Pertahanan Inggris (“DSTL”) ke dalam keracunan agen saraf Sergei Skripal, putrinya, dan beberapa warga negara Inggris.
  7. Perusahaan Georgia dan Entitas Pemerintah: Pada tahun 2018, Sandworm melakukan kampanye spearphishing yang menargetkan perusahaan media besar di negara Georgia. Serangan-serangan ini diikuti pada 2019 dengan upaya menyusupi jaringan Parlemen Georgia, dan kampanye perusakan situs web massal pada 2019.

“Seperti yang diperlihatkan dalam kasus ini, tidak ada negara yang mempersenjatai kemampuan siber mereka dengan jahat dan tidak bertanggung jawab seperti Rusia, dengan sembrono menyebabkan kerusakan tambahan yang belum pernah terjadi sebelumnya untuk mengejar keuntungan taktis kecil dan untuk memuaskan rasa dengki,” kata Asisten Jaksa Agung untuk Keamanan Nasional John C. Demers, mengacu pada serangan seperti BlackEnergy, NotPetya, dan OlympicDestroyer, yang semuanya tidak ditujukan untuk pengumpulan intelijen tetapi jelas merupakan serangan destruktif yang bermaksud sabotase.

Berita selengkapnya:
Source: ZDNet

Perang enkripsi kembali terjadi, dan kali ini pemerintah memiliki strategi baru

by

Kita mungkin akan segera memasuki babak baru perang enkripsi, tetapi kali ini pemerintah mengambil pendekatan yang berbeda.

Tujuh pemerintah dari seluruh dunia telah memulai kampanye baru untuk mencoba dan membujuk perusahaan teknologi besar untuk mengurangi tingkat keamanan yang mereka tawarkan kepada pelanggan yang menggunakan layanan mereka.

Ketujuh – AS, Inggris, Kanada, Australia, Selandia Baru, India dan Jepang – khawatir bahwa penggunaan enkripsi end-to-end membuat perusahaan teknologi tidak mungkin mengidentifikasi konten berbahaya seperti propaganda teroris dan perencanaan serangan, dan mempersulit polisi untuk menyelidiki kejahatan serius dan melindungi keamanan nasional.

Pernyataan mereka dimulai dengan berani: “Kami, yang bertanda tangan di bawah ini, mendukung enkripsi yang kuat”, mengatakan bahwa enkripsi memainkan peran penting dalam melindungi data pribadi, privasi, kekayaan intelektual, rahasia dagang dan keamanan siber, dan di negara yang represif melindungi jurnalis, pembela hak asasi manusia dan lainnya orang yang rentan.”

Kemudian, tentu saja, muncul peringatan besar: “Kami mendesak industri untuk menangani masalah serius kami di mana enkripsi diterapkan dengan cara yang sepenuhnya menghalangi akses hukum ke konten.” Jenis enkripsi ujung-ke-ujung yang berarti pesan tidak dapat disadap, atau bahwa hard drive tidak akan pernah dapat dibaca tanpa kuncinya, “menimbulkan tantangan signifikan bagi keselamatan publik”, tujuh pemerintah memperingatkan.

Ini tentu saja dimana hal-hal menjadi lebih rumit. Pemerintah ini ingin perusahaan teknologi memungkinkan untuk bertindak melawan konten dan aktivitas ilegal, tetapi tanpa mengurangi keamanan – sesuatu yang menurut perusahaan teknologi tidak mungkin dilakukan.

Berita selengkapnya dapat diakses melalui tautan di bawah ini;
Source: ZDNet

Microsoft menambahkan opsi untuk menonaktifkan JAVAScript di Internet Explorer

by

Sebagai bagian dari pembaruan keamanan Patch Tuesday Oktober 2020, Microsoft telah menambahkan opsi baru ke Windows untuk mengizinkan administrator sistem menonaktifkan komponen JScript di dalam Internet Explorer.

Mesin skrip JScript adalah komponen lama yang awalnya disertakan dengan Internet Explorer 3.0 pada tahun 1996 dan merupakan dialek Microsoft sendiri dari standar ECMAScript (bahasa JavaScript).

Pengembangan mesin JScript berakhir, dan komponen tidak digunakan lagi dengan dirilisnya Internet Explorer 8.0 pada tahun 2009, tetapi mesin tersebut tetap ada di semua versi OS Windows sebagai komponen warisan di dalam IE.

Selama bertahun-tahun, pelaku ancaman menyadari bahwa mereka dapat menyerang mesin JScript, karena Microsoft tidak mengembangkannya secara aktif dan jarang mengirimkan pembaruan keamanan, biasanya hanya ketika diserang oleh pelaku ancaman.

Sekarang, 11 tahun setelah menghentikan komponen tersebut, Microsoft akhirnya memberi administrator sistem cara untuk menonaktifkan eksekusi JScript secara default.

Rincian tentang bagaimana ini dapat dilakukan tersedia di bawah, diambil dari dokumentasi Microsoft:

  1. Klik Start, Klik Run, ketik regedt32 atau regedit, lalu klik Ok.
  2. Untuk menonaktifkan eksekusi JScript di Internet Zone, temukan registry subkey berikut ini di Registry Editor:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\140D

    Untuk menonaktifkan eksekusi JScript di Zona Situs Terbatas, temukan registry subkey berikut ini di Registry Editor:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\140D

  3. Klik kanan registry subkey yang sesuai, dan kemudian klik Modify.
  4. Pada Edit DWORD (32-bit) Value, ketik 3 di Value data.
  5. Klik OK, dan kemudian restart Internet Explorer.

Source: ZDNet