Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

by

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

  • CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
  • CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

F5 memperingatkan bug RCE BIG-IP kritis yang memungkinkan pengambilalihan perangkat

by

F5 telah mengeluarkan peringatan penasehat keamanan tentang cacat yang memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan untuk mengeksekusi perintah sistem sewenang-wenang, melakukan tindakan file, dan menonaktifkan layanan di BIG-IP.

Kerentanan dilacak sebagai CVE-2022-1388 dan memiliki peringkat keparahan CVSS v3 9,8, dikategorikan kritis. Eksploitasinya berpotensi mengarah pada pengambilalihan sistem secara menyeluruh.

Menurut penasihat keamanan F5, kelemahannya terletak pada komponen iControl REST dan memungkinkan aktor jahat mengirim permintaan yang tidak diungkapkan untuk melewati otentikasi iControl REST di BIG-IP.

Karena parahnya kerentanan dan penyebaran luas produk BIG-IP di lingkungan kritis, CISA (Cybersecurity and Infrastructure Security Agency) juga telah mengeluarkan peringatan hari ini.

Berikut daftar lengkap produk yang terpengaruh:

  • BIG-IP versions 16.1.0 to 16.1.2
  • BIG-IP versions 15.1.0 to 15.1.5
  • BIG-IP versions 14.1.0 to 14.1.4
  • BIG-IP versions 13.1.0 to 13.1.4
  • BIG-IP versions 12.1.0 to 12.1.6
  • BIG-IP versions 11.6.1 to 11.6.5

F5 telah merilis perbaikan di v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6, dan v13.1.5. Cabang 12.x dan 11.x tidak akan menerima patch perbaikan.

Selain itu, advisory tersebut menjelaskan bahwa Manajemen Terpusat BIG-IQ, F5OS-A, F5OS-C, dan Traffic SDC tidak terpengaruh oleh CVE-2022-1388.

F5 telah menyediakan tiga mitigasi efektif yang dapat digunakan sementara untuk mereka yang tidak dapat segera menerapkan pembaruan keamanan.

Selengkapnya: Bleeping Computer

Artist Pixiv, DeviantArt mendapat tawaran pekerjaan NFT yang mendorong malware

by

Pengguna di Pixiv, DeviantArt, dan platform online berorientasi pencipta lainnya melaporkan menerima banyak pesan dari orang-orang yang mengaku berasal dari proyek NFT “Cyberpunk Ape Executives”, dengan tujuan utama menginfeksi perangkat artis dengan malware pencuri informasi.

“Cyberpunk Ape Executives” adalah koleksi terbatas token non-fungible (NFT) mengikuti pendekatan klub tertutup yang telah memberikan ketenaran dan nilai astronomi pada usaha serupa.

Dilansir dari Malwarebytes, aktor ancaman menargetkan artis dengan tawaran untuk bekerja dengan orang-orang di belakang proyek dan merancang serangkaian karakter baru untuk memperluas koleksi dengan NFT baru, menawarkan kompensasi hingga $350 per hari.

Pesan yang dikirim ke artis berisi tautan yang, jika diklik, mengarah ke halaman unduhan MEGA dimana korban dapat mengunduh arsip RAR 4,1 MB yang dilindungi kata sandi bernama ‘Cyberpunk Ape Exemples (pass 111).rar’ yang berisi sampel Karya seni Eksekutif Kera Cyberpunk.

Di dalam arsip, para seniman akan menemukan GIF dari Cyberpunk Ape Executives NFTs, dan di antaranya, ada file executable yang dibuat agar terlihat seperti gambar GIF lainnya, mudah dipadukan dengan koleksi lainnya.

File executable ini adalah malware installer yang akan menginfeksi perangkat dengan trojan pencuri informasi dengan peluang bagus untuk melewati deteksi AV berdasarkan deteksi VirusTotal saat ini.

Malware pencuri informasi biasanya menargetkan informasi yang disimpan di browser, seperti kata sandi akun, dompet cryptocurrency, kartu kredit, atau bahkan file di disk.

Ketika pelaku ancaman mendapatkan kredensial akun dari akun terkenal dengan jumlah pengikut yang tinggi, mereka akan menggunakannya untuk mempromosikan penipuan yang sama ke lebih banyak pengguna.

Selengkapnya: Bleeping Computer

Peretas mencuri data yang tidak terdeteksi dari AS dan organisasi Eropa sejak 2019

by

Kelompok peretas China yang dikenal sebagai ‘Winnti’ telah secara diam-diam mencuri aset kekayaan intelektual seperti paten, hak cipta, merek dagang, dan data perusahaan lainnya – dan tetap tidak terdeteksi oleh peneliti keamanan serta target sejak 2019.

Winnti, juga dilacak sebagai APT41, adalah kelompok spionase dunia maya yang canggih dan sulit dipahami yang diyakini didukung oleh negara Tiongkok dan beroperasi atas nama kepentingan nasionalnya.

Kampanye kejahatan dunia maya yang ditemukan telah berlangsung setidaknya sejak 2019 dan menargetkan perusahaan teknologi dan manufaktur di Asia Timur, Eropa Barat, dan Amerika Utara.

Operasi kriminal ini dikenal sebagai ‘Operasi CuckooBees’ dan ditemukan oleh analis di Cybereason, yang mengungkapkan malware baru yang disebarkan oleh kelompok peretas terkenal, mekanisme yang mereka manfaatkan untuk penyusupan, dan metode pengiriman muatan rumit yang mereka gunakan.

Yang menjadi highlight dalam laporan Cybereason adalah malware Winnti baru yang dijuluki “DEPLOYLOG” dan metode penyalahgunaan mekanisme Windows CLFS (Common Log File System) untuk penyembunyian muatan.

Malware DEPLOYLOG, yang belum didokumentasikan sebelumnya, adalah DLL 64-bit (disamarkan sebagai “dbghelp.dll”) yang mengekstrak dan mengeksekusi payload terakhir Winnti, rootkit WINNKIT, dan kemudian membuat dua saluran komunikasi dengan remote C2 dan rootkit tingkat kernel.

Cybereason percaya bahwa karena kompleksitas, tersembunyi, dan kecanggihan Operasi CuckooBees, kemungkinan besar Winnti telah menginfeksi lebih banyak sistem perusahaan daripada yang dapat mereka verifikasi.

Selengkapnya: Bleeping Computer

Bug ransomware Conti, REvil, LockBit dieksploitasi untuk memblokir enkripsi

by

Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.

Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.

Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.

Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.

Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”

Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.

Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.

Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.

Selengkapnya: Bleeping Computer

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

by

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

AI Beracun: Krisis Cybersecurity Berikutnya

by

Banyak machine learning bergantung pada kumpulan data besar-besaran yang tidak diketahui asalnya. Itu masalah ketika pertahanan digital yang serius.

Selama dekade terakhir, kecerdasan buatan telah digunakan untuk mengenali wajah, menilai kelayakan kredit dan memprediksi cuaca. Pada saat yang sama, peretasan yang semakin canggih menggunakan metode lebih tersembunyi telah meningkat. Kombinasi AI dan cybersecurity tidak dapat dihindari karena kedua bidang mencari alat yang lebih baik dan penggunaan baru untuk teknologi mereka. Tetapi ada masalah besar yang mengancam untuk melemahkan upaya ini dan dapat memungkinkan musuh untuk melewati pertahanan digital tanpa terdeteksi.

Bahayanya adalah keracunan data: memanipulasi informasi yang digunakan untuk melatih mesin menawarkan metode yang hampir tidak dapat dilacak untuk menyiasati pertahanan bertenaga AI. Banyak perusahaan mungkin tidak siap untuk menghadapi tantangan yang meningkat. Pasar global untuk cybersecurity AI sudah diperkirakan akan meningkat tiga kali lipat pada tahun 2028 menjadi $ 35 miliar. Penyedia keamanan dan klien mereka mungkin harus menambal bersama beberapa strategi untuk mencegah ancaman.

Sifat pembelajaran mesin, bagian dari AI, adalah target keracunan data. Mengingat rim data, komputer dapat dilatih untuk mengkategorikan informasi dengan benar. Sebuah sistem mungkin belum melihat gambar Lassie, tetapi mengingat cukup banyak contoh hewan yang berbeda yang diberi label dengan benar oleh spesies (dan bahkan berkembang biak) ia harus dapat menduga dia adalah seekor anjing. Dengan lebih banyak sampel, ia akan dapat menebak dengan benar jenis anjing TV yang terkenal: Rough Collie. Komputer tidak benar-benar tahu. Ini hanya membuat kesimpulan yang diinformasikan secara statistik berdasarkan data pelatihan masa lalu.

Pendekatan yang sama digunakan dalam cybersecurity. Untuk menangkap perangkat lunak berbahaya, perusahaan memberi makan sistem mereka dengan data dan membiarkan mesin belajar dengan sendirinya. Komputer yang dipersenjatai dengan banyak contoh kode baik dan buruk dapat belajar untuk mencari perangkat lunak berbahaya (atau bahkan potongan perangkat lunak) dan menangkapnya.

Teknik canggih yang disebut jaringan saraf – meniru struktur dan proses otak manusia – berjalan melalui data pelatihan dan membuat penyesuaian berdasarkan informasi yang diketahui dan baru. Jaringan seperti itu tidak perlu melihat sepotong kode jahat tertentu untuk menduga bahwa itu buruk. Ini dipelajari untuk dirinya sendiri dan dapat memprediksi yang baik versus yang jahat secara memadai.

“Kami sudah tahu bahwa peretas yang banyak akal dapat memanfaatkan pengamatan ini untuk keuntungan mereka,” Giorgio Severi, seorang mahasiswa PhD di Northwestern University, mencatat dalam presentasi baru-baru ini di simposium keamanan Usenix.

Dengan menggunakan analogi hewan, jika peretas fobia-kucing ingin menyebabkan malapetaka, mereka dapat memberi label banyak foto sloth sebagai kucing, dan dimasukkan ke dalam database sumber terbuka hewan peliharaan rumah. Karena mamalia yang memeluk pohon akan muncul jauh lebih jarang dalam korpus hewan peliharaan, sampel kecil data beracun ini memiliki peluang bagus untuk menipu sistem agar memunculkan foto sloth ketika diminta untuk menunjukkan anak kucing.

Ini adalah teknik yang sama untuk peretas yang lebih berbahaya. Dengan hati-hati membuat kode berbahaya, melabeli sampel ini sebagai baik, dan kemudian menambahkannya ke kumpulan data yang lebih besar, seorang peretas dapat menipu jaringan netral untuk menduga bahwa potongan perangkat lunak yang menyerupai contoh buruk, pada kenyataannya, tidak berbahaya. Menangkap sampel yang salah hampir tidak mungkin. Jauh lebih sulit bagi manusia untuk mengobrak-abrik kode komputer daripada menyortir gambar sloth dari kucing.

Agar tetap aman, perusahaan perlu memastikan data mereka bersih, tetapi itu berarti melatih sistem mereka dengan contoh yang lebih sedikit daripada yang mereka dapatkan dengan penawaran open source. Dalam pembelajaran mesin, ukuran sampel penting.

Permainan kucing-dan-tikus antara penyerang dan pembela telah berlangsung selama beberapa dekade, dengan AI hanya alat terbaru yang dikerahkan untuk membantu sisi baik tetap di depan. Ingat: Kecerdasan buatan tidak mahakuasa. Peretas selalu mencari eksploitasi berikutnya.

Sumber: Bloomberg

Banyak Pembuat Perangkat Medis Melewatkan Praktik Keamanan

by

Menurut laporan yang diterbitkan minggu ini oleh Cybellum. Laporan berjudul “Medical Device Cybersecurity: Trends and Predictions,” mengumpulkan tanggapan dari 150 pembuat keputusan keamanan dan kepatuhan di industri perangkat medis di seluruh dunia.

Tindakan keamanan yang paling banyak diterapkan dalam survei Cybellum adalah menjalankan analisis kode biner (47%) dan menetapkan persyaratan keamanan selama fase desain (46%). Analisis biner dapat mengungkapkan pola kelemahan keamanan dan mengaudit elemen perangkat lunak rentan yang diketahui. Mengatasi masalah keamanan lebih awal, alias “bergeser ke kiri,” berarti pengembang dapat menemukan dan memperbaiki masalah sebelum mereka tertanam dalam dan sulit untuk diuraikan. Kabar baiknya adalah bahwa hampir setengah dari pembuat keputusan keamanan di perusahaan perangkat medis mengatakan bahwa mereka menggunakan setidaknya salah satu dari teknik tersebut; sisi sebaliknya adalah lebih dari setengahnya tidak menggunakannya.

Teknik lain yang digunakan perusahaan perangkat medis untuk mengamankan produk mereka termasuk analisis kode statis kode sumber (SAST), dilakukan oleh 41% responden; intelijen ancaman, sebesar 39%; pengujian keamanan berkelanjutan di seluruh siklus hidup perangkat, sebesar 38%; mendidik pengembang tentang pengkodean yang aman, sebesar 27%; pen-testing/fuzzing, sebesar 16%; dan pengujian keamanan aplikasi dinamis (DAST), sebesar 14%.

Laporan Cybellum mencatat bahwa “melihat data yang disegmentasi berdasarkan jenis perusahaan, SBOM lebih populer di kalangan OEM (34%), dibandingkan dengan pemasok komponen perangkat medis (20%). Tanggung jawab utama atas keselamatan dan keamanan perangkat ada di tangan pada OEM, yang dapat menjelaskan mengapa mereka menjadikannya prioritas. Tentu saja, perjalanan kedua audiens masih panjang.”

Selengkapnya: Dark Reading