Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Log4Shell Memunculkan Mutasi Lebih Berbahaya

by

Internet memiliki kanker ganas yang menyebar secara cepat – atau dikenal sebagai eksploitasi perpustakaan logging Apache Log4j – yang telah bermutasi dengan cepat dan menarik kawanan penyerang sejak diungkapkan secara publik minggu lalu.

Sebagian besar serangan berfokus pada penambangan cryptocurrency, seperti yang terlihat oleh Sophos, Microsoft, dan perusahaan keamanan lainnya. Namun, penyerang secara aktif mencoba menginstal malware yang jauh lebih berbahaya pada sistem yang rentan juga.

Menurut peneliti Microsoft, di luar penambangan cryptocurrency, mereka juga telah melihat instalasi Cobalt Strike, yang dapat digunakan penyerang untuk mencuri kata sandi, merayap lebih jauh ke jaringan yang disusupi dengan gerakan lateral dan mengekstrak data.

Itu bisa menjadi jauh lebih buruk. Peneliti keamanan siber di Check Point memperingatkan pada hari Senin bahwa evolusi telah menyebabkan lebih dari 60 mutasi yang lebih besar dan lebih kuat, semuanya muncul dalam waktu kurang dari sehari.

Check Point mengatakan bahwa mereka menggagalkan lebih dari 845.000 upaya eksploitasi, dengan lebih dari 46 persen dari upaya tersebut dilakukan oleh kelompok jahat yang dikenal. Faktanya, Check Point memperingatkan bahwa terlihat lebih dari 100 upaya untuk mengeksploitasi kerentanan per menit.

Peta di bawah ini mengilustrasikan geografi sasaran teratas.

Sumber: Threat Post

Selengkapnya: Threat Post

Peretas mulai menyebarkan malware dalam serangan Log4Shell di seluruh dunia

by

Dilansir dari Bleeping Computer, pelaku dan peneliti ancaman sedang memindai dan mengeksploitasi kerentanan Log4j Log4Shell untuk menyebarkan malware atau menemukan server yang rentan. Dalam artikel tersebut Bleeping Computer telah mengkompilasi muatan, scanner, dan serangan yang diketahui menggunakan kerentanan Log4j.

Jumat pagi, exploit dirilis secara publik untuk kerentanan kritis zero-day yang dijuluki ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh pada server yang rentan hanya dengan mencari atau mengubah user agent browser mereka ke string khusus.

Segera setelah itu, Apache merilis Log4j 2.15.0 untuk mengatasi kerentanan tersebut, tetapi pelaku ancaman sudah mulai memindai dan mengeksploitasi server yang rentan untuk mengekstrak data, menginstal malware, atau mengambil alih server.

Karena perangkat lunak ini digunakan di ribuan aplikasi dan situs web perusahaan, ada kekhawatiran signifikan bahwa perangkat lunak ini akan mengarah pada serangan yang meluas dan penyebaran malware.

Di bawah ini Bleeping Computer menguraikan serangan yang diketahui saat ini yang memanfaatkan kerentanan Log4j.

Cryptominer

Segera setelah kerentanan dirilis, Bleeping Computer melihat aktor ancaman mengeksploitasi kerentanan Log4Shell untuk mengeksekusi skrip shell yang mengunduh dan menginstal berbagai cryptominers, seperti yang ditunjukkan di bawah ini.

Pelaku ancaman di balik backdoor Kinsing dan botnet cryptomining menyalahgunakan kerentanan Log4j dengan muatan yang disandikan Base64 yang membuat server rentan mengunduh dan menjalankan skrip shell.

Botnet Mirai dan Muhstik

Netlab 360 melaporkan bahwa pelaku ancaman mengeksploitasi kerentanan untuk menginstal malware Mirai dan Muhstik pada perangkat yang rentan.

Keluarga malware ini merekrut perangkat dan server IoT ke dalam botnet mereka dan menggunakannya untuk menyebarkan cryptominers dan melakukan serangan DDoS skala besar.

Pemindaian dan pengungkapan informasi

Selain menggunakan eksploitasi Log4Shell untuk menginstal malware, pelaku ancaman dan peneliti keamanan menggunakan exploit untuk memindai server yang rentan dan mengekstrak informasi dari mereka.

Peneliti menggunakan exploit untuk memaksa server yang rentan mengakses URL atau melakukan permintaan DNS untuk callback domain. Ini memungkinkan peneliti atau aktor ancaman untuk menentukan apakah server rentan dan menggunakannya untuk serangan, penelitian, atau upaya di masa mendatang untuk mengklaim hadiah bug bounty.

Karena itu, sangat penting bagi semua pengguna untuk menginstal versi terbaru Log4j atau aplikasi yang terpengaruh untuk mengatasi kerentanan ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Botnet Dark Mirai menargetkan RCE pada router TP-Link yang populer

by

Botnet yang dikenal sebagai Dark Mirai (alias MANGA) telah diamati mengeksploitasi kerentanan baru pada TP-Link TL-WR840N EU V5, router rumah murah populer yang dirilis pada tahun 2017.

Cacat dilacak sebagai CVE-2021-41653 dan disebabkan oleh variabel ‘host’ yang rentan yang dapat disalahgunakan oleh pengguna yang diautentikasi untuk menjalankan perintah pada perangkat.

TP-Link memperbaiki kekurangan tersebut dengan merilis pembaruan firmware (TL-WR840N(EU)_V5_211109) pada 12 November 2021. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan.

Peneliti yang menemukan kerentanan menerbitkan eksploitasi bukti konsep (PoC) untuk RCE, yang mengarah ke aktor ancaman menggunakan kerentanan.

Menurut sebuah laporan oleh para peneliti di Fortinet, yang telah mengikuti aktivitas Dark Mirai, botnet menambahkan RCE tertentu di gudang senjatanya hanya dua minggu setelah TP-Link merilis pembaruan firmware.

Mirai mungkin hilang, tetapi kodenya telah melahirkan banyak botnet baru yang menyebabkan masalah skala besar pada perangkat yang tidak aman.

Selengkapnya: Bleeping Computer

Microsoft, kelemahan Google OAuth dapat disalahgunakan dalam serangan phishing

by

Para peneliti telah menemukan serangkaian metode yang sebelumnya tidak diketahui untuk meluncurkan serangan pengalihan URL terhadap implementasi OAuth 2.0 yang lemah.

Serangan-serangan ini dapat mengarah pada pengabaian deteksi phishing dan solusi keamanan email, dan pada saat yang sama, memberikan legitimasi palsu pada URL phishing kepada para korban.

Kampanye yang relevan dideteksi oleh Proofpoint, dan menargetkan Outlook Web Access, PayPal, Microsoft 365, dan Google Workspace.

OAuth 2.0 adalah protokol otorisasi yang diadopsi secara luas yang memungkinkan aplikasi web atau desktop mengakses sumber daya yang dikendalikan oleh pengguna akhir, seperti email, kontak, informasi profil, atau akun sosial mereka.

Saat mengembangkan aplikasi OAuth, pengembang diberi kebebasan untuk memilih di antara berbagai jenis flow yang tersedia, bergantung pada kebutuhan mereka, seperti yang diilustrasikan di bawah ini.

Sumber: BleepeingComputer

Flow ini mengharuskan pengembang aplikasi untuk menentukan parameter tertentu, seperti ID klien unik, cakupan, dan URL pengalihan dibuka setelah autentikasi berhasil.

Namun, Proofpoint menemukan bahwa penyerang dapat memodifikasi beberapa parameter dalam alur otorisasi yang valid, memicu pengalihan korban ke situs yang disediakan penyerang atau mengarahkan ulang URL di aplikasi OAuth berbahaya yang terdaftar.

Karena ini terjadi setelah korban mengeklik URL yang tampak sah milik Microsoft, korban secara keliru menganggap bahwa URL itu sah, meskipun mereka sedang diarahkan ke situs jahat.

Pengalihan ini dapat dipicu dengan memodifikasi parameter kueri ‘response_type’ agar berisi nilai yang tidak valid, dan korban akan dibawa ke halaman phishing oleh Microsoft setelah autentikasi.

Selengkapnya: Bleeping Computer

Ratusan ribu perangkat MikroTik masih rentan terhadap botnet

by

Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.

MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.

Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.

Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.

Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:

  • CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
  • CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
  • CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
  • CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8

Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.

Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.

Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.

Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Microsoft: Secured-core server membantu mencegah serangan ransomware

by

Microsoft mengatakan perangkat Windows Server dan Microsoft Azure Stack HCI bersertifikat Secured-core pertama sekarang tersedia untuk melindungi jaringan pelanggan dari ancaman keamanan, termasuk serangan ransomware.

Perangkat inti aman dipasarkan sebagai solusi untuk meningkatnya jumlah kerentanan firmware yang dapat dimanfaatkan penyerang untuk melewati Secure boot mesin Windows dan kurangnya visibilitas di tingkat firmware dalam solusi keamanan endpoint saat ini.

Semua perangkat Secured-core dilengkapi dengan perlindungan bawaan untuk ancaman yang menyalahgunakan firmware dan kelemahan keamanan driver sejak Oktober 2019. Perangkat tersebut dapat membantu melindungi dari malware yang dirancang untuk memanfaatkan kelemahan keamanan driver untuk menonaktifkan solusi keamanan.

Secured-core server yang baru disertifikasi menggunakan secure boot dan Trusted Platform Module 2.0 untuk memastikan bahwa hanya tepercaya yang dapat memuat saat boot.

Mereka juga memanfaatkan Dynamic Root of Trust Measurement (DRTM) untuk meluncurkan sistem operasi ke status tepercaya, memblokir upaya malware untuk merusak sistem.

Secured-core server juga menggunakan Hypervisor-Protected Code Integrity (HVCI) untuk memblokir semua executable dan driver (seperti Mimikatz) yang tidak ditandatangani oleh otoritas yang dikenal dan disetujui agar tidak diluncurkan.

Dengan memblokir upaya pencurian kredensial, Secured-core server dapat membantu mempersulit pelaku ancaman (termasuk geng ransomware seperti REvil) untuk bergerak secara lateral melalui jaringan, sehingga menghentikan serangan mereka sebelum mereka dapat memperoleh kegigihan dan menyebarkan muatannya.

Selengkapnya: Bleeping Computer

Peretas China menargetkan negara-negara Asia Tenggara

by

Peretas China, kemungkinan disponsori negara, telah secara luas menargetkan organisasi pemerintah dan sektor swasta di seluruh Asia Tenggara, termasuk mereka yang terlibat erat dengan Beijing dalam proyek pembangunan infrastruktur, menurut sebuah laporan yang dirilis hari Rabu oleh perusahaan keamanan siber swasta yang berbasis di AS.

Target khusus termasuk kantor perdana menteri Thailand dan tentara Thailand, angkatan laut Indonesia dan Filipina, majelis nasional Vietnam dan kantor pusat Partai Komunis, dan Kementerian Pertahanan Malaysia, menurut Insikt Group, divisi penelitian ancaman Massachusetts- berdasarkan Recorded Future.

Insikt mengatakan telah menetapkan bahwa organisasi militer dan pemerintah tingkat tinggi di Asia Tenggara telah disusupi selama sembilan bulan terakhir oleh peretas yang menggunakan keluarga malware khusus seperti FunnyDream dan Chinoxy.

Alat khusus itu tidak tersedia untuk umum dan digunakan oleh banyak kelompok yang diyakini disponsori negara China, kata kelompok itu.

Penargetan itu juga sejalan dengan tujuan politik dan ekonomi pemerintah China, memperkuat kecurigaan bahwa itu disponsori negara, kata Insikt.

Kementerian Luar Negeri China tidak segera menanggapi permintaan komentar atas tuduhan tersebut.

Di masa lalu, otoritas China secara konsisten membantah segala bentuk peretasan yang disponsori negara, sebaliknya mengatakan China sendiri adalah target utama serangan siber.

Dari intrusi dunia maya yang dilacaknya, Insikt Group mengatakan Malaysia, Indonesia, dan Vietnam adalah tiga negara sasaran teratas. Negara lain yang juga ditargetkan adalah Myanmar, Filipina, Laos, Thailand, Singapura dan Kamboja.

Semua negara telah diberitahu pada bulan Oktober tentang temuan tersebut, meskipun diperkirakan bahwa setidaknya beberapa aktivitas sedang berlangsung, kata perusahaan itu.

Beberapa informasi tentang Indonesia diungkapkan dalam laporan sebelumnya dari Grup Insikt pada bulan September, dan pihak berwenang Indonesia mengatakan pada saat itu mereka tidak menemukan bukti bahwa komputer mereka telah disusupi.

Grup Insikt mengatakan aktivitas sebelumnya yang diarahkan ke Indonesia dari server malware yang dioperasikan oleh grup “Mustang Panda” secara bertahap berhenti pada pertengahan Agustus, menyusul pemberitahuan kedua yang diberikan perusahaan kepada otoritas negara.

Juru bicara Kementerian Luar Negeri RI Teuku Faizasyah mengaku belum mendapatkan informasi apapun terkait temuan baru Insikt Group yang juga menjadikan Kementerian Luar Negeri sebagai sasaran.

Selengkapnya: AP News