Cybersecurity

Banyak Situs Salesforce Publik Membocorkan Data Pribadi

April 29, 2023 by Mally

Salesforce Community adalah produk perangkat lunak berbasis cloud yang banyak digunakan yang memudahkan organisasi membuat situs web dengan cepat. Pelanggan dapat mengakses situs web Komunitas Salesforce dengan dua cara: Akses terotentikasi (memerlukan login), dan akses pengguna tamu (tidak perlu login). Fitur akses tamu memungkinkan pengguna yang tidak diautentikasi untuk melihat konten dan sumber daya tertentu tanpa perlu masuk.

Namun, terkadang administrator Salesforce secara keliru memberikan akses kepada pengguna tamu ke sumber daya internal, yang dapat menyebabkan pengguna yang tidak sah mengakses informasi pribadi organisasi dan menyebabkan potensi kebocoran data.

Hingga dihubungi oleh reporter ini pada hari Senin, negara bagian Vermont memiliki setidaknya lima situs Komunitas Salesforce terpisah yang memungkinkan akses tamu ke data sensitif, termasuk program Bantuan Pengangguran Pandemi yang mengungkap nama lengkap pemohon, nomor Jaminan Sosial, alamat, nomor telepon , email, dan nomor rekening bank.

Data itu kemudian dijual di forum kejahatan dunia maya teratas. Associated Press melaporkan bahwa pelanggaran DC Health Link juga merupakan hasil dari kesalahan manusia, dan mengatakan penyelidikan mengungkapkan penyebabnya adalah server DC Health Link yang “salah dikonfigurasi untuk mengizinkan akses ke laporan di server tanpa otentikasi yang tepat.”

Salesforce mengatakan paparan data bukanlah hasil dari kerentanan yang melekat pada platform Salesforce, tetapi hal itu dapat terjadi ketika izin kontrol akses pelanggan salah dikonfigurasi.

selengkapnya : krebsonsecurity

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Mally

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Kurikulum Keamanan Siber NSA

April 26, 2023 by Mally

CLARK adalah platform untuk membangun dan berbagi kurikulum keamanan siber gratis. Ini memberi pendidik keamanan dunia maya blok bangunan untuk melatih gelombang peneliti berikutnya dan mempersiapkan tenaga kerja keamanan dunia maya dengan lebih baik.

Ini diambil dari kumpulan topik keamanan siber yang sangat besar dengan kurikulum keamanan siber berdampak tinggi yang dibuat oleh peneliti top dan ditinjau oleh rekan sejawat oleh perancang instruksional dan pakar materi pelajaran. Ini menyediakan akses ke lebih dari 700 “objek pembelajaran” termasuk lab, video, catatan kuliah, dan format lain yang gratis di bawah lisensi creative commons.

Untuk mendapatkan ide yang lebih baik, inilah beberapa kursus paling populer di CLARK:

Pengantar Cybercrime – Markus Rauschecker, Ben Yelin, University of Maryland-Baltimore
Primer tentang Kondisi Perlombaan dan Keamanan Komputer – Matt Bishop, University of California – Davis
Konsep Dasar Kriptografi Kuantum – Abhishek Parakh, Universitas Nebraska-Omaha
Lingkungan Ancaman Siber Global – John Heslen, Universitas Augusta
Jaringan yang Ditetapkan Perangkat Lunak – Virginia Tech

Pusat CLARK (Cybersecurity Labs and Resource Knowledge-base) dari Towson dan NSA telah menerbitkan ratusan kursus dan modul pembelajaran keamanan siber. Mari kita periksa apa yang ditawarkan.

selengkapnya : i-programmer.info

Serangan Ransomware 2023: Sorotan Kuartal Pertama

April 21, 2023 by Mally

Pada Q1 2023, kami mengamati hampir 850 organisasi diberi nama di situs ransomware dan pemerasan data di web gelap. Ini adalah lompatan 22,4% dari kuartal sebelumnya, yang memiliki jumlah total mendekati 700. Tidak mengherankan, “LockBit” tetap menjadi grup yang paling aktif, dengan selisih yang lebar. Tapi tempat nomor dua datang dari pesaing di menit-menit terakhir: Clop, dengan eksploitasi GoAnywhere.

Jumlah korban disebutkan di 20 situs kebocoran data ransomware teratas, Q1 2023

Maret 2023 mencatat rekor bulan paling aktif yang pernah kami catat dalam sejarah ransomware pemerasan ganda. Lebih dari 400 organisasi disebutkan di situs kebocoran data ransomware; itu 35% lebih banyak dari rekor bulanan sebelumnya.

Aktivitas ransomware menurut bulan sejak Maret 2022

serangan hanya pemerasan berkurang secara substansial: sebesar 90%. Kita berbicara tentang kelompok ancaman yang mencuri data, mengancam untuk membocorkannya di situs kebocoran data, dan kemudian tidak mengenkripsi file. Terobosan dalam aktivitas hanya pemerasan mungkin dapat dijelaskan oleh kelompok pemerasan terkemuka, “Tim Peretasan Karakurt”, sebagian besar tidak aktif.

Aktivitas pemerasan berdasarkan bulan sejak Maret 2022

Ini tidak berarti bahwa serangan pemerasan saja sudah ketinggalan zaman. Jumlah yang dianalisis terbatas pada kelompok pemerasan yang dikonfirmasi yang menyebutkan nama korban di situs kebocoran data, dan ada ratusan pelaku ancaman yang mencuri data dan malah mengekspos organisasi di forum penjahat dunia maya bawah tanah, seperti XSS atau Exploit. Plus, kampanye terbaru Clop, yang menargetkan kelemahan GoAnywhere, dapat dianggap sebagai kampanye pemerasan saja.

Sebaran korban per sektor lebih merata, meski sektor industri barang dan jasa tetap menjadi target paling banyak dengan 21,1% dari seluruh korban. Peningkatan serangan industri perawatan kesehatan merupakan temuan penting; lebih dari 30 organisasi layanan kesehatan disebutkan di situs kebocoran data pada Maret 2023. Itu lebih dari yang kami amati selama empat kuartal terakhir.

selengkapnya : reliaquest.com

Memecah Pipa Bernama Docker Secara SISTEM

April 21, 2023 by Mally

Kami menemukan dan melaporkan beberapa kerentanan eskalasi hak istimewa di dalam Docker Desktop untuk Windows:

Penghapusan file sewenang-wenang yang dapat dimanfaatkan untuk peningkatan hak istimewa penuh: CVE-2022-37326, dan CVE-2022-38730.
Timpa file sewenang-wenang: CVE-2022-31647 dan CVE-2022-34292.

Kami mematuhi pedoman pengungkapan yang bertanggung jawab, dan Docker menangani pemberitahuan dengan cepat dan efisien.

Anggota DaemonJSON menyimpan nilai path untuk file daemon.json (file konfigurasi daemon Docker), dan anggota Settings adalah kelas yang berisi semua bidang (Lampiran A) yang ada di dalam file daemon JSON.

Pertama-tama mari kita jelaskan mengapa anggota Pengaturan tidak relevan bagi kami. Setelah panggilan ke _windowsDockerDaemon.Start (Gambar 1), ada urutan pemanggilan fungsi di mana argumen pengaturan diteruskan ke tiga fungsi: RewriteOptions, GetServiceEnv, dan TryToStartService (Gambar 2).

Tapi meskipun diteruskan sebagai argumen, itu hanya digunakan dalam metode GetServiceEnv dan hanya untuk bidang Proxy (Gambar 3).

Kami memahami bahwa kami tidak dapat memengaruhi setelan argumen untuk memanipulasi layanan. Kami melanjutkan ke argumen berikutnya yang dikontrol oleh kami dan memeriksa argumen daemonOptions, dan dari fungsi RewriteOptions, kami memahami bahwa itu digunakan sebagai parameter untuk file switch –config di dockerd (lihat cuplikan kode di bawah), yang berarti kami mengontrol pengaturan dockerd.

Untungnya, bidang JSON daemon Docker didokumentasikan di Docker, dan Anda dapat melihat banyak opsi di sana (Lampiran B). Satu hal yang akan Anda perhatikan adalah bahwa ada dua versi terpisah – satu untuk Linux dan satu lagi untuk Windows – yang dapat menimbulkan masalah ketika ada bidang yang seharusnya hanya berfungsi di Linux atau Windows.

selengkapnya : cyberark.com

Malware Android Chameleon baru meniru aplikasi bank, pemerintah, dan crypto

April 19, 2023 by Mally

Trojan Android baru yang disebut ‘Chameleon’ telah menargetkan pengguna di Australia dan Polandia sejak awal tahun, meniru pertukaran cryptocurrency CoinSpot, lembaga pemerintah Australia, dan bank IKO.

Malware seluler ditemukan oleh perusahaan cybersecurity Cyble, yang melaporkan melihat distribusi melalui situs web yang disusupi, lampiran Discord, dan layanan hosting Bitbucket.

Chameleon menyertakan berbagai fungsi berbahaya, termasuk mencuri kredensial pengguna melalui injeksi overlay dan keylogging, cookie, dan teks SMS dari perangkat yang terinfeksi.

Cyble juga mengamati kode yang memungkinkan Chameleon mengunduh payload selama runtime dan menyimpannya di host sebagai file “.jar”, untuk dieksekusi nanti melalui DexClassLoader. Namun, fitur ini saat ini tidak digunakan.

Chameleon adalah ancaman yang muncul yang dapat menambahkan lebih banyak fitur dan kemampuan di versi mendatang.

Pengguna Android disarankan untuk berhati-hati dengan aplikasi yang dipasang di perangkat mereka, hanya mengunduh perangkat lunak dari toko resmi, dan memastikan bahwa Google Play Protect selalu diaktifkan.

selengkapnya : bleepingcomputer.com

Dalam surat kepada UE, badan sumber terbuka mengatakan Cyber Resilience Act dapat memiliki ‘efek dingin’ pada pengembangan perangkat lunak

April 19, 2023 by Mally

Lebih dari selusin badan industri open source telah menerbitkan surat terbuka yang meminta Komisi Eropa (EC) untuk mempertimbangkan kembali aspek-aspek dari Cyber Resilience Act (CRA) yang diusulkan, dengan mengatakan bahwa itu akan memiliki “efek dingin” pada pengembangan perangkat lunak open source jika diterapkan di bentuknya saat ini.

Tiga belas organisasi, termasuk Eclipse Foundation, Linux Foundation Europe, dan Open Source Initiative (OSI), juga mencatat bahwa Cyber Resilience Act sebagaimana tertulis “menimbulkan risiko ekonomi dan teknologi yang tidak perlu bagi UE.”

Tampaknya, tujuan dari surat tersebut adalah agar komunitas open source mendapatkan suara yang lebih besar dalam evolusi CRA seiring perkembangannya melalui Parlemen Eropa.

Adapun Undang-Undang Ketahanan Cyber, pesan dari komunitas perangkat lunak open source cukup jelas – mereka merasa bahwa suara merek tidak didengar, dan jika perubahan tidak dilakukan pada undang undang yang diusulkan maka itu bisa berdampak besar.

selengkapnya : techcrunch.com

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

April 16, 2023 by Mally

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings