Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Mozilla Memblokir Add-On Berbahaya Yang Telah Dipasang Oleh 455 Ribu Pengguna Firefox

by

Mozilla memblokir add-on Firefox berbahaya yang dipasang oleh sekitar 455.000 pengguna setelah menemukan pada awal Juni bahwa mereka menyalahgunakan API proxy untuk memblokir pembaruan Firefox.

Add-on (bernama Bypass dan Bypass XM) menggunakan API untuk mencegat dan mengarahkan permintaan web untuk memblokir pengguna dari mengunduh pembaruan, memperbarui konten yang dikonfigurasi dari jarak jauh, dan mengakses daftar blokir yang diperbarui.

“Dimulai dari Firefox 91.1, Firefox sekarang menyertakan perubahan untuk kembali ke koneksi langsung ketika Firefox membuat permintaan penting (seperti untuk pembaruan) melalui konfigurasi proxy yang gagal.

“Memastikan permintaan ini diselesaikan dengan sukses membantu kami memberikan pembaruan dan perlindungan penting terbaru kepada pengguna kami.”

Untuk memblokir add-on berbahaya serupa untuk menyalahgunakan API yang sama, Mozilla telah menambahkan add-on sistem (tersembunyi, tidak mungkin dinonaktifkan, dan dapat diperbarui tanpa henti) yang disebut Proxy Failover.

Add-on baru ini mencegah upaya untuk mengganggu mekanisme pembaruan di versi Firefox saat ini dan yang lebih lama.

Microsoft Defender adalah satu-satunya solusi anti-malware yang mendeteksi add-on sebagai berbahaya, menandainya sebagai BrowserModifier:JS/BypassPaywall.A.

Jika Anda tidak menjalankan Firefox 93 dan belum menonaktifkan pembaruan browser, Anda mungkin terpengaruh oleh masalah ini. Untuk memastikan, coba perbarui Firefox ke versi terbaru karena versi terbaru sudah di-bundle dengan blocklist yang diperbarui yang dirancang untuk menonaktifkan add-on berbahaya ini secara otomatis.

Selengkapnya: Bleeping Computer

Serangan siber Rusia terbaru menargetkan ratusan jaringan AS Lapor Microsoft

by

Badan yang berbasis di Rusia di balik serangan siber besar-besaran SolarWinds tahun lalu telah menargetkan ratusan lebih banyak perusahaan dan organisasi dalam gelombang serangan terbarunya terhadap sistem komputer yang berbasis di AS, kata Microsoft dalam sebuah posting blog.

Microsoft, dalam sebuah posting blog tertanggal 24 Oktober, mengatakan gelombang terbaru Nobelium menargetkan “pengecer dan penyedia layanan teknologi lainnya” dari layanan cloud.

Serangan-serangan itu adalah bagian dari kampanye yang lebih luas selama musim panas, kata Microsoft, seraya menambahkan bahwa pihaknya telah memberi tahu 609 pelanggan antara 1 Juli dan 19 Oktober bahwa mereka telah diserang.

Hanya sebagian kecil dari upaya terbaru yang berhasil, Microsoft mengatakan kepada New York Times, yang pertama kali melaporkan pelanggaran tersebut, tetapi tidak memberikan rincian lebih lanjut.

Pejabat keamanan siber AS tidak dapat segera dihubungi untuk mengkonfirmasi laporan tersebut.

Pejabat A.S. mengkonfirmasi kepada Times bahwa operasi itu sedang berlangsung, dengan seorang pejabat administrasi senior yang tidak disebutkan namanya menyebutnya “operasi run-of-the-mill yang tidak canggih yang dapat dicegah jika penyedia layanan cloud telah menerapkan praktik keamanan siber dasar.”

“Kegiatan baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan membangun mekanisme untuk mengawasi – sekarang atau di masa depan – target yang menarik bagi pemerintah Rusia, “tulis Microsoft.

Selengkapnya: Reuters

Cara Mendeteksi dan Melindungi saat Remote Desktop Protocol (RDP) terbuka ke Internet

by

Para peneliti keamanan siber di Coveware menemukan bahwa 42 persen kasus ransomware di Q2 2021 memanfaatkan RDP Compromise sebagai vektor serangan.

Mereka juga menemukan bahwa “Di Q2, email phishing dan brute force Remote Desktop Protocol (RDP) tetap menjadi metode termurah, paling menguntungkan serta populer bagi pelaku ancaman untuk mendapatkan pijakan awal di dalam jaringan perusahaan.”

Berikut dipaparkan cara untuk mendeteksi dan melindungi Remote Desktop Protocol (RDP) yang terbuka ke Internet :

Mendeteksi akses RDP di log
Login atau serangan RDP akan menghasilkan beberapa log peristiwa di beberapa log peristiwa. Peristiwa ini akan ditemukan pada sistem target yang mencoba atau menyelesaikan sesi RDP, atau direktori aktif yang menangani otentikasi.

Melakukan Threat Hunting
Aktor ancaman dapat menghapus satu atau lebih log sebelum memutuskan sambungan, tetapi untungnya, peristiwa pemutusan akan ada di log yang memungkinkan penyelidik melihat sumber pemutusan RDP.

Remote Desktop Gateway
Merupakan peran yang ditambahkan ke Server Windows yang Anda terbitkan ke internet yang menyediakan akses SSL (RDP terenkripsi melalui port TCP 443 dan UDP 3391) alih-alih protokol RDP melalui port 3389.

Virtual Private Network (VPN)
Organisasi juga harus memantau login VPN untuk upaya akses, dan IP sumber diselesaikan ke negara asal.

Jump Host
Organisasi harus memantau aplikasi jump host dan menerapkan patch secepat mungkin.

Cloud RDP
Pilihan lain adalah menggunakan lingkungan cloud seperti Microsoft Azure untuk meng-host solusi jarak jauh yang menyediakan MFA untuk mengirimkan koneksi tepercaya kembali ke organisasi

Mengubah Port RDP
Dengan mengedit registri Windows, port mendengarkan default dapat dimodifikasi, dan organisasi dapat menerapkan deteksi SIEM untuk menangkap upaya port 3389.

Pembatasan Alamat IP
Organisasi dapat menggunakan alat firewall khusus atau Windows Firewall pada mesin host yang dikelola oleh Kebijakan Grup untuk membatasi koneksi RDP ke alamat IP yang diketahui baik.

Selengkapnya: NCC Group

Bug Keamanan SD-WAN Cisco Memungkinkan Eksekusi Kode Root

by

Implementasi Cisco SD-WAN rentan terhadap kerentanan eskalasi hak istimewa dengan tingkat keparahan tinggi dalam sistem operasi IOS XE yang dapat menyebabkan eksekusi kode arbitrer.

Sementara itu, IOS XE, adalah sistem operasi vendor yang menjalankan peralatan tersebut. Ini adalah kombinasi dari kernel Linux dan aplikasi monolitik yang berjalan di atas kernel itu.

Bug (CVE-2021-1529) adalah masalah injeksi perintah OS, yang memungkinkan penyerang untuk mengeksekusi perintah yang tidak terduga dan berbahaya secara langsung pada sistem operasi yang biasanya tidak dapat diakses. Ini secara khusus ada di antarmuka baris perintah (CLI) untuk perangkat lunak IOS XE SD-WAN Cisco, dan dapat memungkinkan penyerang lokal yang diautentikasi untuk mengeksekusi perintah sewenang-wenang dengan hak akses root.

Ini hanya kerentanan SD-WAN terbaru dari beberapa yang telah ditambal Cisco tahun ini. Pada bulan Januari, ia memperbaiki beberapa, buffer-overflow kritis dan bug SD-WAN injeksi perintah, yang paling serius dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer pada sistem yang terpengaruh dengan hak akses root.

Pada bulan Mei, Cisco membahas dua kerentanan keamanan kritis dalam Perangkat Lunak SD-WAN vManage, salah satunya dapat memungkinkan penyerang yang tidak diautentikasi untuk melakukan eksekusi kode jarak jauh (RCE) di jaringan perusahaan atau mencuri informasi.

Dan baru bulan lalu, Cisco mengungkapkan dua kerentanan keamanan kritis yang memengaruhi perangkat lunak IOS XE dan SD-WAN-nya, yang paling parah akan memungkinkan RCE dan penolakan layanan (DoS) yang tidak diautentikasi.

Selengkapnya: Threat Post

Bagaimana Peretas Membajak Ribuan Akun YouTube Terkenal

by

Setidaknya sejak 2019, peretas telah membajak saluran YouTube profil tinggi. Terkadang mereka menyiarkan penipuan cryptocurrency, terkadang mereka hanya melelang akses ke akun. Sekarang, Google telah merinci teknik yang digunakan peretas untuk mengkompromikan ribuan pembuat konten YouTube hanya dalam beberapa tahun terakhir.

Semuanya dimulai dengan phishing. Penyerang mengirim email kepada pembuat YouTube yang tampaknya berasal dari layanan nyata—seperti VPN, aplikasi pengeditan foto, atau penawaran antivirus—dan menawarkan untuk berkolaborasi.

Mengeklik tautan untuk mengunduh produk akan membawa pembuatnya ke situs pendaratan malware alih-alih yang sebenarnya. Dalam beberapa kasus, peretas meniru jumlah yang diketahui seperti Cisco VPN dan game Steam, atau berpura-pura menjadi media yang berfokus pada COVID-19.

Setelah YouTuber secara tidak sengaja mengunduh perangkat lunak berbahaya, ia mengambil cookie tertentu dari browser mereka. “Cookie sesi” ini mengonfirmasi bahwa pengguna telah berhasil masuk ke akun mereka.

Seorang peretas dapat mengunggah cookie yang dicuri itu ke server jahat, membiarkan mereka berpura-pura sebagai korban yang sudah diautentikasi. Cookie sesi sangat berharga bagi penyerang karena menghilangkan kebutuhan untuk melalui bagian mana pun dari proses login.

Meskipun otentikasi dua faktor tidak dapat menghentikan pencurian cookie berbasis malware ini, ini merupakan perlindungan penting untuk jenis penipuan dan phishing lainnya. Mulai 1 November, Google akan mewajibkan pembuat konten YouTube yang memonetisasi salurannya untuk mengaktifkan dua faktor untuk akun Google yang terkait dengan Pengelola Konten YouTube Studio atau YouTube Studio mereka.

Penting juga untuk memperhatikan peringatan “Penjelajahan Aman” Google tentang halaman yang berpotensi berbahaya. Dan seperti biasa, berhati-hatilah dengan apa yang Anda klik dan lampiran mana yang Anda unduh dari email Anda.

Selengkapnya: ARS Technica

Apa Yang Diajarkan “Squid Game” Kepada Kita Mengenai Keamanan Siber

by

Squid Game, acara Netflix dystopian yang tegang, telah memikat penonton di seluruh dunia, menghasilkan momen TV yang mengingatkan pada Game of Thrones. Di permukaan, acara ini penuh dengan komentar masyarakat dan pesan anti-kapitalis tentang topik-topik seperti ketidaksetaraan kekayaan. Namun, melihat pertunjukan melalui lensa penggemar keamanan siber juga menghasilkan beberapa pelajaran bagi komunitas keamanan.

Bersiap untuk ancaman yang tidak terduga
Sama seperti para pemain Squid Game — yang harus menemukan cara untuk menang di serangkaian permainan anak-anak tanpa mengetahui permainan apa yang akan mereka hadapi sampai mereka mulai bermain — profesional keamanan harus menemukan cara untuk mempertahankan organisasi mereka dari ancaman yang tidak terduga.

Bangun Tim yang Beragam
Setelah game pertama, para pemain Squid Game dengan cepat memutuskan bahwa membentuk aliansi akan membantu mereka bertahan. Membangun tim yang beragam dan tim yang terampil meningkatkan peluang seseorang dalam tim mengetahui strategi, keterampilan, atau pengetahuan yang tepat untuk menang (menghentikan atau menanggapi ancaman dunia maya).

Gunakan Alat yang Tepat
Dua pemain dapat menyelundupkan peralatan setelah pertandingan diadakan kembali — Sae-byeok (Pemain 067) dan Mi-nyeo (Pemain 212), yang masing-masing membawa pisau dan korek api. Pisau itu memungkinkan Sae-byeok untuk mengetahui sebelumnya tentang game pertama dengan mengakses saluran udara. Pemantik membantu dua pemain menyelesaikan game 2 dengan memanaskan jarum mereka untuk melelehkan sarang lebah dengan cepat dengan sedikit risiko memecahkan wafer itu sendiri. Demikian pula, tim keamanan membutuhkan alat yang tepat untuk berhasil mengatasi ancaman yang mereka hadapi.

Proses Penting
Ketika Gi-hun mengetahui bahwa dia bisa menjilat sarang lebah untuk melarutkan gula, itu memberinya keuntungan besar daripada memotong wafernya dengan jarum. Penting juga bagi tim keamanan untuk mendokumentasikan proses mereka sehingga mereka dapat mengulanginya di seluruh anggota staf yang berbeda dan mendapatkan hasil yang sama.

Pertahanan di Pekerjaan Mendalam
Paralel dapat dibuat antara merakit postur keamanan yang efektif dan menjadi tuan rumah Game Squid yang sukses. Dalam kedua kasus tersebut, Anda ingin menghilangkan ancaman (ke organisasi Anda, atau hadiah uang Anda) dalam serangkaian filter yang berurutan. Dalam Squid Game, ini dicapai dengan menundukkan peserta pada permainan anak-anak dan menghilangkan yang kalah. Setiap permainan menghilangkan persentase pemain sampai hanya satu yang tersisa.

Orang Dalam Juga Bisa Menjadi Ancaman
Squid Game memiliki orang dalam yang jahat dan berbahaya. Petugas polisi, Hwang Jun-ho, menyelinap ke dalam permainan untuk menemukan saudaranya dengan membunuh dan mencuri identitas pekerja 29. Ini analog dengan orang dalam yang dikompromikan: Jun-ho berada di dalam batas keamanan permainan, menggunakan identitas yang diketahui dan kredensial, dan tidak selaras dengan niat tuan rumah.

Selengkapnya: Dark Reading

Deepfake Audio Mencetak $35 Juta dalam Perampokan Perusahaan

by

Sekelompok penipu menghasilkan $35 juta setelah menggunakan pesan email palsu dan audio deepfake untuk meyakinkan seorang karyawan perusahaan Uni Emirat Arab bahwa seorang direktur meminta uang itu sebagai bagian dari akuisisi organisasi lain, menurut permintaan pengadilan federal AS yang diajukan minggu lalu.

Serangan itu menargetkan manajer cabang dengan email yang tampaknya berasal dari direktur dan pengacara yang berbasis di AS, yang email tersebut ditunjuk sebagai koordinator akuisisi. Serangan ini adalah yang terbaru menggunakan audio sintetis yang dibuat menggunakan algoritma pembelajaran mesin, yang dikenal sebagai jaringan saraf, untuk meniru suara seseorang yang dikenal oleh karyawan yang ditargetkan.

Oleh karena itu, audio deepfake dan suara yang disintesis kemungkinan akan menjadi bagian dari teknik penjahat dunia maya di masa depan. Berbagai alat sumber terbuka tersedia untuk memungkinkan siapa saja membuat deepfake, baik video maupun audio, kata Etay Maor, direktur senior strategi keamanan di perusahaan keamanan jaringan Cato Networks.

“Jika ada uang yang dihasilkan, Anda dapat yakin bahwa penyerang akan mengadopsi teknik baru,” kata Maor. “Tidak terlalu canggih untuk menggunakan alat seperti itu. Ketika berbicara tentang suara, itu bahkan lebih mudah.”

Selengkapnya: Dark Reading

Bug Rollover GPS Daemon (GPSD)

by

Pemilik dan operator Critical Infrastructure (CI), dan pengguna lain yang memperoleh Coordinated Universal Time (UTC) dari perangkat Global Positioning System (GPS), harus mengetahui bug GPS Daemon (GPSD) di GPSD versi 3.20 (dirilis 31 Desember 2019 ) hingga 3,22 (dirilis 8 Januari 2021).

Pada 24 Oktober 2021, server Network Time Protocol (NTP) yang menggunakan GPSD versi 3.20-3.22 yang disadap dapat mengembalikan tanggal 1.024 minggu—hingga Maret 2002—yang dapat menyebabkan sistem dan layanan menjadi tidak tersedia atau tidak responsif.

CISA mendesak pemilik dan operator CI yang terpengaruh untuk memastikan sistem—yang menggunakan GPSD untuk mendapatkan informasi waktu dari perangkat GPS—menggunakan GPSD versi 3.23 (dirilis 8 Agustus 2021) atau yang lebih baru.

Selengkapnya: National Cyber Awarness