Cybersecurity

100M Perangkat IoT Memiliki Bug Zero-Day

September 27, 2021 by Winnie the Pooh

Cacat dalam kode infrastruktur internet-of-things (IoT) yang banyak digunakan membuat lebih dari 100 juta perangkat di 10.000 perusahaan rentan terhadap serangan.

Para peneliti di Guardara menggunakan teknologi mereka untuk menemukan kerentanan zero-day di NanoMQ, platform open-source dari EMQ yang memantau perangkat IoT secara real time, kemudian bertindak sebagai “perantara pesan” untuk menyampaikan peringatan bahwa aktivitas atipikal telah terdeteksi.

Produk EMQ digunakan untuk memantau kesehatan pasien yang meninggalkan rumah sakit, mendeteksi kebakaran, memantau sistem mobil, dalam jam tangan pintar, dalam aplikasi smart city, dan banyak lagi.

CEO Guardara Mitali Rakhit mengatakan kepada Threatpost bahwa kerentanan diberi skor CVSS 7.1, menjadikannya tingkat keparahan yang tinggi.

Bug ini disebabkan oleh pembatasan operasi yang tidak tepat dalam batas buffer memori (CWE-119).

Zsolt Imre dari Guardara menjelaskan di GitHub bahwa masalahnya ada pada panjang paket MQTT. MQTT adalah standar protokol perpesanan untuk IoT, dirancang sebagai transportasi perpesanan publish/subscribe yang sangat ringan untuk menghubungkan perangkat jarak jauh dengan jejak kode kecil, yang membutuhkan bandwidth jaringan minimal.

Dengan demikian, MQTT digunakan di berbagai industri yang menggunakan sensor pintar bandwidth rendah, seperti otomotif, manufaktur, telekomunikasi, minyak dan gas, dan sebagainya.

Dalam implementasi NanoMQ, “ketika panjang paket MQTT diubah dan lebih rendah dari yang diharapkan, operasi ‘memcpy’ menerima nilai ukuran yang membuat lokasi buffer sumber menunjuk ke atau ke area memori yang tidak terisi,” tulis Imre. “Akibatnya, NanoMQ crash.”

Semua penyerang akan perlu untuk mengeksploitasi kerentanan dan sistem crash adalah jaringan dasar dan keterampilan scripting, Rakhit menambahkan.

Jenis serangan penolakan layanan ini bisa sangat berbahaya karena memengaruhi ketersediaan peralatan yang sangat penting.

Selengkapnya: The Threat Post

Google Peringatkan Cara Baru Peretas Dapat Membuat Malware Tidak Terdeteksi di Windows

September 27, 2021 by Winnie the Pooh

Peneliti keamanan siber telah mengungkapkan teknik baru yang diadopsi oleh aktor siber untuk secara sengaja menghindari deteksi dengan bantuan tanda tangan digital yang cacat dari muatan malware-nya.

“Penyerang membuat tanda tangan kode cacat yang dianggap valid oleh Windows tetapi tidak dapat didekodekan atau diperiksa oleh kode OpenSSL – yang digunakan dalam sejumlah produk pemindaian keamanan,” Neel Mehta dari Google Threat Analysis Group mengatakan dalam sebuah tulisan yang diterbitkan pada hari Kamis.

Mekanisme baru ini diamati dieksploitasi oleh keluarga terkenal dari Unwanted Software yang dikenal sebagai OpenSUpdater yang digunakan untuk mengunduh dan menginstal program mencurigakan lainnya pada sistem yang disusupi.

Sebagian besar target kampanye adalah pengguna yang berada di A.S. yang cenderung mengunduh versi game yang sudah di-crack dan perangkat lunak ilegal lainnya.

Temuan ini berasal dari sekumpulan sampel OpenSUpdater yang diunggah ke VirusTotal setidaknya sejak pertengahan Agustus.

Sementara musuh di masa lalu mengandalkan sertifikat digital yang diperoleh secara ilegal untuk menyelinap adware dan perangkat lunak lain yang tidak diinginkan melewati alat pendeteksi malware atau dengan menyematkan kode serangan ke dalam tanda tangan digital, komponen perangkat lunak tepercaya dengan meracuni rantai pasokan perangkat lunak, OpenSUpdater menonjol karena penggunaan tanda tangan cacat yang disengaja untuk lolos dari pertahanan.

Sumber: The Hacker News

Microsoft Autodiscover disalahgunakan untuk mengumpulkan kredensial

September 27, 2021 by Winnie the Pooh

Para peneliti menemukan sebuah “kesalahan desain” dalam protokol Microsoft Autodiscover yang dapat memanen kredensial domain.

Pada hari Rabu, AVP Riset Keamanan Guardicore Labs Amit Serper menerbitkan hasil analisis Autodiscover, protokol yang digunakan untuk mengautentikasi ke server Microsoft Exchange dan untuk mengonfigurasi akses klien.

Ada iterasi berbeda dari protokol yang tersedia untuk digunakan. Guardicore menjelajahi implementasi Autodiscover berdasarkan POX XML dan menemukan “kesalahan desain” yang dapat dieksploitasi untuk ‘membocorkan’ permintaan web ke domain Autodiscover di luar domain pengguna, selama mereka berada di top-level (TLD) domain yang sama.

Untuk menguji protokol, tim terlebih dahulu mendaftarkan dan membeli sejumlah domain dengan akhiran TLD, termasuk Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, dan Autodiscover.com.uk, dan seterusnya.

Domain-domain ini kemudian ditugaskan ke server web Guardicore, dan para peneliti mengatakan bahwa mereka “hanya menunggu permintaan web untuk berbagai endpoint Autodiscover tiba.”

Secara total, Guardicore mampu menangkap 372.072 kredensial domain Windows dan 96.671 set kredensial unik dari sumber termasuk Microsoft Outlook dan klien email antara 16 April dan 25 Agustus 2021. Beberapa set dikirim melalui otentikasi dasar HTTP.

Untuk memitigasi masalah ini, Guardicore mengatakan bahwa domain TLD Autodiscover harus diblokir oleh firewall, dan ketika setup Exchange sedang dikonfigurasi, dukungan untuk otentikasi dasar harus dinonaktifkan — karena ini “sama seperti mengirim kata sandi dalam teks yang jelas melalui wire.”

Sumber: ZDNet

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

September 24, 2021 by Winnie the Pooh

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

September 24, 2021 by Winnie the Pooh

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News

Apple akan menonaktifkan TLS tidak aman di iOS mendatang, rilis macOS

September 23, 2021 by Winnie the Pooh

Apple telah menghentikan protokol Transport Layer Security (TLS) 1.0 dan 1.1 yang tidak aman dalam versi iOS dan macOS yang baru-baru ini diluncurkan dan berencana untuk menghapus dukungan di rilis mendatang.

TLS adalah protokol komunikasi aman yang dirancang untuk melindungi pengguna dari penyadapan, gangguan, dan pemalsuan pesan saat mengakses dan bertukar informasi melalui koneksi Internet menggunakan aplikasi klien/server.

Spesifikasi TLS 1.0 asli dan penerusnya TLS 1.1 telah digunakan selama hampir 20 tahun (dengan TLS 1.0 pertama kali ditetapkan pada 1999 dan TLS 1.1 pada 2006).

Internet Engineering Task Force (IETF) menyetujui TLS 1.3, versi utama berikutnya dari protokol TLS, pada Maret 2018, setelah empat tahun diskusi dan 28 draf protokol.

“Sebagai bagian dari upaya berkelanjutan untuk memodernisasi platform, dan untuk meningkatkan keamanan dan keandalan, TLS 1.0 dan 1.1 telah dihentikan oleh Internet Engineering Task Force (IETF) mulai 25 Maret 2021,” kata Apple.

“Versi ini tidak digunakan lagi di platform Apple pada iOS 15, iPadOS 15, macOS 12, watchOS 8, dan tvOS 15, dan dukungan akan dihapus di rilis mendatang.”

Perusahaan menyarankan pengembang yang aplikasinya masih menggunakan protokol TLS lama untuk mulai merencanakan transisi ke TLS 1.2 atau lebih tinggi dalam waktu dekat.

Pembaruan Apple mengikuti pengumuman bersama dari Microsoft, Google, Apple, dan Mozilla mulai Oktober 2018, mengatakan bahwa keempat organisasi tersebut akan mulai menghentikan protokol TLS yang tidak aman mulai paruh pertama tahun 2020.

Selengkapnya: Bleeping Computer

Peretas Sedang Memindai Target VMware CVE-2021-22005, Patch Sekarang!

September 23, 2021 by Winnie the Pooh

Pelaku ancaman sudah mulai menargetkan server VMware vCenter yang terpapar Internet yang tidak ditambal terhadap kerentanan pengunggahan file kritis yang ditambal kemarin yang dapat menyebabkan eksekusi kode jarak jauh.

Cacat keamanan yang dilacak sebagai CVE-2021-22005 berdampak pada semua penerapan vCenter Server 6.7 dan 7.0 dengan konfigurasi default.

Cacat ini dilaporkan oleh George Noseevich dan Sergey Gerasimov dari SolidLab LLC, dan penyerang yang tidak diautentikasi dapat mengeksploitasinya dari jarak jauh dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna.

Sementara kode exploit belum tersedia untuk umum, aktivitas pemindaian yang sedang berlangsung sudah terlihat oleh perusahaan intelijen ancaman Bad Packets, dengan beberapa VMware honeypots merekam penyerang yang menyelidiki keberadaan bug kritis hanya beberapa jam setelah VMware merilis pembaruan keamanan.

Saat ini, ribuan server vCenter yang berpotensi rentan dapat dijangkau melalui Internet dan terkena serangan, menurut mesin pencari Shodan untuk perangkat yang terhubung ke Internet.

Pemindaian yang sedang berlangsung ini mengikuti peringatan yang dikeluarkan oleh VMware kemarin untuk menyoroti pentingnya menambal server terhadap bug CVE-2021-22005 sesegera mungkin.

Perusahaan menyediakan solusi yang mengharuskan admin untuk mengedit file teks pada alat virtual dan memulai ulang layanan secara manual atau menggunakan skrip untuk menghapus vektor eksploitasi.

VMware juga menerbitkan dokumen FAQ terperinci dengan pertanyaan dan jawaban tambahan mengenai cacat CVE-2021-22005.

Selengkapnya: Bleeping Computer

Epik Konfirmasi Peretasan Yang Menimpa Sistemnya

September 23, 2021 by Winnie the Pooh

Epik, pendaftar domain yang dikenal sebagai hosting beberapa organisasi sayap kanan besar, telah mengkonfirmasi peretasan sistemnya, seminggu setelah penyerang yang menyebut diri mereka sebagai bagian dari kolektif peretas Anonymous mengatakan bahwa mereka telah memperoleh dan membocorkan data berukuran gigabit dari perusahaan hosting, termasuk 15 juta alamat email.

“Pada 15 September, kami mengonfirmasi bahwa informasi akun pelanggan tertentu untuk sistem terkait domain kami diakses dan diunduh oleh pihak ketiga yang tidak sah,” tweet perusahaan tersebut, yang menyebut dirinya “Bank Domain Swiss” di situs webnya.

Peneliti keamanan juga telah men-tweet salinan pemberitahuan pelanggaran data perusahaan yang dikirim ke pelanggan, yang mendesak pengguna untuk memantau aktivitas jahat yang melibatkan “informasi apa pun yang digunakan untuk layanan [Epik],” termasuk nomor kartu kredit, nama terdaftar, alamat email, nama pengguna dan kata sandi.

Menurut kelompok penyerang yang berafiliasi dengan Anonymous, yang mengeluarkan siaran pers yang diperoleh oleh jurnalis independen Steven Monacelli, peretasan tersebut merupakan pembalasan atas kebiasaan Epik yang menghosting situs web alt-right yang dipertanyakan.

Sementara itu, ada bukti bahwa non-pelanggan juga terjebak dalam pelanggaran tersebut. Troy Hunt dari HaveIBeenPwned mengatakan bahwa informasi mengenai dirinya adalah bagian dari data dump, meskipun tidak pernah bertransaksi dengan Epik. Dia melihat lebih jauh ke dalam situasi dan memutuskan bahwa Epik terlibat dalam data-scraping.

Selengkapnya: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings