Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

91% tim TI merasa ‘dipaksa’ untuk mengabaikan keamanan demi operasi bisnis

by

Sebuah survei baru menunjukkan bahwa mayoritas staf TI merasa tertekan untuk mengabaikan masalah keamanan demi operasi bisnis.

Pada hari Kamis, HP Wolf Security menerbitkan sebuah studi baru, laporan Security Rebellions & Rejections, yang menggabungkan data dari survei YouGov online yang menargetkan pekerja kantoran yang mengadopsi WFH dan penelitian global yang dilakukan dengan pengambil keputusan TI.

Secara total, 91% dari mereka yang disurvei mengatakan bahwa mereka merasa “tertekan” untuk membahayakan keamanan karena kebutuhan untuk kelangsungan bisnis selama pandemi COVID-19. 76% responden mengatakan bahwa keamanan telah mengambil kursi belakang, dan lebih jauh lagi, 83% percaya bahwa bekerja dari rumah telah menciptakan “bom waktu” untuk insiden keamanan perusahaan.

Tim TI, beban kerja mereka, dan kebutuhan untuk berkompromi bukan satu-satunya masalah — tampaknya juga ada perasaan apatis dan frustrasi secara umum ketika harus mengelola keamanan siber di tempat kerja jarak jauh.

Menurut survei, pekerja yang lebih muda, khususnya, lebih mungkin untuk menghindari kontrol keamanan yang ada untuk mengelola beban kerja mereka, dengan 48% dari kelompok ini mengatakan bahwa alat keamanan, seperti pembatasan situs web atau persyaratan VPN, adalah penghalang — dan 31% setidaknya mencoba untuk melewatinya.

Secara keseluruhan, 48% pekerja kantoran mengatakan bahwa tindakan keamanan membuang-buang waktu dan 54% di kelompok berusia 18-24 tahun lebih peduli dengan memenuhi tenggat waktu daripada potensi pelanggaran keamanan. Selain itu, 39% dari kelompok ini tidak yakin atau tidak mengetahui kebijakan keamanan majikan mereka.

Selengkapnya: ZDNet

Perserikatan Bangsa-Bangsa diretas dari April hingga Agustus: penjahat dunia maya berbahasa Rusia menjajakan nama pengguna dan kata sandi curian karyawan di web gelap seharga $ 1.000

by

Peretas telah mengumpulkan data dari sistem internal Perserikatan Bangsa-Bangsa sejak April, menggunakan kredensial login curian karyawan yang telah dijual di web gelap hanya dengan $1.000.

Kombinasi nama pengguna dan kata sandi dijual oleh beberapa penjahat dunia maya berbahasa Rusia hingga akhir Juli, tetapi identitas peretas dan tujuan eksplisit mereka masih belum diketahui.

Kredensial menawarkan akses ke perangkat lunak manajemen proyek organisasi Umoja. Titik masuk memberikan wawasan berharga tentang pekerjaan pemerintah dan kemanusiaan di seluruh dunia.

PBB, yang terus-menerus berhubungan dengan negara-negara dan perusahaan-perusahaan besar, telah menjadi sasaran peretas yang diarahkan oleh negara sebelumnya, tetapi penjahat dunia maya sehari-hari sekarang mengejar perusahaan dan organisasi besar dengan tujuan menjual akses ke informasi yang sangat didambakan.

Peretas memperoleh akses ke sistem PBB pada 5 April dan masih aktif di jaringan sebulan yang lalu, menurut Bloomberg.

‘Organisasi seperti PBB adalah target bernilai tinggi untuk aktivitas spionase siber,’ kata Gene Yoo, CEO Resecurity, sebuah perusahaan keamanan siber yang mengatakan telah menemukan pelanggaran tersebut.

PBB menjawab bahwa para peretas hanya mengambil tangkapan layar, tetapi ketika perusahaan memperingatkan mereka tentang data yang dicuri, organisasi itu berhenti berbicara dengan mereka, kata Resecurity.

Pada hari Kamis, seorang juru bicara PBB mengatakan bahwa organisasi tersebut mengetahui peretasan tersebut sebelum Resecurity memberi tahu mereka tentang hal itu. Dia juga mengatakan PBB telah mendeteksi lebih banyak pelanggaran.

Selengkapnya: Daily Mail UK

Peretas membocorkan kata sandi untuk 500.000 akun Fortinet VPN

by

Seorang aktor ancaman telah membocorkan daftar hampir 500.000 nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dapat dieksploitasi musim panas lalu.

Sementara aktor ancaman menyatakan bahwa kerentanan Fortinet yang dieksploitasi telah ditambal, mereka mengklaim bahwa banyak kredensial VPN masih valid.

Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.

Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai ‘Orange,’ yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari operasi Babuk Ransomware.

Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.

Pada tanggal 7 September, pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet.

Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.

Kedua posting mengarah ke file yang dihosting di server penyimpanan Tor yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

by

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

  1. Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
  2. Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
  3. Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Geng Ransomware menargetkan perusahaan menggunakan kriteria ini

by

Geng Ransomware semakin banyak membeli akses ke jaringan korban di pasar dark web dan dari pelaku ancaman lainnya. Menganalisis iklan keinginan mereka memungkinkan untuk melihat ke dalam pada jenis perusahaan yang ditargetkan operasi ransomware.

Setelah memeriksa “iklan keinginan” geng ransomware, perusahaan intelijen keamanan siber KELA telah menyusun daftar kriteria yang dicari oleh operasi penargetan perusahaan yang lebih besar di sebuah perusahaan untuk serangan mereka.

Dengan menganalisis iklan yang diinginkan dari hampir dua puluh pos yang dibuat oleh pelaku ancaman yang terkait dengan geng ransomware, peneliti KELA dapat menemukan karakteristik perusahaan berikut yang menjadi sasaran:

  • Geografi: Geng Ransomware lebih memilih korban yang berlokasi di AS, Kanada, Australia, dan Eropa.
  • Pendapatan: KELA menyatakan bahwa pendapatan minimum rata-rata yang diinginkan oleh geng ransomware adalah $100 juta. Namun, ini bisa berbeda tergantung pada lokasi geografis korban.
  • Daftar blokir sektor: Sementara beberapa geng mengatakan mereka menghindari industri kesehatan, mereka kurang pilih-pilih tentang industri lain dari perusahaan yang mereka serang. Namun, setelah serangan Colonial Pipeline, Metropolitan Police Department, dan JBS, banyak geng ransomware mulai menghindari sektor tertentu.
  • Daftar blokir negara: Sebagian besar operasi ransomware besar secara khusus menghindari menyerang perusahaan yang berlokasi di Commonwealth of Independent States (CIS) karena mereka yakin jika mereka tidak menargetkan negara-negara tersebut, otoritas lokal tidak akan menargetkan mereka.

    Negara-negara yang diblokir ini termasuk Rusia, Ukraina, Moldova, Belarus, Kirgistan, Kazakhstan, Armenia, Tajikistan, Turkmenistan, dan Uzbekistan.

Sayangnya, meskipun sebuah perusahaan tidak memenuhi kriteria di atas, bukan berarti mereka aman.

Banyak geng ransomware, seperti Dharma, STOP, Globe, dan lainnya, kurang pilih-pilih, dan Anda bisa menjadi sasaran operasi ransomware.

Selengkapnya: Bleeping Computer

Zero trust dan keamanan siber: Inilah artinya dan mengapa itu penting

by

Pusat Keamanan Siber Nasional Inggris (NCSC) minggu ini mengatakan zero trust telah menjadi “istilah yang sangat modis” di dunia teknologi.

Jadi apa itu zero trust, menurut NCSC?

“Zero trust adalah ide untuk menghilangkan kepercayaan yang melekat dari jaringan. Hanya karena perangkat berada di dalam sisi “tepercaya” internal dari firewall atau VPN, itu tidak boleh dipercaya secara default,” jelasnya dalam posting blog baru.

“Sebaliknya, Anda harus melihat untuk membangun kepercayaan dalam berbagai transaksi yang terjadi. Anda dapat melakukan ini dengan mengembangkan konteks melalui pemeriksaan sejumlah sinyal. Sinyal ini adalah potongan informasi seperti kesehatan perangkat atau lokasi, dan dapat memberikan kepercayaan yang dibutuhkan untuk memberikan akses ke sumber daya.”

Namun, NCSC mengakui bahwa tidak setiap organisasi akan siap untuk mengadopsi arsitektur zero trust. Mereka juga menekankan itu bukan standar atau spesifikasi, melainkan “pendekatan untuk merancang jaringan” – artinya mungkin sulit untuk mengetahui apakah Anda melakukannya dengan benar.

Selain itu, mungkin ada biaya langsung dan tidak langsung yang timbul dari migrasi ke desain jaringan zero trust. Biaya langsung meliputi produk, perangkat, dan layanan baru. Biaya tidak langsung meliputi pelatihan engineers, biaya lisensi baru, dan langganan.

NCSC mengeluarkan lima alasan mengapa zero trust mungkin merupakan filosofi yang baik untuk diadopsi:

  • Dalam model zero trust, setiap tindakan yang dilakukan pengguna atau perangkat tunduk pada beberapa bentuk keputusan kebijakan. Hal ini memungkinkan organisasi untuk memverifikasi setiap upaya untuk mengakses data atau sumber daya, “membuat hidup sangat sulit bagi penyerang”.
  • Zero trust memungkinkan otentikasi dan otorisasi yang kuat, sekaligus mengurangi overhead jaringan untuk memperluas jaringan perusahaan Anda ke rumah pengguna Anda.
  • Beberapa kontrol keamanan zero trust dapat memungkinkan pengalaman pengguna yang jauh lebih baik. Misalnya, dengan menggunakan single sign-on pengguna hanya perlu memasukkan kredensial satu kali, bukan setiap kali ingin menggunakan aplikasi yang berbeda.
  • Kontrol yang lebih besar atas akses data berarti Anda dapat memberikan akses ke data tertentu kepada audiens yang tepat.
  • Meningkatkan kemampuan logging Anda untuk menyertakan peristiwa dari perangkat dan layanan pengguna memberi Anda gambaran yang jauh lebih kaya tentang apa yang terjadi di lingkungan Anda, memungkinkan Anda mendeteksi gangguan dengan lebih akurat.

Selengkapnya: ZDNet

Microsoft Mengatakan Peretas China Berada di Balik Serangan Zero Day SolarWinds Serv-U SSH

by

Microsoft telah membagikan detail teknis tentang kerentanan keamanan kritis yang sekarang telah diperbaiki dan dieksploitasi secara aktif yang memengaruhi layanan transfer file terkelola SolarWinds Serv-U yang telah dikaitkan dengan “kepercayaan tinggi” kepada aktor ancaman yang beroperasi di luar China.

Pada pertengahan Juli, perusahaan yang berbasis di Texas memperbaiki kelemahan eksekusi kode jarak jauh (CVE-2021-35211) yang berakar pada implementasi Serv-U dari protokol Secure Shell (SSH), yang dapat disalahgunakan oleh penyerang untuk menjalankan kode apapun. pada sistem yang terinfeksi, termasuk kemampuan untuk menginstal program jahat dan melihat, mengubah, atau menghapus data sensitif.

Sementara Microsoft menautkan serangan ke DEV-0322, sebuah kolektif berbasis di China yang mengutip “viktimologi, taktik, dan prosedur yang diamati,” perusahaan tersebut kini telah mengungkapkan bahwa kerentanan pra-otentikasi jarak jauh berasal dari cara proses Serv-U menangani akses pelanggaran tanpa menghentikan proses, sehingga memudahkan untuk melakukan upaya eksploitasi yang tersembunyi dan andal.

“Kerentanan yang dieksploitasi disebabkan oleh cara Serv-U awalnya membuat konteks OpenSSL AES128-CTR,” kata para peneliti. “Ini, pada gilirannya, dapat memungkinkan penggunaan data yang tidak diinisialisasi sebagai penunjuk fungsi selama dekripsi pesan SSH yang berurutan.”

“Oleh karena itu, penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke port SSH terbuka dan mengirimkan permintaan koneksi pra-auth yang salah. Kami juga menemukan bahwa penyerang kemungkinan menggunakan DLL yang dikompilasi tanpa pengacakan tata letak ruang alamat (ASLR) yang dimuat oleh Server. Prosesnya untuk memfasilitasi eksploitasi,” tambah para peneliti.

Microsoft, yang mengungkapkan serangan tersebut kepada SolarWinds, mengatakan bahwa pihaknya merekomendasikan untuk mengaktifkan kompatibilitas ASLR untuk semua binari yang dimuat dalam proses Serv-U.

Selengkapnya: The Hacker News

Cisco Menambal Bug Otentikasi Kritis Dengan Bukti Eksploitasi Publik

by

Cisco telah menambal bug kritis yang hampir maksimal dalam perangkat lunak NFVIS-nya yang memiliki eksploitasi proof-of-concept (PoC) yang tersedia untuk umum.

Pada hari Rabu, Cisco merilis tambalan untuk cacat – kerentanan bypass otentikasi di Enterprise NFV Infrastructure Software (NFVIS) yang dilacak sebagai CVE-2021-34746.

Cisco Enterprise NFVIS adalah perangkat lunak infrastruktur berbasis Linux yang membantu penyedia layanan dan pelanggan lain untuk menerapkan fungsi jaringan virtual, seperti router virtual dan firewall, serta akselerasi WAN, pada perangkat Cisco yang didukung. Ini juga menyediakan penyediaan otomatis dan manajemen terpusat.

Kerentanan dengan skor dasar CVSS 9,8 ini, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi dan masuk ke perangkat yang rentan sebagai admin.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menyuntikkan parameter ke dalam permintaan otentikasi,” jelas Cisco dalam penasihat keamanannya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melewati otentikasi dan masuk sebagai administrator ke perangkat yang terpengaruh.”

Kerentanan ini disebabkan oleh validasi yang tidak lengkap dari input yang diberikan pengguna yang diteruskan ke skrip autentikasi selama proses masuk. Cacat ditemukan di Cisco Enterprise NFVIS Rilis 4.5.1 jika metode otentikasi eksternal TACACS – fitur otentikasi, otorisasi dan akuntansi (AAA) dari perangkat lunak – dikonfigurasi.

Tidak ada solusi untuk memitigasi kerentanan ini. Patch untuk mengatasi bug tersedia di Enterprise NFVIS rilis 4.6.1 dan yang lebih baru.

Cisco mengatakan bahwa mereka mengetahui kode eksploitasi PoC yang tersedia untuk umum tetapi belum melihat eksploitasi berbahaya yang berhasil pada saat ini.

Eksploitasi itu ditemukan oleh peneliti keamanan Orange Group Cyrille Chatras, yang Cisco berterima kasih atas nasihatnya.

Selengkapnya: The Threat Post