Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas dapat melewati produk keamanan Cisco dalam serangan pencurian data

by

Cisco mengatakan bahwa penyerang yang tidak diautentikasi dapat melewati teknologi penyaringan inspeksi TLS di beberapa produk untuk mengekstrak data dari server yang sebelumnya dikompromikan di dalam jaringan pelanggan.

Dalam serangan tersebut, pelaku ancaman dapat mengeksploitasi kerentanan dalam pemfilteran permintaan Server Name Identification (SNI) yang memengaruhi produk 3000 Series Industrial Security Appliances (ISA), Firepower Threat Defense (FTD), dan Web Security Appliance (WSA).

Sejauh ini, Cisco Product Security Incident Response Team (PSIRT) tidak mengetahui adanya penyerang atau malware yang mengeksploitasi kelemahan keamanan ini.

SNIcat (Server Name Indication Concatenator) adalah metode eksfiltrasi tersembunyi yang ditemukan oleh peneliti keamanan mnemonic Labs yang melewati solusi perimeter keamanan dan perangkat inspeksi TLS (mis., web proxies, next-gen firewalls (NGFW) melalui TLS Client Hello packets.

“Dengan menggunakan metode eksfiltrasi SNIcat, kami menemukan bahwa kami dapat melewati solusi keamanan yang melakukan pemeriksaan TLS, bahkan ketika domain Command & Control (C2) yang kami gunakan diblokir oleh reputasi umum dan fitur pencegahan ancaman yang ada di dalam solusi keamanan itu sendiri,” kata para peneliti.

“Singkatnya, kami menemukan bahwa solusi yang dirancang untuk melindungi pengguna, memperkenalkan mereka pada kerentanan baru.”

Selain Cisco, mnemonic Labs telah berhasil menguji SNIcat terhadap produk dari F5 Networks (F5 BIG-IP yang menjalankan TMOS 14.1.2, dengan SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW yang menjalankan PAN-OS 9.1.1), dan Fortinet (Fortigate NGFW menjalankan FortiOS 6.2.3).

Para peneliti juga mengembangkan alat bukti konsep yang membantu mengekstrak data dari server yang sebelumnya diretas melalui saluran rahasia SNI, menggunakan agen pada host yang disusupi dan server perintah-dan-kontrol yang mengumpulkan data yang dieksfiltrasi.

Selengkapnya: Bleeping Computer

Patch Windows tidak resmi baru memperbaiki lebih banyak vektor serangan PetitPotam

by

Patch tidak resmi kedua untuk serangan relai Windows PetitPotam NTLM telah dirilis untuk memperbaiki masalah lebih lanjut yang tidak ditangani oleh pembaruan keamanan resmi Microsoft.

Serangan relai NTLM adalah ketika aktor ancaman dapat memaksa server atau pengontrol domain untuk mengautentikasi terhadap server relai NTLM di bawah kendali aktor ancaman.

Relai NTLM ini kemudian akan meneruskan permintaan ke Layanan Active Directory Certificate korban yang ditargetkan melalui HTTP untuk menerima Kerberos ticket-granting ticket (TGT), yang memungkinkan penyerang untuk mengasumsikan identitas pengontrol domain dan mengambil alih domain Windows.

Karena sifat kritis dari serangan ini, Microsoft merilis pembaruan keamanan sebagai bagian dari Patch Tuesday Agustus 2021 yang berusaha untuk memperbaiki kerentanan PetitPotam, dilacak sebagai CVE-2021-36942.

Sayangnya, pembaruan Microsoft tidak lengkap, dan masih mungkin untuk menyalahgunakan PetitPotam.

Untuk menyediakan tambalan yang lebih lengkap, layanan micropatch 0patch telah merilis tambalan tidak resmi yang diperbarui yang dapat digunakan untuk memblokir semua serangan relai PetitPotam NTLM yang diketahui pada versi Windows berikut:

  • Windows Server 2019 (updated with July 2021 Updates)
  • Windows Server 2016 (updated with July 2021 Updates)
  • Windows Server 2012 R2 (updated with July 2021 Updates)
  • Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)

Dengan micropatch ini, fungsi diblokir di pipa bernama LSARPC dan EFSRPC dan tidak dapat lagi dieksploitasi sebagai bagian dari serangan relai NTLM.

Bagi mereka yang ingin menunggu kemungkinan patch resmi dari Microsoft, Anda juga dapat bertahan melawan serangan PetitPotam menggunakan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API.

Selengkapnya: Bleeping Computer

Berhenti menggunakan Zoom, DPA Hamburg memperingatkan pemerintah negara bagian

by

Pemerintah negara bagian Hamburg telah secara resmi diperingatkan agar tidak menggunakan Zoom karena masalah perlindungan data.

Badan perlindungan data (DPA) negara bagian Jerman mengambil langkah mengeluarkan peringatan publik kemarin, menulis dalam siaran pers bahwa penggunaan alat konferensi video populer oleh Kanselir Senat melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa sejak data pengguna ditransfer ke AS untuk diproses.

Kekhawatiran DPA mengikuti keputusan penting (Schrems II) oleh pengadilan tinggi Eropa musim panas lalu yang membatalkan pengaturan transfer data utama antara UE dan AS (Perisai Privasi), menemukan undang-undang pengawasan AS tidak sesuai dengan hak privasi UE.

Dampak dari Schrems II lambat terwujud — di luar selimut ketidakpastian hukum. Namun, sejumlah DPA Eropa sekarang sedang menyelidiki penggunaan layanan digital yang berbasis di AS karena masalah transfer data, dalam beberapa kasus memperingatkan publik terhadap penggunaan alat utama AS seperti Facebook dan Zoom karena data pengguna tidak dapat dilindungi secara memadai saat diambil alih.

Beberapa badan di Jerman termasuk yang paling proaktif dalam hal ini. Tetapi pengawas perlindungan data UE juga sedang menyelidiki penggunaan layanan cloud dari raksasa AS Amazon dan Microsoft atas masalah transfer data yang sama.

Dalam kasus Hamburg, DPA mengatakan pihaknya mengambil langkah dengan mengeluarkan peringatan publik kepada Kanselir Senat setelah badan tersebut tidak memberikan tanggapan yang memadai atas kekhawatiran yang diangkat sebelumnya.

Selengkapnya: Tech Crunch

GitHub mendesak pengguna untuk mengaktifkan 2FA setelah menerapkan passwordless

by

GitHub mendesak basis penggunanya untuk mengaktifkan otentikasi dua faktor (2FA) setelah menghentikan otentikasi berbasis kata sandi untuk operasi Git.

“Jika Anda belum melakukannya, luangkan waktu ini untuk mengaktifkan 2FA untuk akun GitHub Anda,” kata Chief Security Officer perusahaan Mike Hanley.

“Manfaat otentikasi multifaktor didokumentasikan secara luas dan melindungi dari berbagai serangan, seperti phishing.”

Hanley merekomendasikan untuk menggunakan salah satu dari beberapa opsi 2FA yang tersedia di GitHub, termasuk kunci keamanan fisik, kunci keamanan virtual yang ada di dalam perangkat seperti ponsel dan laptop, atau aplikasi Time-based One-Time Password (TOTP).

Sementara 2FA berbasis SMS juga tersedia, GitHub mendesak pengguna untuk memilih kunci keamanan atau TOTP sebisa mungkin karena SMS kurang aman mengingat pelaku ancaman dapat mem-bypass atau mencuri token autentikasi SMS 2FA.

GitHub juga menyediakan panduan video langkah demi langkah tentang cara mengaktifkan kunci keamanan untuk kunci SSH dan verifikasi komit Git.

Menegakkan otentikasi tanpa kata sandi melalui operasi Git penting karena meningkatkan ketahanan akun GitHub terhadap upaya pengambilalihan dengan mencegah upaya penyerang untuk menggunakan kredensial yang dicuri atau kata sandi yang digunakan kembali untuk membajak akun.

Selengkapnya: Bleeping Computer

T-Mobile mengatakan peretas mencuri catatan dokumen milik 48,6 juta orang

by

T-Mobile telah mengkonfirmasi bahwa penyerang yang baru-baru ini mengakses servernya mencuri file yang berisi informasi pribadi dari puluhan juta individu.

Pelanggaran besar-besaran berdampak pada sekitar 7,8 juta pelanggan pascabayar T-Mobile, 850.000 pengguna prabayar T-Mobile, dan sekitar 40 juta mantan atau calon pelanggan.

Jika dijumlah, penyerang mencuri catatan milik 48,6 juta orang, termasuk pelanggan T-Mobile saat ini, mantan, atau calon pelanggan.

Untungnya, menurut operator seluler AS tersebut, file yang dicuri selama insiden itu tidak berisi nomor telepon, nomor rekening, PIN, kata sandi, atau informasi keuangan milik pelanggan T-Mobile saat ini atau calon pelanggan.

T-Mobile telah mengatur ulang semua PIN untuk akun ini untuk melindungi mereka dari upaya pengambilalihan dan sedang dalam proses memberi tahu semua pengguna yang terkena dampak.

Perusahaan sekarang mengambil langkah-langkah untuk melindungi pelanggan yang berpotensi berisiko karena pelanggaran besar-besaran ini dengan:

  • Segera menawarkan layanan perlindungan identitas gratis selama 2 tahun dengan Layanan ID Theft Protection dari McAfee.
  • Merekomendasikan semua pelanggan pascabayar T-Mobile secara proaktif mengubah PIN mereka dengan online ke akun T-Mobile mereka atau menghubungi tim Layanan Pelanggan mereka dengan menghubungi 611 di ponsel pengguna. Tindakan pencegahan ini terlepas dari kenyataan bahwa mereka tidak mengetahui bahwa PIN akun pascabayar telah disusupi.
  • Menawarkan langkah ekstra untuk melindungi akun seluler pelanggan dengan kemampuan Perlindungan Pengambilalihan Akun kami untuk pelanggan pascabayar, yang mempersulit akun pelanggan untuk dipindahkan dan dicuri secara curang.
  • Menerbitkan halaman web unik pada hari Rabu untuk informasi dan solusi satu atap guna membantu pelanggan mengambil langkah untuk lebih melindungi diri mereka sendiri.

Selengkapnya: Bleeping Computer

Raksasa pendidikan Pearson didenda $1 juta karena meremehkan pelanggaran data

by

The US Securities and Exchange Commission (SEC) hari ini mengumumkan bahwa Pearson, perusahaan penerbitan dan layanan pendidikan multinasional Inggris, telah menyelesaikan tuduhan kesalahan penanganan proses pengungkapan untuk pelanggaran data 2018 yang ditemukan pada Maret 2019.

Pearson setuju untuk membayar denda uang perdata $ 1 juta untuk menyelesaikan tuduhan “tanpa mengakui atau menyangkal temuan” bahwa ia mencoba untuk menyembunyikan dan mengecilkan pelanggaran data 2018 yang menyebabkan pencurian “data siswa dan kredensial login administrator dari 13.000 sekolah, akun pelanggan distrik dan universitas” di Amerika Serikat.

Selain mengekstrak data termasuk nama siswa, tanggal lahir, dan alamat email setelah mengeksploitasi kelemahan kritis yang mempengaruhi perangkat lunak berbasis web AIMSweb1.0 yang digunakan oleh Pearson untuk melacak kinerja akademik siswa, peretas China juga mencuri jutaan baris data siswa dan kredensial yang mudah dipecahkan yang “diacak” menggunakan algoritme yang sudah ketinggalan zaman.

Perusahaan berbagi dengan SEC pada Juli 2019 bahwa mereka dapat menghadapi risiko insiden privasi data. Namun, perusahaan tidak mengungkapkan bahwa mereka mengalami pelanggaran data satu tahun sebelumnya meskipun pengungkapan faktor risiko yang dikirim ke SEC diajukan setelah memberi tahu pelanggan yang terkena dampak insiden tersebut.

Beberapa hari kemudian, Pearson juga mengeluarkan pernyataan media yang disiapkan sebelumnya hanya setelah outlet media meminta perincian, yang mencoba mengecilkan tingkat pelanggaran data yang sebenarnya.

Selengkapnya: Bleeping Computer

Bug XSS di Plugin WordPress SEOPress Memungkinkan Pengambilalihan Situs

by

Kerentanan cross-site scripting (XSS) yang tersimpan di plugin SEOPress WordPress dapat memungkinkan penyerang untuk menyuntikkan skrip ke situs web, kata para peneliti.

SEOPress adalah alat pengoptimalan mesin pencari (SEO) yang memungkinkan pemilik situs mengelola metadata SEO, kartu media sosial, pengaturan Iklan Google, dan banyak lagi. Ini diinstal di lebih dari 100.000 situs.

Bug ini (CVE-2021-34641) memungkinkan setiap pengguna yang diautentikasi, seperti pelanggan, untuk memanggil rute REST dengan nonce yang valid, dan untuk memperbarui judul dan deskripsi SEO untuk setiap posting.

“Permissions_callback untuk titik akhir hanya diverifikasi jika pengguna tidak memiliki REST-API yang valid dalam permintaan,” menurut postingan tersebut. “Nonce REST-API yang valid dapat dibuat oleh setiap pengguna yang diautentikasi menggunakan rest-nonce WordPress core AJAX action.”

Bergantung pada apa yang judul dan deskripsi yang diperbarui oleh penyerang, itu akan memungkinkan sejumlah tindakan jahat, hingga dan termasuk pengambilalihan situs secara penuh, kata para peneliti.

Untuk melindungi situs web mereka, pengguna harus meningkatkan ke versi 5.0.4 dari SEOPress.

Kerentanan dalam plugin WordPress tetap cukup umum. Misalnya, pada bulan Juli enam kelemahan kritis diungkapkan yang memengaruhi plugin WordPress Front File Manager versi 17.1 dan 18.2, aktif di lebih dari 2.000 situs web.

Pada bulan Februari, bug keamanan XSS yang belum ditambal dan disimpan ditemukan berpotensi mempengaruhi 50.000 pengguna plugin Contact Form 7 Style.

Selengkapnya: The Threat Post

Daftar pantauan teroris rahasia dengan 2 juta catatan terungkap secara online

by

Daftar pantauan teroris rahasia dengan 1,9 juta catatan, termasuk catatan rahasia “larang terbang” terungkap di internet.

Daftar dibiarkan dapat diakses di cluster Elasticsearch yang tidak memiliki kata sandi di dalamnya.

Pada bulan Juli tahun ini, peneliti Security Discovery Bob Diachenko menemukan sejumlah besar catatan JSON di klaster Elasticsearch terbuka yang menarik minatnya.

Kumpulan catatan 1,9 juta berisi informasi sensitif tentang orang-orang, termasuk nama mereka, kewarganegaraan negara, jenis kelamin, tanggal lahir, detail paspor, dan status larangan terbang.

Server yang terpapar diindeks oleh mesin pencari Censys dan ZoomEye, menunjukkan Diachenko mungkin bukan satu-satunya orang yang menemukan daftar tersebut.

Peneliti mengatakan kepada BleepingComputer bahwa mengingat sifat bidang yang terbuka (misalnya detail paspor dan “no_fly_indicator”), tampaknya itu adalah daftar larangan terbang atau serupa dengan daftar pengawasan teroris.

Basis data semacam itu dianggap sangat sensitif, mengingat peran penting yang dimainkannya dalam membantu tugas-tugas keamanan nasional dan penegakan hukum.

Daftar ini direferensikan oleh maskapai penerbangan dan beberapa lembaga seperti Departemen Luar Negeri, Departemen Pertahanan, Otoritas Keamanan Transportasi (TSA), dan Perlindungan Bea Cukai dan Perbatasan (CBP) untuk memeriksa apakah seorang penumpang diizinkan terbang, tidak dapat diterima ke AS atau menilai risiko mereka untuk berbagai kegiatan lainnya.

Selengkapnya: Bleeping Computer