Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kerentanan Cisco ASA dieksploitasi secara aktif setelah eksploitasi dirilis

by

Peretas memindai dan secara aktif mengeksploitasi kerentanan di perangkat Cisco ASA setelah eksploitasi PoC dipublikasikan di Twitter.

Pada hari Kamis, para peneliti dari Tim Offensive Positive Technologies menerbitkan eksploitasi PoC untuk kerentanan Cisco ASA CVE-2020-3580 di Twitter.

Kerentanan Cisco ASA ini adalah kerentanan cross-site scripting (XSS) yang dilacak sebagai CVE-2020-3580.

Cisco pertama kali mengungkapkan kerentanan dan mengeluarkan perbaikan pada Oktober 2020. Namun, patch awal untuk CVE-2020-3580 tidak lengkap, dan perbaikan lebih lanjut dirilis pada April 2021.

Kerentanan ini dapat memungkinkan aktor ancaman yang tidak diautentikasi untuk mengirim email phishing yang ditargetkan atau tautan berbahaya ke pengguna perangkat Cisco ASA untuk menjalankan perintah JavaScript di browser pengguna.

“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode skrip dalam konteks antarmuka atau memungkinkan penyerang mengakses informasi sensitif berbasis browser,” kata penasihat Cisco.

Karena pelaku ancaman sekarang secara aktif mengeksploitasi kerentanan tersebut, sangat penting bagi administrator untuk segera menambal perangkat Cisco ASA yang rentan sehingga pelaku ancaman tidak dapat mengeksploitasinya.

Selengkapnya: Bleeping Computer

50.000 bencana keamanan menunggu untuk terjadi: Masalah pasokan air Amerika

by

Pada 15 Januari, seorang peretas mencoba meracuni pabrik pengolahan air yang melayani sebagian Wilayah Teluk San Francisco. Tampaknya tidak sulit.

Peretas memiliki nama pengguna dan kata sandi untuk akun TeamViewer mantan karyawan, menurut laporan pribadi yang disusun oleh Pusat Intelijen Regional California Utara pada bulan Februari dan dilihat oleh NBC News.

Setelah login, peretas yang nama dan motifnya tidak diketahui dan yang belum diidentifikasi oleh penegak hukum, menghapus program yang digunakan pabrik air untuk mengolah air minum. Peretasan tidak diketahui sampai hari berikutnya, dan fasilitas tersebut mengubah kata sandinya dan menginstal ulang program.

Insiden itu, yang belum pernah dilaporkan sebelumnya, adalah salah satu dari peningkatan jumlah serangan siber terhadap infrastruktur air AS yang baru-baru ini terungkap. Serangan Bay Area diikuti oleh serangan serupa di Oldsmar, Florida, beberapa minggu kemudian. Dalam kasus tersebut, yang menjadi berita utama di seluruh dunia, seorang peretas juga mendapatkan akses ke akun TeamViewer dan meningkatkan kadar alkali dalam air minum ke tingkat beracun. Seorang karyawan dengan cepat menangkap mouse komputer yang bergerak sendiri, dan membatalkan perubahan yang dilakukan peretas.

Penjahat telah meretas hampir setiap industri dan memeras perusahaan sesuka hati, termasuk yang menempati bagian penting dari rantai pasokan AS.

Tetapi dari semua infrastruktur penting negara, air mungkin yang paling rentan terhadap peretas: yang paling sulit untuk menjamin semua orang mengikuti langkah-langkah keamanan siber dasar, dan yang paling mudah menyebabkan kerugian besar di dunia nyata bagi banyak orang.

Infrastruktur air AS memang memiliki beberapa keamanan bawaan – terutama kurangnya sentralisasi. Peretasan air yang meluas akan sulit dilakukan, seperti peretasan pada pemilihan AS, karena setiap fasilitas berjalan secara independen, tidak bekerja bersama-sama dengan yang lain.

Selengkapnya: NBC News

Patch Bug Tor Browser untuk Mencegah Pelacakan Aktivitas Online Anda

by

Browser Tor open-source telah diperbarui ke versi 10.0.18 dengan perbaikan untuk beberapa masalah, termasuk bug yang merusak privasi yang dapat digunakan untuk pengguna sidik jari secara unik di berbagai browser berdasarkan aplikasi yang diinstal di komputer.

Selain memperbarui Tor ke 0.4.5.9, versi Android browser telah ditingkatkan ke Firefox ke versi 89.1.1, bersama dengan patch yang diluncurkan oleh Mozilla untuk beberapa kerentanan keamanan yang ditangani di Firefox 89.

Satu di antara masalah yang diperbaiki adalah serangan sidik jari baru yang terungkap bulan lalu. Dijuluki skema flooding, kerentanan memungkinkan situs web jahat untuk memanfaatkan informasi tentang aplikasi yang diinstal pada sistem untuk menetapkan pengidentifikasi unik permanen kepada pengguna bahkan ketika mereka beralih browser, menggunakan mode penyamaran, atau VPN.

Dengan kata lain, kelemahan ini memanfaatkan skema URL khusus di aplikasi sebagai vektor serangan, memungkinkan pelaku jahat untuk melacak pengguna perangkat di antara browser yang berbeda, termasuk Chrome, Firefox, Microsoft Edge, Safari, dan bahkan Tor, secara efektif menghindari lintas-browser perlindungan anonimitas di Windows, Linux, dan macOS.

Masalah ini memiliki implikasi serius terhadap privasi karena dapat dieksploitasi oleh musuh untuk membuka kedok pengguna Tor dengan menghubungkan aktivitas penjelajahan mereka saat mereka beralih ke browser non-anonim, seperti Google Chrome.

Selengkapnya: The Hacker News

Wormable DarkRadiation Ransomware Menargetkan Instance Linux dan Docker

by

Peneliti cybersecurity membunyikan bel alarm atas jenis ransomware baru yang disebut “DarkRadiation” yang diimplementasikan sepenuhnya di Bash dan menargetkan container cloud Linux dan Docker, sambil mengandalkan layanan perpesanan Telegram untuk komunikasi perintah dan kontrol (C2).

“Ransomware ditulis dalam skrip Bash dan menargetkan distribusi Red Hat/CentOS dan Debian Linux,” kata peneliti dari Trend Micro dalam sebuah laporan yang diterbitkan minggu lalu. Malware ini menggunakan algoritma AES OpenSSL dengan mode CBC untuk mengenkripsi file di berbagai direktori. Malware ini juga menggunakan API Telegram untuk mengirim status infeksi ke pelaku ancaman”.

Pada saat penulisan artikel ini, tidak ada informasi yang tersedia tentang metode pengiriman atau bukti bahwa ransomware telah digunakan dalam serangan dunia nyata.

Rantai infeksi DarkRadiation melibatkan proses serangan multi-tahap dan patut diperhatikan karena ketergantungannya yang luas pada skrip Bash untuk mengambil malware dan mengenkripsi file serta Telegram API untuk berkomunikasi dengan server C2 melalui kunci API yang di-hardcode.

Dikatakan sedang dalam tahap pengembangan, ransomware memanfaatkan taktik kebingungan untuk mengacak skrip Bash menggunakan alat sumber terbuka yang disebut “node-bash-obfuscate” untuk membagi kode menjadi beberapa bagian, diikuti dengan menetapkan nama variabel untuk setiap segmen dan mengganti skrip asli dengan referensi variabel.

Selengkapnya: The Hacker News

Laporan Ermetic Hampir 100% Perusahaan Mengalami Pelanggaran Data Cloud dalam 18 Bulan Terakhir

by

Menurut Survei IDC terhadap 200 Pengambil Keputusan Keamanan, 63% Organisasi Mengalami Paparan Data Sensitif.

PALO ALTO, Calif. & TEL AVIV, Israel, 23 Juni 2021–(BUSINESS WIRE)–Ermetic, perusahaan keamanan infrastruktur cloud, hari ini mengumumkan hasil studi penelitian yang dilakukan oleh firma intelijen pasar global IDC yang menemukan bahwa 98 % dari perusahaan yang disurvei telah mengalami setidaknya satu pelanggaran data cloud dalam 18 bulan terakhir dibandingkan dengan 79% tahun lalu. Sementara itu, 67% melaporkan tiga atau lebih pelanggaran tersebut, dan 63% mengatakan mereka memiliki data sensitif yang terekspos.

Menurut 200 CISO dan pembuat keputusan keamanan lainnya yang berpartisipasi dalam survei, hampir 60% menganggap kurangnya visibilitas serta identitas yang tidak memadai dan manajemen akses sebagai ancaman utama bagi infrastruktur cloud mereka.

Mereka menyebutkan risiko akses dan keamanan infrastruktur di antara prioritas keamanan cloud teratas mereka selama 18 bulan ke depan. Sementara itu, 85% organisasi mengatakan mereka berencana untuk meningkatkan pengeluaran keamanan mereka tahun ini, dengan porsi yang signifikan dialokasikan untuk keamanan infrastruktur cloud.

Strategi keamanan infrastruktur cloud yang efektif harus fokus pada identitas, izin, dan hak untuk benar-benar melindungi dari risiko.

Sementara banyak perusahaan menggunakan alat penyedia cloud komersial — dan bahkan gratis — untuk memenuhi kebutuhan keamanan cloud mereka, ini biasanya tidak memiliki visibilitas granular dan kemampuan analitik. Akibatnya, mereka tidak dapat menangkap dan mengungkap hak istimewa yang melekat pada identitas manusia dan mesin, dan tidak memiliki otomatisasi yang diperlukan untuk mengatasi masalah dalam skala besar dan menerapkan hak istimewa yang paling rendah.

Selengkapnya: Yahoo Finance

Repositori open source dapat menjadi vektor untuk kejahatan

by

Seorang peneliti telah menemukan paket palsu yang diunduh sekitar 5.000 kali dari repositori resmi Python berisi kode rahasia yang menginstal perangkat lunak cryptomining pada mesin yang terinfeksi.

Paket berbahaya, yang tersedia di repositori PyPI, dalam banyak kasus menggunakan nama yang meniru paket yang sah dan sering digunakan secara luas yang sudah tersedia di sana, Ax Sharma, seorang peneliti di perusahaan keamanan Sonatype melaporkan. Serangan typosquatting berhasil ketika target secara tidak sengaja salah mengetik nama seperti mengetik “mplatlib” atau “maratlib” alih-alih paket matplotlib yang sah dan populer.

Sharma mengatakan dia menemukan enam paket yang menginstal perangkat lunak cryptomining yang akan menggunakan sumber daya komputer yang terinfeksi untuk menambang cryptocurrency dan menyimpannya di dompet penyerang. Keenamnya diterbitkan oleh seseorang yang menggunakan nama pengguna PyPI nedog123, dalam beberapa kasus pada awal April. Paket dan nomor unduhan adalah:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

Kode berbahaya terkandung dalam file setup.py dari masing-masing paket diatas. Ini menyebabkan komputer yang terinfeksi menggunakan ubqminer atau kriptominer T-Rex untuk menambang koin digital dan menyimpannya di alamat berikut: 0x510aec7f266557b7de753231820571b13eb31b57.

Selengkapnya: Ars Technica

Linux Marketplace rentan terhadap serangan RCE dan rantai pasokan

by

Peneliti menemukan kerentanan keamanan stored cross-site-scripting (XSS) yang tidak ditambal yang memengaruhi Linux marketplace dan dapat memungkinkan serangan rantai pasokan yang dapat menyebar luas.

Bug tersebut ditemukan mempengaruhi pasar berbasis Pling oleh para peneliti di Positive Security, termasuk AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com dan XFCE-Look.

Aplikasi PlingStore dipengaruhi oleh kerentanan eksekusi kode jarak jauh (RCE) yang belum ditambal, yang menurut para peneliti dapat dipicu dari situs web mana pun saat aplikasi sedang berjalan – memungkinkan serangan drive-by.

PlingStore adalah penginstal dan aplikasi manajemen konten yang bertindak sebagai etalase digital terkonsolidasi untuk berbagai situs yang menawarkan perangkat lunak dan plugin Linux.

Tim Pling tidak dapat dihubungi, menurut Fabian Bräunlein dengan Positive Security, menulis dalam sebuah posting blog pada hari Selasa – “itulah sebabnya kami memutuskan untuk mempublikasikan kerentanan yang belum ditambal ini untuk memperingatkan pengguna,” katanya.

Bug Stored XSS pertama kali ditemukan mempengaruhi KDE Discover. Stored XSS, juga dikenal sebagai XSS persisten, terjadi ketika skrip berbahaya disuntikkan langsung ke aplikasi web yang rentan. Tidak seperti reflected XSS, serangan stored XSS hanya mengharuskan korban mengunjungi halaman web yang disusupi.

Pada dasarnya, salah satu aset yang dapat diunduh mungkin telah disusupi, jadi pengguna harus diperingatkan bahwa setiap daftar di salah satu pasar yang terpengaruh dapat membajak akun pengguna di platform melalui XSS, kata Bräunlein.

Selengkapnya: Threat Post

Microsoft Memperingatkan Bahwa Peretas Menggunakan Call Center untuk Menipu Pengguna agar Mengunduh Ransomware

by

Microsoft memperingatkan bahwa kelompok kejahatan siber bernama BazarCall menggunakan pusat panggilan untuk mengelabui pengguna agar menginstal malware yang kuat, ZDNet melaporkan pada hari Rabu.

Malware yang dimaksud, yang dikenal sebagai BazarLoader, telah digunakan untuk mendistribusikan ransomware, yang mengenkripsi komputer atau sistem file jaringan yang ditargetkan dan biasanya mengirimkan permintaan tebusan yang harus dibayar dalam mata uang kripto untuk menyelamatkannya.

Menurut analis intelijen ancaman Palo Alto Networks Brad Duncan, BazarLoader “menyediakan akses pintu belakang ke host Windows yang terinfeksi” dan infeksi biasanya “mengikuti pola aktivitas yang berbeda.” Sejak Februari 2021, tulis Duncan, peneliti keamanan telah memperhatikan pola aktivitas call center yang tidak biasa dalam infeksi BazarLoader.

Duncan menulis bahwa langkah pertama dalam rantai itu adalah email phishing yang menginformasikan target bahwa langganan percobaan untuk beberapa layanan telah berakhir dan akan segera ditagih, mencantumkan nomor telepon untuk dukungan pelanggan.

Saat dihubungi, operator pusat panggilan mengarahkan target untuk mengunduh spreadsheet Excel yang terinfeksi, mengaktifkan makro di dalamnya, dan kemudian memberi tahu mereka bahwa mereka telah berhasil berhenti berlangganan dari layanan. Tanpa sepengetahuan target, BazarLoader sekarang mengendalikan mesin mereka dan dapat mengunduh malware apa pun yang diinginkan orang yang berada di balik peretasan tersebut.

Selengkapnya: Gizmodo