Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Agensi Siber mengatakan peretasan SolarWinds dapat dicegah dengan langkah-langkah keamanan sederhana

by

Peretasan SolarWinds, salah satu insiden keamanan siber terbesar dalam sejarah AS, mungkin dapat dicegah atau diminimalkan jika langkah-langkah keamanan dasar telah diterapkan, kata seorang pejabat tinggi pemerintah awal bulan ini.

Dalam surat 3 Juni kepada Senator Ron Wyden (D-Ore.) yang diberikan kepada The Hill pada hari Senin, penjabat Direktur Cybersecurity and Infrastructure Security Agency (CISA) Brandon Wales setuju dengan pertanyaan Wyden mengenai apakah firewall yang ditempatkan di sistem agen korban dapat membantu memblokir virus malware yang digunakan dalam serangan SolarWinds.

“CISA setuju bahwa firewall yang memblokir semua koneksi keluar ke internet akan menetralkan malware,” tulis Wales.

Dia menekankan, bagaimanapun, bahwa sementara agensi “melakukan pengamatan jaringan korban dengan konfigurasi ini yang berhasil memblokir upaya koneksi dan tidak memiliki eksploitasi lanjutan, efektivitas tindakan pencegahan ini tidak berlaku untuk semua jenis intrusi dan mungkin tidak layak mengingat persyaratan operasional untuk beberapa lembaga”.

Wales mengatakan bahwa CISA tidak memiliki angka tentang berapa banyak agen federal yang mengelompokkan dan memisahkan jaringan mereka, pedoman keamanan utama yang telah lama direkomendasikan agen tersebut sebagai cara untuk mencegah peretas bergerak melalui jaringan sensitif.

Dia juga menekankan bahwa CISA membuat “perbaikan mendesak” untuk meningkatkan pemahamannya tentang ancaman dunia maya ke jaringan federal, termasuk menggunakan sebagian dari $650 juta yang termasuk dalam Undang-Undang Rencana Penyelamatan Amerika untuk memindahkan perlindungan keamanan di dalam jaringan agensi alih-alih hanya menjaga perimeter.

Selengkapnya: The Hill

NSA membagikan panduan tentang mengamankan komunikasi suara dan video

by

National Security Agency (NSA) telah membagikan mitigasi dan praktik terbaik yang harus diikuti oleh administrator sistem saat mengamankan sistem pemrosesan panggilan Unified Communications (UC) dan Voice and Video over IP (VVoIP).

UC dan VVoIP adalah sistem pemrosesan panggilan yang digunakan di lingkungan perusahaan untuk berbagai tujuan, mulai dari konferensi video hingga pesan instan dan kolaborasi proyek.

Karena sistem komunikasi ini terintegrasi erat dengan peralatan TI lainnya di dalam jaringan perusahaan, mereka juga secara tidak sengaja meningkatkan permukaan serangan dengan memperkenalkan kerentanan baru dan potensi akses rahasia ke komunikasi organisasi.

Perangkat UC/VVoIP yang tidak diamankan dengan benar terpapar pada risiko keamanan yang sama dan ditargetkan oleh pelaku ancaman melalui spyware, virus, kerentanan perangkat lunak, dan cara berbahaya lainnya jika tidak diamankan dan dikonfigurasi secara memadai.

Admin disarankan untuk mengambil langkah-langkah utama ini untuk meminimalkan risiko jaringan perusahaan organisasi mereka dilanggar dengan mengeksploitasi sistem UC/VVoIP:

  • Segmentasikan jaringan perusahaan menggunakan Virtual Local Area Networks (VLAN) untuk memisahkan lalu lintas suara dan video dari lalu lintas data
  • Gunakan daftar kontrol akses dan aturan perutean untuk membatasi akses ke perangkat di seluruh VLAN
  • Menerapkan perlindungan layer 2 dan Address Resolution Protocol (ARP) dan pertahanan dari spoofing IP
  • Lindungi gateway PSTN dan perimeter Internet dengan mengautentikasi semua koneksi UC/VVoIP
  • Selalu perbarui perangkat lunak untuk mengurangi kerentanan perangkat lunak UC/VVoIP
  • Mengautentikasi dan mengenkripsi sinyal dan lalu lintas media untuk mencegah peniruan identitas dan penyadapan oleh aktor jahat
  • Deploy pengontrol batas sesi (SBC) untuk memantau lalu lintas UC/VVoIP dan mengaudit catatan data panggilan (CDR) menggunakan solusi deteksi penipuan untuk mencegah penipuan
  • Pertahankan cadangan konfigurasi dan instalasi perangkat lunak untuk memastikan ketersediaan
  • Kelola serangan denial of service menggunakan pembatasan kecepatan dan batasi jumlah panggilan masuk untuk mencegah kelebihan server UC/VVoIP
  • Gunakan kartu identitas, biometrik, atau sarana elektronik lainnya untuk mengontrol akses fisik ke area aman dengan jaringan dan infrastruktur UC/VVoIP
  • Verifikasi fitur dan konfigurasi untuk perangkat baru (dan berpotensi jahat) di testbed sebelum menambahkannya ke jaringan

Selengkapnya: Bleeping Computer

Pergeseran Federal ke IPv6 Membawa Pilihan dan Risiko Keamanan Siber Baru

by

Dorongan untuk memindahkan seluruh pemerintah federal ke arsitektur khusus IPv6 akan menjadi pendorong kemampuan keamanan siber seperti zero trust tetapi juga dapat membuka jaringan agensi terhadap ancaman baru, kata pejabat yang memimpin upaya transisi.

Badan-badan federal berada di bawah mandat baru untuk mentransisikan sebagian besar sistem yang terhubung ke internet dari IPv4 ke IPv6 pada akhir tahun fiskal 2025. Pejabat federal yang memimpin upaya ini telah menekankan pentingnya melakukan transisi, tidak hanya untuk memastikan sistem dapat berkomunikasi dengan IPv6 perangkat, tetapi juga untuk meningkatkan upaya modernisasi dan keamanan siber jaringan pemerintah.

Pergeseran ke IPv6 menambahkan lebih banyak alamat secara signifikan ke kumpulan global, serta format penomoran yang berbeda. Sementara IPv4 menunjukkan alamat sebagai empat set satu hingga tiga digit, IPv6 menggunakan delapan set empat digit. Untuk organisasi—termasuk agen federal—format baru memerlukan sistem pengodean ulang yang menjalankan infrastruktur jaringan untuk memahami dan menyerap alamat IPv6.

“Kami beroperasi pada protokol jaringan yang berusia 40 tahun,” kata Carol Bales, analis kebijakan senior di Kantor Manajemen dan Anggaran yang telah mengerjakan transisi IPv6 di pemerintahan selama 16 tahun. “Kami banyak berbicara tentang memodernisasi infrastruktur kami, dan saya pikir transisi ke IPv6 adalah bagian penting dari ini. Ini adalah komponen penting dari inovasi.”

“Dengan menyediakan jalur jaringan ujung ke ujung dan dukungan mikrosegmentasi yang lebih baik, transisi ke IPv6 saja akan menjadi komponen kunci dari ZTA—arsitektur zero trust—yang merupakan salah satu pilar utama dalam tatanan eksekutif,” kata Wakil Kepala Pejabat Informasi Federal Maria Roat.

Branko Bokan, seorang spesialis keamanan siber dengan Badan Keamanan Siber dan Keamanan Infrastruktur, setuju tetapi mencatat transisi itu juga akan membawa masalah keamanan baru.

IPv6 “tidak hanya memperkenalkan dan menambah keamanan jaringan kami dan meningkatkan keamanan jaringan,” katanya, “IPv6 juga membuka dunia baru dengan lanskap ancaman dan layanan ancaman baru yang tidak harus kami tangani”.

Selengkapnya: Nextgov

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

by

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading

Perampokan Lazarus: Bagaimana Korea Utara hampir melakukan peretasan bernilai miliaran dolar

by

Pada tahun 2016, peretas Korea Utara merencanakan serangan senilai $1 miliar di bank nasional Bangladesh dan berhasil mencapai satu inci – hanya secara kebetulan saja, semua transfer kecuali $81 juta dihentikan, lapor Geoff White dan Jean H Lee. Tapi bagaimana salah satu negara termiskin dan paling terisolasi di dunia melatih tim penjahat cyber elit?

Semuanya dimulai dengan printer yang tidak berfungsi. Itu hanya bagian dari kehidupan modern, dan ketika itu terjadi pada staf di Bank Bangladesh, mereka memikirkan hal yang sama yang kebanyakan dari kita lakukan. Itu tidak tampak seperti masalah besar.

Tapi ini bukan sembarang printer, dan bukan sembarang bank.

Bangladesh Bank adalah bank sentral negara itu, yang bertanggung jawab untuk mengawasi cadangan mata uang yang berharga dari sebuah negara di mana jutaan orang hidup dalam kemiskinan.

Dan printer memainkan peran penting. Itu terletak di dalam ruangan yang sangat aman di lantai 10 kantor utama bank di Dhaka, ibukota. Tugasnya adalah mencetak catatan transfer jutaan dolar yang mengalir masuk dan keluar dari bank.

Ketika staf menemukan itu tidak berfungsi, pada pukul 08:45 pada hari Jumat 5 Februari 2016, “kami menganggap itu adalah masalah umum seperti hari-hari lainnya,” manajer tugas Zubair Bin Huda kemudian mengatakan kepada polisi. “Glitches seperti itu pernah terjadi sebelumnya.”

Sebenarnya, ini adalah indikasi pertama bahwa Bank Bangladesh berada dalam banyak masalah. Peretas telah membobol jaringan komputernya, dan pada saat itu juga sedang melakukan serangan cyber paling berani yang pernah dicoba. Tujuan mereka: untuk mencuri satu miliar dolar.

Untuk menghilangkan uang itu, geng di belakang pencurian akan menggunakan rekening bank palsu, badan amal, kasino, dan jaringan kaki tangan yang luas.

Tapi siapa peretas ini dan dari mana asalnya?

Menurut para penyelidik, sidik jari digital hanya mengarah ke satu arah: ke pemerintah Korea Utara.

Selengkapnya: BBC

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

by

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

by

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

Bug yang Belum Ditambal Ditemukan Mengintai di Platform Penyediaan yang Digunakan dengan Cisco UC

by

Manajer Penyedia Akkadian, yang digunakan sebagai alat penyediaan pihak ketiga dalam lingkungan Cisco Unified Communications, memiliki tiga kerentanan keamanan tingkat tinggi yang dapat dirangkai bersama untuk mengaktifkan eksekusi kode jarak jauh (RCE) dengan hak istimewa yang lebih tinggi, kata para peneliti.

Mereka tetap tidak ditambal, menurut para peneliti di Rapid7 yang menemukannya.

Suite UC Cisco memungkinkan komunikasi VoIP dan video di seluruh jejak bisnis. Produk Akkadian adalah alat yang biasanya digunakan di perusahaan besar untuk membantu mengelola proses penyediaan dan konfigurasi semua klien dan instans UC, melalui otomatisasi.

Kerentanan tersebut, semua hadir dalam versi 4.50.18 dari platform Akkadia, adalah sebagai berikut:

  • CVE-2021-31579: Use of hard-coded credentials (ranking 8.2 out of 10 on the CVSS vulnerability-severity scale)
  • CVE-2021-31580 and CVE-2021-31581: Improper neutralization of special elements used in an OS command (using exec and vi commands, respectively; ranking 7.9)
  • CVE-2021-31582: Exposure of sensitive information to an unauthorized actor (ranking 7.9)

Menggabungkan CVE-2021-31579 dengan CVE-2021-31580 atau CVE-2021-31581 akan memungkinkan musuh yang tidak sah mendapatkan akses shell tingkat root ke perangkat yang terpengaruh, menurut Rapid7. Itu membuatnya mudah untuk menginstal cryptominers, keystroke logger, persisten shell, dan semua jenis malware berbasis Linux lainnya.

Selengkapnya: Threat Post