Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

by

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

  • CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

  • CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

  • CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Singapura melihat lonjakan serangan ransomware dan botnet

by

Singapore Computer Emergency Response Team (SingCERT) tahun lalu menangani 9.080 kasus, naik dari 8.491 pada tahun sebelumnya dan 4.977 pada 2018, menurut laporan terbaru Singapore Cyber Landscape yang dirilis Kamis oleh Cyber Security Agency of Singapore (CSA). Badan pemerintah mencatat bahwa tahun lalu terjadi peningkatan yang nyata dalam ransomware, penipuan online, dan aktivitas phishing COVID-19.

Secara khusus, jumlah serangan ransomware yang dilaporkan mengalami lonjakan signifikan sebesar 154% pada tahun 2020, dengan 89 insiden, dibandingkan dengan 35 pada tahun 2019. Ini sebagian besar mempengaruhi usaha kecil dan menengah (UKM) di berbagai sektor termasuk manufaktur, ritel, dan perawatan kesehatan.

CSA mengaitkan peningkatan kasus ransomware di Singapura dengan wabah ransomware global, di mana serangan semacam itu berubah dari tidak pandang bulu dan bersifat oportunistik menjadi “Perburuan Besar” yang lebih bertarget. Penjahat dunia maya juga beralih ke taktik ransomware-as-a-service dan “kebocoran dan rasa malu”, kata agensi tersebut.

Disebutkan bahwa jumlah serangan server command-and-control (C&C) berbahaya juga tumbuh 94% menjadi 1.026 insiden yang dilaporkan tahun lalu. Ini sebagian didorong oleh peningkatan server semacam itu yang mendistribusikan malware Emotet dan Cobalt Strike, yang merupakan sepertiga dari malware di server C&C.

Sekitar 6.600 botnet drone dengan alamat IP Singapura diidentifikasi setiap hari tahun lalu, naik dari 2.300 pada 2019. CSA mengungkapkan bahwa varian malware Mirai dan Gamarue lazim di antara botnet yang terinfeksi pada 2020, dengan malware sebelumnya menargetkan terutama perangkat Internet of Things (IoT).

Selengkapnya: ZDNet

Bug Sage X3 RCE Kritis Memungkinkan Pengambilalihan Sistem

by

Empat kerentanan menimpa platform perencanaan sumber daya perusahaan (ERP) Sage X3 yang populer, para peneliti menemukan – termasuk satu bug kritis yang memberi peringkat 10 dari 10 pada skala kerentanan-keparahan CVSS. Dua bug dapat digabungkan untuk memungkinkan pengambilalihan sistem secara keseluruhan, dengan potensi konsekuensi rantai pasokan, kata mereka.

Sage X3 ditargetkan untuk perusahaan menengah – khususnya produsen dan distributor – yang mencari fungsionalitas ERP all-in-one. Sistem ini mengelola penjualan, keuangan, inventaris, pembelian, manajemen hubungan pelanggan dan manufaktur dalam satu solusi perangkat lunak ERP terintegrasi.

Peneliti Rapid7 Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal dan William Vu, yang menemukan masalah (CVE-2020-7387 hingga -7390), mengatakan bahwa kelemahan paling parah ada pada fungsi administrator jarak jauh platform.

Dengan demikian, mereka mengatakan bahwa mungkin ada konsekuensi rantai pasokan untuk serangan yang berhasil (seperti Kaseya) jika platform digunakan oleh penyedia layanan terkelola untuk memberikan fungsionalitas ke bisnis lain.

Untuk mengeksploitasi masalah dan melewati proses otentikasi, aktor jahat dapat membuat permintaan khusus ke layanan yang terbuka. Penyerang siber harus menghindari dua komponen yang terlibat dalam pengiriman perintah untuk dieksekusi, kata para peneliti.

Pertama, penyerang harus mengetahui direktori instalasi layanan AdxAdmin, sehingga mereka dapat menentukan lokasi path lengkap untuk menulis file cmd yang akan dieksekusi.

Kedua, penyerang harus mengacaukan urutan otorisasi yang menyertakan kata sandi terenkripsi. Ini dapat dilakukan dengan menggunakan serangkaian paket yang menipu protokol otentikasi dan perintah AdxDSrv.exe, tetapi dengan satu modifikasi kritis.

Masalah ini memengaruhi versi platform V9, V11 dan V12.

Selengkapnya: Threat Post

Cobalt Strike Payload Menyamar Sebagai Pembaruan Keamanan Kaseya VSA Palsu

by

Pelaku ancaman mencoba memanfaatkan krisis serangan ransomware Kaseya yang sedang berlangsung dengan menargetkan calon korban dalam kampanye spam yang mendorong muatan Cobalt Strike yang disamarkan sebagai pembaruan keamanan Kaseya VSA.

Cobalt Strike adalah alat pengujian penetrasi yang sah dan perangkat lunak emulasi ancaman yang juga digunakan oleh penyerang untuk tugas pasca-eksploitasi dan untuk menyebarkan suar yang memungkinkan mereka mendapatkan akses jarak jauh ke sistem yang disusupi.

Tujuan akhir dari serangan tersebut adalah untuk mengumpulkan dan mengekstrak data sensitif atau mengirimkan muatan malware tahap kedua.

Kampanye malspam yang ditemukan oleh peneliti Malwarebytes Threat Intelligence menggunakan dua taktik berbeda untuk menyebarkan muatan Cobalt Strike.

Email berbahaya yang dikirim sebagai bagian dari kampanye malspam ini dilengkapi dengan lampiran berbahaya dan tautan tertanam yang dirancang agar terlihat seperti patch Microsoft untuk zero-day Kaseya VSA yang dieksploitasi dalam serangan ransomware REvil.

“Kampanye malspam memanfaatkan serangan ransomware Kaseya VSA untuk menjatuhkan CobaltStrike,” kata tim Malwarebytes Threat Intelligence.

“Ini berisi lampiran bernama ‘SecurityUpdates.exe’ serta tautan yang berpura-pura sebagai pembaruan keamanan dari Microsoft untuk menambal kerentanan Kaseya!”

Penyerang mendapatkan akses jarak jauh yang persisten ke sistem target setelah mereka menjalankan lampiran berbahaya atau mengunduh dan meluncurkan pembaruan Microsoft palsu di perangkat mereka.

Selengkapnya: Bleeping Computer

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

by

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Pandemi Berikutnya Akan Menjadi Digital, dan Sudah Dimulai. Yang Perlu Anda Ketahui Tentang Meningkatnya Ancaman Ransomware

by

Selama liburan akhir pekan, REvil, grup peretas yang terkait dengan Rusia, tampaknya menargetkan setidaknya 20 penyedia layanan terkelola, yang menyediakan layanan keamanan jaringan TI dan backend untuk bisnis kecil dan menengah.

Itu adalah kelompok yang sama yang dikreditkan dengan serangan terhadap salah satu perusahaan pengepakan daging terbesar di A.S. Berita itu muncul setelah kelompok lain menutup pipa Kolonial awal tahun ini, menyebabkan gangguan di seluruh Pantai Timur.

Serangan Ransomware melibatkan peretas yang memasang perangkat lunak di jaringan yang mencegah pemiliknya mengakses perangkat atau data mereka. Pada dasarnya, mereka menculik bisnis Anda dan menuntut pembayaran uang tebusan sebagai imbalan untuk melepaskan jaringan Anda.

Meskipun hampir tidak mungkin untuk menghilangkan semua risiko ransomware, ada beberapa hal yang dapat Anda lakukan untuk membuat jaringan Anda menjadi target yang kurang diinginkan. Biasanya, penyerang mencari target bernilai tinggi dengan kerentanan yang mudah dieksploitasi.

Offline Backups

Salah satu alat paling sederhana dan paling efektif melawan ransomware adalah mencadangkan sistem Anda secara lokal secara teratur. Cadangan tersebut kemudian harus disimpan secara offline sehingga tidak dapat menjadi sasaran ransomware.

Batasi Izin

Umumnya, pakar keamanan merekomendasikan bahwa pengguna tertentu hanya memiliki tingkat hak minimum yang diperlukan untuk pekerjaan mereka. Dalam banyak kasus, perangkat lunak berbahaya tidak dapat mengambil alih komputer jika akun pengguna tidak memiliki kemampuan untuk membuat perubahan di tingkat root.

Selalu Perbarui Perangkat Lunak

Meskipun kita telah melihat contoh di mana kode berbahaya bersembunyi di perangkat lunak yang sah, secara umum, Anda lebih aman jika terus memperbarui sistem Anda secara teratur. Itu berarti baik dari segi patch keamanan untuk sistem operasi Anda, serta perangkat lunak antivirus yang dapat mengisolasi dan menghapus malware.

Jangan Klik Tautan Tidak Dikenal

Terakhir, jangan pernah mengklik tautan di email atau pesan teks yang bukan dari sumber tepercaya. Peretas menjadi jauh lebih canggih, artinya Anda harus semakin berhati-hati setiap kali membuka email, tetapi sebagai aturan umum, jika Anda tidak mengharapkan dikirimi sesuatu untuk diunduh dan dipasang, jangan klik tautannya.

Selengkapnya: INC

Penyerang Mempercepat Serangan Ransomware di Jaringan ICS

by

Serangan Ransomware berkembang pesat untuk menargetkan titik akhir Sistem Kontrol Industri (ICS) di seluruh dunia dengan peningkatan aktivitas yang signifikan selama setahun terakhir. Sebuah laporan oleh peneliti keamanan siber di Trend Micro menyoroti tren dominan ini.

Jaringan ICS yang mendukung utilitas penting, seperti air dan listrik, harus beroperasi penuh untuk menyediakan layanan. Semakin lama jaringan tersebut tidak aktif, semakin banyak gangguan yang ditimbulkannya.

Menurut laporan tersebut, serangan ransomware baru-baru ini hanya bermotivasi finansial karena menyerang jaringan ICS di pabrik operasional dan lingkungan manufaktur memiliki peluang tinggi untuk dibayar dengan cepat. Penjahat dunia maya menggunakan beberapa jenis ransomware yang berbeda yang menargetkan ICS. Namun, empat keluarga ransomware (Ryuk, Nefilm, Revil, dan LockBit) bertanggung jawab atas lebih dari setengah serangan ini.

Menurut laporan tersebut, AS adalah salah satu negara yang paling ditargetkan dengan kasus ransomware terbanyak yang memengaruhi ICS. Negara lain yang terkena dampak termasuk India, Taiwan, dan Spanyol.

Beberapa serangan ransomware telah diamati akhir-akhir ini yang menargetkan industri besar. Gangguan seperti itu pada sistem OT dan ICS di industri besar telah menyebabkan hasil yang parah dan kehilangan uang dalam jumlah besar.

Serangan ransomware DarkSide baru-baru ini di Colonial Pipeline menunjukkan bagaimana serangan ransomware terhadap target industri dapat memiliki konsekuensi yang sangat berbahaya bagi seluruh negara.

ICS, yang digunakan dalam infrastruktur kritis nasional, manufaktur, dan fasilitas lainnya, telah menjadi sasaran empuk bagi penyerang karena banyak dari sistem ini masih menjalankan versi OS yang lebih lama dan aplikasi yang belum ditambal. Oleh karena itu, lebih banyak yang perlu dilakukan untuk melindungi jaringan di fasilitas industri dari ancaman yang berkembang seperti itu.

Selengkapnya: Cyware

Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

by

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software