Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

by

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

by

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

Laporan memperkirakan serangan siber besar dapat menghabiskan lebih banyak biaya daripada pemulihan dari bencana alam

by

Biaya serangan siber besar-besaran pada utilitas atau penyedia layanan utama AS yang kritis dapat disamakan dengan biaya bencana alam seperti badai, sebuah laporan yang dirilis Senin menemukan.

Laporan tersebut, yang disusun oleh para ahli dari Foundation for Defense of Democracies (FDD) dan grup asuransi Intangic, menggunakan sistem penilaian risiko yang dikembangkan oleh Intangic untuk memperkirakan dampak dari dua jenis serangan siber yang mengganggu.

Temuan tersebut memperkirakan bahwa gangguan dunia maya tiga hari dari penyedia layanan terkelola yang memberikan layanan TI kepada ratusan pelanggan di berbagai bidang kritis dapat menyebabkan kerugian ekonomi hampir $80 miliar, lebih besar dari biaya Badai Sandy senilai $65 miliar pada tahun 2012.

Kerugian akan lebih tinggi dengan serangan pada utilitas kritis, seperti utilitas listrik regional, dengan Intangic memperkirakan bahwa pelanggaran yang menyebabkan gangguan listrik selama lima hari akan menelan biaya sekitar $ 193,5 miliar, lebih dari biaya Badai Katrina tahun 2005 dan Kebakaran hutan California 2018.

Laporan tersebut dirilis setelah meningkatnya serangan siber terhadap organisasi-organisasi penting.

Serangan ransomware pada bulan Mei di Colonial Pipeline, yang menyediakan 45 persen pasokan bahan bakar Pantai Timur, memaksa perusahaan untuk menutup saluran pipa selama hampir seminggu, yang menyebabkan kekurangan bensin. Serangan ransomware tak lama kemudian di JBS USA, penyedia daging sapi terbesar di negara itu, juga mengganggu rantai pasokan makanan utama.

Selengkapnya: The Hill

Studi keamanan siber: Biaya serangan SolarWinds mempengaruhi perusahaan rata-rata $12 juta

by

Kabar baiknya adalah bahwa tim keamanan meningkatkan pertahanan jaringan, tetapi kabar buruknya adalah sebagian besar perusahaan baru-baru ini mengalami insiden keamanan siber yang memerlukan rapat dewan. Itulah analisis dari Laporan Dampak Keamanan Siber 2021 dari IronNet.

Laporan ini didasarkan pada wawancara dengan 473 pengambil keputusan TI keamanan dari AS, Inggris, dan Singapura yang bekerja di sektor teknologi, keuangan, layanan publik, dan utilitas.

Survei tersebut menemukan bahwa 90% responden mengatakan postur keamanan mereka telah meningkat selama dua tahun terakhir, tetapi 86% mengalami serangan yang cukup parah sehingga memerlukan pertemuan eksekutif tingkat C atau dewan direksi perusahaan.

Studi tersebut menemukan bahwa 70% perusahaan yang disurvei merasakan dampak serangan SolarWinds:

  • Dampak signifikan: 31%
  • Sedikit dampak: 39%
  • Dampak kecil: 15%
  • Tidak ada dampak: 15%

Survei tersebut menanyakan tentang dampak finansial dari serangan tersebut dan menemukan bahwa dampak rata-ratanya adalah 11% dari pendapatan tahunan atau sekitar $12 juta per perusahaan. Perusahaan di AS melaporkan rata-rata dampak 14% pada pendapatan tahunan dengan rata-rata di Inggris dan Singapura masing-masing sebesar 8,6% dan 9,1%.

Selengkapnya: Tech Republic

Peretas mengeksploitasi bug zero day untuk menghapus perangkat My Book Live secara massal

by

Penghapusan massal perangkat penyimpanan Western Digital My Book Live minggu lalu melibatkan eksploitasi tidak hanya satu kerentanan tetapi juga bug keamanan kritis kedua yang memungkinkan peretas melakukan reset pabrik dari jarak jauh tanpa kata sandi, sebuah penyelidikan menunjukkan.

Kerentanannya luar biasa karena membuatnya sepele untuk menghapus data pengguna yang kemungkinan berukuran petabyte. Lebih penting lagi adalah bahwa, menurut kode yang rentan itu sendiri, pengembang Western Digital secara aktif menghapus kode yang memerlukan kata sandi pengguna yang valid sebelum mengizinkan pengaturan ulang pabrik untuk melanjutkan.

Kerentanan yang tidak terdokumentasi berada dalam file bernama system_factory_restore. Ini berisi skrip PHP yang melakukan reset, memungkinkan pengguna untuk mengembalikan semua konfigurasi default dan menghapus semua data yang tersimpan di perangkat.

“Vendor yang mengomentari otentikasi di titik akhir pemulihan sistem benar-benar tidak membuat segalanya terlihat baik bagi mereka,” HD Moore, pakar keamanan dan CEO platform penemuan jaringan Rumble, mengatakan kepada Ars. “Sepertinya mereka sengaja mengaktifkan bypass.”

Untuk mengeksploitasi kerentanan, penyerang harus mengetahui format permintaan XML yang memicu reset. Itu “tidak semudah menekan URL acak dengan permintaan GET, tetapi [itu] juga tidak terlalu jauh,” kata Moore.

My Book Live adalah perangkat penyimpanan seukuran buku yang menggunakan jack Ethernet untuk terhubung ke jaringan rumah dan kantor sehingga komputer yang terhubung memiliki akses ke data di dalamnya.

Selengkapnya: Ars Technica

GitHub bug bounties: pembayaran melonjak melewati $1,5 juta

by

Lebih dari setengah juta dolar telah dikeluarkan sebagai hadiah bagi para peneliti yang berpartisipasi dalam program bug bounty GitHub selama setahun terakhir, sehingga total pembayaran menjadi lebih dari $1,5 juta.

Vendor milik Microsoft telah mengoperasikan Program Bug Bounty Keamanan GitHub selama tujuh tahun.

Program bug bounty sekarang menjadi cara umum bagi vendor untuk mendapatkan bantuan dari peneliti pihak ketiga dalam mengamankan produk dan layanan. Bertahun-tahun yang lalu, terkadang sulit untuk mengungkapkan bug secara pribadi dan banyak perusahaan tidak memiliki kontak atau portal khusus untuk laporan kerentanan — tetapi sekarang, hadiah kredit dan finansial sering ditawarkan.

Vendor mengatakan bahwa 2020 “adalah tahun tersibuk” untuk program GitHub.

“Dari Februari 2020 hingga Februari 2021, kami menangani volume pengiriman yang lebih tinggi daripada tahun sebelumnya,” kata GitHub.

Secara total, 1.066 laporan bug dikirimkan di seluruh program publik dan pribadi GitHub — yang terakhir difokuskan pada produk beta dan pra-rilis — sepanjang tahun, dan $524.250 diberikan untuk 203 kerentanan. Sejak 2016, saat GitHub meluncurkan program publiknya di HackerOne, hadiah kini telah mencapai $1.552.004.

GitHub juga beroperasi di bawah prinsip Safe Harbor, di mana bug bounty hunter yang mematuhi kebijakan pengungkapan yang bertanggung jawab, dilindungi dari segala potensi konsekuensi hukum dari penelitian mereka.

Selengkapnya: ZDNet

DMARC: Garis Pertahanan Pertama Terhadap Ransomware

by

Ada banyak buzz di industri tentang ransomware akhir-akhir ini. Hampir setiap hari, itu menjadi berita utama. Dengan bisnis di seluruh dunia menahan napas, takut mereka mungkin menjadi korban serangan ransomware besar berikutnya, sekarang saatnya untuk mengambil tindakan.

Laporan FBI IC3 tahun 2020 mengklasifikasikan Ransomware sebagai kejahatan dunia maya yang paling merusak secara finansial tahun ini, tanpa peningkatan besar pada tahun 2021.

Bukankah lebih baik jika Anda bisa mencegah serangan ransomware dari awal? DMARC dapat membuat klaim yang tampaknya mustahil ini menjadi peluang bagi pemilik domain!

Ransomware adalah perangkat lunak berbahaya yang menginstal sendiri di komputer Anda tanpa izin Anda. Itu kemudian mengenkripsi data Anda, dan Anda hanya bisa mendapatkannya kembali dengan membayar tebusan.

Sebagai akibat dari meningkatnya serangan Ransomware pada bisnis global, CISA menganggap email phishing sebagai salah satu vektor ancaman yang paling kuat.

Badan Keamanan Infrastruktur Keamanan Siber pemerintah AS telah merekomendasikan, dalam Panduan Perlindungan Ransomware mereka, bahwa semua bisnis, termasuk lembaga pemerintah, untuk menerapkan DMARC sedini mungkin untuk mengurangi kemungkinan email palsu atau diubah dari domain yang valid.

Alasannya adalah DMARC dibuat berdasarkan standar autentikasi email seperti SPF dan DKIM, yang mengautentikasi sumber pengiriman, dan memastikan bahwa penerima email Anda tidak pernah tertipu.

Menerapkan DMARC analyzer di organisasi Anda memastikan Anda terlindungi dari peniruan identitas semaksimal mungkin. Alat ini memudahkan untuk mengonfigurasi DMARC untuk domain Anda dan beralih ke kebijakan yang diberlakukan dalam beberapa hari.

Selengkapnya: The Hacker News

Malware Bersembunyi Di Dalam Gambar Profil Steam: Ini Yang Perlu Anda Ketahui

by

Penyerang selalu menemukan cara baru untuk menyebarkan malware. Anda mungkin tidak sengaja mengunduh malware melalui lampiran email atau paket perangkat lunak dari situs web mana pun.

Dan sekarang, penyerang menargetkan toko game populer Steam untuk menyembunyikan malware menggunakan gambar profil. Tetapi apakah Anda berisiko jika menggunakan Steam? Bagaimana jika Anda mengunduh gambar dari Steam?

SteamHide adalah bentuk malware yang bersembunyi di dalam metadata gambar profil Steam, perusahaan keamanan GDATA memperingatkan.

Secara teknis, nilai PropertyTagICCProfile gambar diubah untuk mengenkripsi dan menyembunyikan malware, yang biasanya menyimpan informasi untuk membantu printer mendeteksi warna gambar. Nilai ini adalah bagian dari data EXIF ​​yang ada dalam gambar untuk membantu Anda mengidentifikasi kamera yang digunakan dan informasi terkait lainnya.

Gambar profil atau gambar tersebut bukanlah malware itu sendiri, tetapi merupakan wadah bagi malware tersebut.

Gambar atau gambar profil membantu dalam penyebaran malware ke komputer yang terinfeksi tanpa terdeteksi oleh perangkat lunak antivirus apa pun.

Komputer yang terinfeksi tersebut harus memiliki pengunduh (file berbahaya yang diunduh melalui lampiran email atau situs web) yang mengekstrak malware dari gambar profil Steam, yang dapat diakses publik.

Dengan kata lain, itu mengunduh malware dengan menghubungkan ke gambar yang dihosting di platform Steam.

Kemungkinan besar ada jutaan akun di Steam, dan sulit untuk mengetahui profil mana yang menyimpan malware di dalam gambar profilnya.

Untuk melindungi diri Anda dari SteamHide, Anda harus sangat berhati-hati saat mengunduh sesuatu dari internet. Jika Anda tidak mengunduh sesuatu yang berbahaya ke komputer Anda, gambar dari platform Steam tidak akan berdampak apa pun.

Selengkapnya: Make Use Of