Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Laporan Ermetic Hampir 100% Perusahaan Mengalami Pelanggaran Data Cloud dalam 18 Bulan Terakhir

by

Menurut Survei IDC terhadap 200 Pengambil Keputusan Keamanan, 63% Organisasi Mengalami Paparan Data Sensitif.

PALO ALTO, Calif. & TEL AVIV, Israel, 23 Juni 2021–(BUSINESS WIRE)–Ermetic, perusahaan keamanan infrastruktur cloud, hari ini mengumumkan hasil studi penelitian yang dilakukan oleh firma intelijen pasar global IDC yang menemukan bahwa 98 % dari perusahaan yang disurvei telah mengalami setidaknya satu pelanggaran data cloud dalam 18 bulan terakhir dibandingkan dengan 79% tahun lalu. Sementara itu, 67% melaporkan tiga atau lebih pelanggaran tersebut, dan 63% mengatakan mereka memiliki data sensitif yang terekspos.

Menurut 200 CISO dan pembuat keputusan keamanan lainnya yang berpartisipasi dalam survei, hampir 60% menganggap kurangnya visibilitas serta identitas yang tidak memadai dan manajemen akses sebagai ancaman utama bagi infrastruktur cloud mereka.

Mereka menyebutkan risiko akses dan keamanan infrastruktur di antara prioritas keamanan cloud teratas mereka selama 18 bulan ke depan. Sementara itu, 85% organisasi mengatakan mereka berencana untuk meningkatkan pengeluaran keamanan mereka tahun ini, dengan porsi yang signifikan dialokasikan untuk keamanan infrastruktur cloud.

Strategi keamanan infrastruktur cloud yang efektif harus fokus pada identitas, izin, dan hak untuk benar-benar melindungi dari risiko.

Sementara banyak perusahaan menggunakan alat penyedia cloud komersial — dan bahkan gratis — untuk memenuhi kebutuhan keamanan cloud mereka, ini biasanya tidak memiliki visibilitas granular dan kemampuan analitik. Akibatnya, mereka tidak dapat menangkap dan mengungkap hak istimewa yang melekat pada identitas manusia dan mesin, dan tidak memiliki otomatisasi yang diperlukan untuk mengatasi masalah dalam skala besar dan menerapkan hak istimewa yang paling rendah.

Selengkapnya: Yahoo Finance

Repositori open source dapat menjadi vektor untuk kejahatan

by

Seorang peneliti telah menemukan paket palsu yang diunduh sekitar 5.000 kali dari repositori resmi Python berisi kode rahasia yang menginstal perangkat lunak cryptomining pada mesin yang terinfeksi.

Paket berbahaya, yang tersedia di repositori PyPI, dalam banyak kasus menggunakan nama yang meniru paket yang sah dan sering digunakan secara luas yang sudah tersedia di sana, Ax Sharma, seorang peneliti di perusahaan keamanan Sonatype melaporkan. Serangan typosquatting berhasil ketika target secara tidak sengaja salah mengetik nama seperti mengetik “mplatlib” atau “maratlib” alih-alih paket matplotlib yang sah dan populer.

Sharma mengatakan dia menemukan enam paket yang menginstal perangkat lunak cryptomining yang akan menggunakan sumber daya komputer yang terinfeksi untuk menambang cryptocurrency dan menyimpannya di dompet penyerang. Keenamnya diterbitkan oleh seseorang yang menggunakan nama pengguna PyPI nedog123, dalam beberapa kasus pada awal April. Paket dan nomor unduhan adalah:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

Kode berbahaya terkandung dalam file setup.py dari masing-masing paket diatas. Ini menyebabkan komputer yang terinfeksi menggunakan ubqminer atau kriptominer T-Rex untuk menambang koin digital dan menyimpannya di alamat berikut: 0x510aec7f266557b7de753231820571b13eb31b57.

Selengkapnya: Ars Technica

Linux Marketplace rentan terhadap serangan RCE dan rantai pasokan

by

Peneliti menemukan kerentanan keamanan stored cross-site-scripting (XSS) yang tidak ditambal yang memengaruhi Linux marketplace dan dapat memungkinkan serangan rantai pasokan yang dapat menyebar luas.

Bug tersebut ditemukan mempengaruhi pasar berbasis Pling oleh para peneliti di Positive Security, termasuk AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com dan XFCE-Look.

Aplikasi PlingStore dipengaruhi oleh kerentanan eksekusi kode jarak jauh (RCE) yang belum ditambal, yang menurut para peneliti dapat dipicu dari situs web mana pun saat aplikasi sedang berjalan – memungkinkan serangan drive-by.

PlingStore adalah penginstal dan aplikasi manajemen konten yang bertindak sebagai etalase digital terkonsolidasi untuk berbagai situs yang menawarkan perangkat lunak dan plugin Linux.

Tim Pling tidak dapat dihubungi, menurut Fabian Bräunlein dengan Positive Security, menulis dalam sebuah posting blog pada hari Selasa – “itulah sebabnya kami memutuskan untuk mempublikasikan kerentanan yang belum ditambal ini untuk memperingatkan pengguna,” katanya.

Bug Stored XSS pertama kali ditemukan mempengaruhi KDE Discover. Stored XSS, juga dikenal sebagai XSS persisten, terjadi ketika skrip berbahaya disuntikkan langsung ke aplikasi web yang rentan. Tidak seperti reflected XSS, serangan stored XSS hanya mengharuskan korban mengunjungi halaman web yang disusupi.

Pada dasarnya, salah satu aset yang dapat diunduh mungkin telah disusupi, jadi pengguna harus diperingatkan bahwa setiap daftar di salah satu pasar yang terpengaruh dapat membajak akun pengguna di platform melalui XSS, kata Bräunlein.

Selengkapnya: Threat Post

Microsoft Memperingatkan Bahwa Peretas Menggunakan Call Center untuk Menipu Pengguna agar Mengunduh Ransomware

by

Microsoft memperingatkan bahwa kelompok kejahatan siber bernama BazarCall menggunakan pusat panggilan untuk mengelabui pengguna agar menginstal malware yang kuat, ZDNet melaporkan pada hari Rabu.

Malware yang dimaksud, yang dikenal sebagai BazarLoader, telah digunakan untuk mendistribusikan ransomware, yang mengenkripsi komputer atau sistem file jaringan yang ditargetkan dan biasanya mengirimkan permintaan tebusan yang harus dibayar dalam mata uang kripto untuk menyelamatkannya.

Menurut analis intelijen ancaman Palo Alto Networks Brad Duncan, BazarLoader “menyediakan akses pintu belakang ke host Windows yang terinfeksi” dan infeksi biasanya “mengikuti pola aktivitas yang berbeda.” Sejak Februari 2021, tulis Duncan, peneliti keamanan telah memperhatikan pola aktivitas call center yang tidak biasa dalam infeksi BazarLoader.

Duncan menulis bahwa langkah pertama dalam rantai itu adalah email phishing yang menginformasikan target bahwa langganan percobaan untuk beberapa layanan telah berakhir dan akan segera ditagih, mencantumkan nomor telepon untuk dukungan pelanggan.

Saat dihubungi, operator pusat panggilan mengarahkan target untuk mengunduh spreadsheet Excel yang terinfeksi, mengaktifkan makro di dalamnya, dan kemudian memberi tahu mereka bahwa mereka telah berhasil berhenti berlangganan dari layanan. Tanpa sepengetahuan target, BazarLoader sekarang mengendalikan mesin mereka dan dapat mengunduh malware apa pun yang diinginkan orang yang berada di balik peretasan tersebut.

Selengkapnya: Gizmodo

Agensi Siber mengatakan peretasan SolarWinds dapat dicegah dengan langkah-langkah keamanan sederhana

by

Peretasan SolarWinds, salah satu insiden keamanan siber terbesar dalam sejarah AS, mungkin dapat dicegah atau diminimalkan jika langkah-langkah keamanan dasar telah diterapkan, kata seorang pejabat tinggi pemerintah awal bulan ini.

Dalam surat 3 Juni kepada Senator Ron Wyden (D-Ore.) yang diberikan kepada The Hill pada hari Senin, penjabat Direktur Cybersecurity and Infrastructure Security Agency (CISA) Brandon Wales setuju dengan pertanyaan Wyden mengenai apakah firewall yang ditempatkan di sistem agen korban dapat membantu memblokir virus malware yang digunakan dalam serangan SolarWinds.

“CISA setuju bahwa firewall yang memblokir semua koneksi keluar ke internet akan menetralkan malware,” tulis Wales.

Dia menekankan, bagaimanapun, bahwa sementara agensi “melakukan pengamatan jaringan korban dengan konfigurasi ini yang berhasil memblokir upaya koneksi dan tidak memiliki eksploitasi lanjutan, efektivitas tindakan pencegahan ini tidak berlaku untuk semua jenis intrusi dan mungkin tidak layak mengingat persyaratan operasional untuk beberapa lembaga”.

Wales mengatakan bahwa CISA tidak memiliki angka tentang berapa banyak agen federal yang mengelompokkan dan memisahkan jaringan mereka, pedoman keamanan utama yang telah lama direkomendasikan agen tersebut sebagai cara untuk mencegah peretas bergerak melalui jaringan sensitif.

Dia juga menekankan bahwa CISA membuat “perbaikan mendesak” untuk meningkatkan pemahamannya tentang ancaman dunia maya ke jaringan federal, termasuk menggunakan sebagian dari $650 juta yang termasuk dalam Undang-Undang Rencana Penyelamatan Amerika untuk memindahkan perlindungan keamanan di dalam jaringan agensi alih-alih hanya menjaga perimeter.

Selengkapnya: The Hill

NSA membagikan panduan tentang mengamankan komunikasi suara dan video

by

National Security Agency (NSA) telah membagikan mitigasi dan praktik terbaik yang harus diikuti oleh administrator sistem saat mengamankan sistem pemrosesan panggilan Unified Communications (UC) dan Voice and Video over IP (VVoIP).

UC dan VVoIP adalah sistem pemrosesan panggilan yang digunakan di lingkungan perusahaan untuk berbagai tujuan, mulai dari konferensi video hingga pesan instan dan kolaborasi proyek.

Karena sistem komunikasi ini terintegrasi erat dengan peralatan TI lainnya di dalam jaringan perusahaan, mereka juga secara tidak sengaja meningkatkan permukaan serangan dengan memperkenalkan kerentanan baru dan potensi akses rahasia ke komunikasi organisasi.

Perangkat UC/VVoIP yang tidak diamankan dengan benar terpapar pada risiko keamanan yang sama dan ditargetkan oleh pelaku ancaman melalui spyware, virus, kerentanan perangkat lunak, dan cara berbahaya lainnya jika tidak diamankan dan dikonfigurasi secara memadai.

Admin disarankan untuk mengambil langkah-langkah utama ini untuk meminimalkan risiko jaringan perusahaan organisasi mereka dilanggar dengan mengeksploitasi sistem UC/VVoIP:

  • Segmentasikan jaringan perusahaan menggunakan Virtual Local Area Networks (VLAN) untuk memisahkan lalu lintas suara dan video dari lalu lintas data
  • Gunakan daftar kontrol akses dan aturan perutean untuk membatasi akses ke perangkat di seluruh VLAN
  • Menerapkan perlindungan layer 2 dan Address Resolution Protocol (ARP) dan pertahanan dari spoofing IP
  • Lindungi gateway PSTN dan perimeter Internet dengan mengautentikasi semua koneksi UC/VVoIP
  • Selalu perbarui perangkat lunak untuk mengurangi kerentanan perangkat lunak UC/VVoIP
  • Mengautentikasi dan mengenkripsi sinyal dan lalu lintas media untuk mencegah peniruan identitas dan penyadapan oleh aktor jahat
  • Deploy pengontrol batas sesi (SBC) untuk memantau lalu lintas UC/VVoIP dan mengaudit catatan data panggilan (CDR) menggunakan solusi deteksi penipuan untuk mencegah penipuan
  • Pertahankan cadangan konfigurasi dan instalasi perangkat lunak untuk memastikan ketersediaan
  • Kelola serangan denial of service menggunakan pembatasan kecepatan dan batasi jumlah panggilan masuk untuk mencegah kelebihan server UC/VVoIP
  • Gunakan kartu identitas, biometrik, atau sarana elektronik lainnya untuk mengontrol akses fisik ke area aman dengan jaringan dan infrastruktur UC/VVoIP
  • Verifikasi fitur dan konfigurasi untuk perangkat baru (dan berpotensi jahat) di testbed sebelum menambahkannya ke jaringan

Selengkapnya: Bleeping Computer

Pergeseran Federal ke IPv6 Membawa Pilihan dan Risiko Keamanan Siber Baru

by

Dorongan untuk memindahkan seluruh pemerintah federal ke arsitektur khusus IPv6 akan menjadi pendorong kemampuan keamanan siber seperti zero trust tetapi juga dapat membuka jaringan agensi terhadap ancaman baru, kata pejabat yang memimpin upaya transisi.

Badan-badan federal berada di bawah mandat baru untuk mentransisikan sebagian besar sistem yang terhubung ke internet dari IPv4 ke IPv6 pada akhir tahun fiskal 2025. Pejabat federal yang memimpin upaya ini telah menekankan pentingnya melakukan transisi, tidak hanya untuk memastikan sistem dapat berkomunikasi dengan IPv6 perangkat, tetapi juga untuk meningkatkan upaya modernisasi dan keamanan siber jaringan pemerintah.

Pergeseran ke IPv6 menambahkan lebih banyak alamat secara signifikan ke kumpulan global, serta format penomoran yang berbeda. Sementara IPv4 menunjukkan alamat sebagai empat set satu hingga tiga digit, IPv6 menggunakan delapan set empat digit. Untuk organisasi—termasuk agen federal—format baru memerlukan sistem pengodean ulang yang menjalankan infrastruktur jaringan untuk memahami dan menyerap alamat IPv6.

“Kami beroperasi pada protokol jaringan yang berusia 40 tahun,” kata Carol Bales, analis kebijakan senior di Kantor Manajemen dan Anggaran yang telah mengerjakan transisi IPv6 di pemerintahan selama 16 tahun. “Kami banyak berbicara tentang memodernisasi infrastruktur kami, dan saya pikir transisi ke IPv6 adalah bagian penting dari ini. Ini adalah komponen penting dari inovasi.”

“Dengan menyediakan jalur jaringan ujung ke ujung dan dukungan mikrosegmentasi yang lebih baik, transisi ke IPv6 saja akan menjadi komponen kunci dari ZTA—arsitektur zero trust—yang merupakan salah satu pilar utama dalam tatanan eksekutif,” kata Wakil Kepala Pejabat Informasi Federal Maria Roat.

Branko Bokan, seorang spesialis keamanan siber dengan Badan Keamanan Siber dan Keamanan Infrastruktur, setuju tetapi mencatat transisi itu juga akan membawa masalah keamanan baru.

IPv6 “tidak hanya memperkenalkan dan menambah keamanan jaringan kami dan meningkatkan keamanan jaringan,” katanya, “IPv6 juga membuka dunia baru dengan lanskap ancaman dan layanan ancaman baru yang tidak harus kami tangani”.

Selengkapnya: Nextgov

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

by

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading