Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretasan VPN Adalah Bencana Dalam Mode Slow-Motion

by

Tahun ini tidak pernah ada kekurangan peretasan blockbuster, mulai dari kehancuran rantai pasokan SolarWinds hingga serangan kilat China terhadap server Microsoft Exchange. Contoh terbaru dari kehancuran VPN — yang kita bicarakan adalah koneksi perusahaan, bukan pengaturan pribadi Anda — adalah yang paling dramatis.

Perusahaan keamanan FireEye minggu ini mengungkapkan bahwa mereka telah menemukan selusin keluarga malware, tersebar di beberapa grup peretasan, berpesta dengan kerentanan di Pulse Secure VPN.

Para korban tersebar di seluruh dunia dan menjangkau target bernilai tinggi: kontraktor pertahanan, lembaga keuangan, dan pemerintah. Para penyerang menggunakan tempat bertengger mereka untuk mencuri kredensial yang sah, meningkatkan peluang mereka untuk mendapatkan akses yang mendalam dan berkelanjutan.

Namun, tambalan untuk memperbaiki kerentanan di jantung serangan tidak akan tersedia hingga bulan depan. Dan bahkan kemudian, itu mungkin tidak memberikan banyak penawar. Perusahaan sering kali lambat dalam memperbarui VPN mereka, sebagian karena waktu henti berarti karyawan tidak dapat menyelesaikan pekerjaannya secara efektif.

Perangkat lunak dari semua jalur memiliki kerentanan, tetapi karena VPN menurut definisi bertindak sebagai saluran informasi yang dimaksudkan untuk menjadi pribadi, bug mereka memiliki implikasi yang serius.

Lebih banyak kekurangan berarti lebih banyak peluang bagi penyerang. Lebih banyak pengguna pada VPN tertentu juga membuatnya semakin sulit untuk menemukan orang jahat, terutama untuk perusahaan multinasional yang besar.

Selengkapnya: Wired

Patchstack Whitepaper: 582 Masalah Keamanan WordPress Ditemukan pada 2020, Lebih Dari 96% Dari Ekstensi Pihak Ketiga

by

Patchstack, yang baru-baru ini diganti namanya dari WebARX, merilis whitepaper keamanan 2020-nya.

Laporan tersebut mengidentifikasi total 582 kerentanan keamanan. Namun, hanya 22 masalah yang berasal dari WordPress itu sendiri. Plugin dan tema pihak ketiga menyumbang 96,22% sisanya.

Patchstack adalah perusahaan keamanan yang berfokus pada ekstensi pihak ketiga ke WordPress. Basis data kerentanannya bersifat publik dan tersedia untuk dilihat siapa saja.

Pada kuartal kedua tahun 2020, Patchstack mensurvei hampir 400 pengembang web, freelancer, dan agensi tentang keamanan web. “Lebih dari 70% menjawab bahwa mereka semakin khawatir tentang keamanan situs web mereka, dan alasan utamanya adalah ‘kerentanan di plugin pihak ketiga,’” menurut whitepaper.

“Sekitar 45% responden melihat peningkatan serangan pada situs web yang mereka kelola, dan 25% harus berurusan dengan situs web yang diretas pada bulan sebelum berpartisipasi dalam survei”.

Peringkat teratas, 211 kerentanan yang ditemukan adalah masalah Cross-Site Scripting (XSS), 36,2% dari total.

Kerentanan injeksi menduduki peringkat kedua dengan 70 kasus unik. Itu diikuti oleh 38 masalah Cross-Site Request Forgery (CSRF) dan 29 contoh eksposur data sensitif.

Selengkapnya: WordPress Tavern

Botnet backdoors server Microsoft Exchange, menambang cryptocurrency

by

Server Microsoft Exchange yang tidak ditambal sedang ditargetkan oleh botnet Prometei dan ditambahkan ke pasukan penambangan mata uang kripto Monero (XMR) operatornya.

Malware modular ini dapat menginfeksi sistem Windows dan Linux, dan pertama kali terlihat tahun lalu saat menggunakan eksploitasi EternalBlue untuk menyebar ke seluruh jaringan yang disusupi dan memperbudak komputer Windows yang rentan.

Tim Nocturnus Cybereason baru-baru ini menemukan bahwa botnet kemungkinan besar telah aktif selama hampir setengah dekade, menurut artefak Prometei yang dikirimkan ke VirusTotal pada Mei 2016.

Berdasarkan sampel malware baru yang baru-baru ini ditemukan oleh Cybereason selama respons insiden baru-baru ini, botnet juga telah diperbarui untuk mengeksploitasi kerentanan Exchange Server yang ditambal oleh Microsoft pada bulan Maret.

Fokus utama serangan Prometei pada server Exchange adalah untuk menyebarkan muatan cryptomining, mulai menghasilkan uang untuk operatornya, dan menyebar ke perangkat lain di jaringan menggunakan eksploitasi EternalBlue dan BlueKeep, mengambil kredensial, dan modul penyebar SSH atau SQL.

“Ketika penyerang mengendalikan mesin yang terinfeksi, mereka tidak hanya mampu menambang bitcoin dengan mencuri kekuatan pemrosesan, tetapi juga dapat mengekstraks informasi sensitif,” kata Assaf Dahan, direktur senior Cybereason dan kepala penelitian ancaman.

Sumber: Cybereason

Selengkapnya: Bleeping Computer

QNAP menghapus akun backdoor di cadangan NAS, aplikasi pemulihan bencana

by

QNAP telah mengatasi kerentanan kritis yang memungkinkan penyerang masuk ke perangkat QNAP NAS (penyimpanan yang terpasang ke jaringan) menggunakan kredensial yang di-hardcode.

Kerentanan kredensial hard-code yang dilacak sebagai CVE-2021-28799 ditemukan oleh ZUSO ART yang berbasis di Taiwan di HBS 3 Hybrid Backup Sync, solusi pemulihan bencana dan pencadangan data perusahaan.

Perusahaan mengatakan bahwa bug keamanan sudah diperbaiki di versi HBS berikut dan menyarankan pelanggan untuk memperbarui perangkat lunak ke versi rilis terbaru:

  • QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 dan yang lebih baru
  • QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 dan yang lebih baru
  • QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 dan yang lebih baru
  • QuTScloud c4.5.1 ~ c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 dan yang lebih baru

Untuk memperbarui HBS di perangkat NAS Anda, Anda harus masuk ke QTS atau QuTS hero sebagai administrator. Selanjutnya, cari “HBS 3 Hybrid Backup Sync” di App Center, lalu klik Perbarui dan OK untuk memperbarui aplikasi (opsi Pembaruan tidak tersedia jika HBS sudah diperbarui).

Selengkapnya: Bleeping Computer

Penyerang dapat menyembunyikan peringatan email ‘pengirim eksternal’ dengan HTML dan CSS

by

Peringatan “pengirim eksternal” yang ditampilkan ke penerima email oleh klien seperti Microsoft Outlook dapat disembunyikan oleh pengirim, seperti yang ditunjukkan oleh peneliti.

Ternyata, yang diperlukan penyerang untuk mengubah peringatan “pengirim eksternal”, atau menghapusnya sama sekali dari email hanyalah beberapa baris kode HTML dan CSS.

Ini bermasalah karena pelaku phishing dan penipu dapat dengan mudah memasukkan beberapa kode HTML dan CSS di email keluar mereka untuk mengubah kata-kata pesan peringatan atau membuatnya hilang sama sekali.

Dengan menambahkan hanya beberapa baris kode HTML dan CSS, peneliti Louis Dion-Marcil menunjukkan bagaimana pengirim eksternal dapat menyembunyikan peringatan dari pesan email.

Hal ini terjadi karena produk keamanan email dan gateway yang mencegat dan memindai email masuk untuk konten yang mencurigakan hanya memasukkan peringatan “pengirim eksternal” sebagai cuplikan kode HTML/CSS di badan email itu sendiri, yang bertentangan dengan UI klien email asli yang menampilkan pesan tersebut.

Dion-Marcil telah berbagi beberapa wawasan dengan BleepingComputer tentang perilaku ini:

Peneliti mengatakan bahwa ini bukan bug di aplikasi klien email mana pun, dan bersifat klien-agnostik.

Selengkapnya: Bleeping Computer

Serangan ransomware Qlocker besar-besaran menggunakan 7zip untuk mengenkripsi perangkat QNAP

by

Kampanye ransomware besar-besaran yang menargetkan perangkat QNAP di seluruh dunia sedang berlangsung, dan pengguna menemukan file mereka sekarang disimpan dalam arsip 7zip yang dilindungi kata sandi.

Ransomware tersebut disebut Qlocker dan mulai menargetkan perangkat QNAP pada 19 April 2021. Sejak itu, ada banyak sekali aktivitas di forum dukungan Bleeping Computer, dan ID-Ransomware telah melihat lonjakan pengiriman dari para korban.

Menurut laporan dari korban dalam topik dukungan BleepingComputer Qlocker, penyerang menggunakan 7-zip untuk memindahkan file pada perangkat QNAP ke dalam arsip yang dilindungi kata sandi. Saat file dikunci, QNAP Resource Monitor akan menampilkan banyak proses ‘7z’ yang merupakan baris perintah 7zip yang dapat dieksekusi.

Saat ransomware telah selesai, file perangkat QNAP akan disimpan dalam arsip 7-zip yang dilindungi sandi yang diakhiri dengan ekstensi .7z. Untuk mengekstrak arsip ini, korban perlu memasukkan kata sandi yang hanya diketahui oleh penyerang.

Sumber: Bleeping Computer

Setelah perangkat QNAP dienkripsi, pengguna mendapatkan catatan tebusan !!!READ_ME.txt yang menyertakan kunci klien unik yang harus dimasukkan oleh korban untuk masuk ke situs pembayaran Tor ransomware.

Dari catatan tebusan Qlocker yang dilihat oleh BleepingComputer, semua korban diperintahkan untuk membayar 0,01 Bitcoin, yaitu sekitar $ 557,74, untuk mendapatkan kata sandi untuk file arsip mereka.

Selengkapnya: Bleeping Computer

Google memperbaiki zero-day Chrome yang dibagikan di Twitter minggu lalu

by

Google telah merilis Chrome 90.0.4430.85 untuk mengatasi zero-day yang dieksploitasi secara aktif dan empat kerentanan keamanan tingkat tinggi lainnya yang memengaruhi browser web terpopuler saat ini.

Versi yang dirilis pada 20 April 2021, ke saluran desktop Stabil untuk pengguna Windows, Mac, dan Linux akan diluncurkan ke semua pengguna selama beberapa minggu mendatang.

Google tidak membagikan detail apa pun mengenai zero-day selain menggambarkannya sebagai ‘Type Confusion in V8’ dan mengatakan bahwa itu dilaporkan oleh Jose Martinez dari VerSprite Inc.

Namun, Martinez menautkannya ke eksploitasi bukti konsep (PoC) yang dibagikan secara publik di Twitter satu minggu lalu setelah laporan awal Program Penghargaan Kerentanan Chrome dari tanggal 5 April.

Kerentanan eksekusi kode jarak jauh ini tidak dapat dimanfaatkan oleh penyerang untuk keluar dari fitur keamanan sandbox Chromium (fitur keamanan yang dirancang untuk memblokir eksploitasi agar tidak mengakses file atau menjalankan kode di komputer host).

Namun, itu dapat dengan mudah digabungkan dengan bug keamanan lain yang dapat memungkinkan eksploitasi untuk keluar dari sandbox dan mengeksekusi kode arbitrer pada sistem pengguna yang ditargetkan.

Selengkapnya: Bleeping Computer

Login untuk 1,3 juta server Windows RDP dikumpulkan dari pasar peretas

by

Nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan yang secara historis dikompromikan telah dibocorkan oleh UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri.

Dengan kebocoran besar-besaran kredensial akses jarak jauh yang disusupi ini, para peneliti, untuk pertama kalinya, melihat sekilas ekonomi kejahatan dunia maya yang ramai dan dapat menggunakan data tersebut untuk mengakhiri serangan siber sebelumnya.

Admin jaringan juga akan mendapatkan keuntungan dari layanan baru yang diluncurkan oleh perusahaan keamanan siber Advanced Intel yang disebut RDPwned yang memungkinkan organisasi untuk memeriksa apakah kredensial RDP mereka telah dijual di pasar.

UAS, atau ‘Ultimate Anonymity Services,’ adalah pasar yang menjual kredensial masuk Windows Remote Desktop, Nomor Jaminan Sosial yang dicuri, dan akses ke server proxy SOCKS.

Apa yang membuat UAS menonjol adalah bahwa ini adalah pasar terbesar, melakukan verifikasi manual kredensial akun RDP yang dijual, menawarkan dukungan pelanggan, dan memberikan tip tentang cara mempertahankan akses jarak jauh ke komputer yang disusupi.

Sejak Desember 2018, sekelompok peneliti keamanan memiliki akses rahasia ke database untuk pasar UAS dan diam-diam telah mengumpulkan kredensial RDP yang dijual selama hampir tiga tahun.

Database ini telah dibagikan dengan Advanced Intel’s Vitali Kremez, yang juga membagikan salinan yang telah disunting dengan BleepingComputer untuk ditinjau.

Setelah ditinaju, server RDP yang terdaftar berasal dari seluruh dunia, termasuk lembaga pemerintah dari enam puluh tiga negara, dengan Brasil, India, dan Amerika Serikat menjadi tiga teratas.

Vitali Kremez telah meluncurkan layanan baru bernama RDPwned yang memungkinkan perusahaan dan admin mereka untuk memeriksa apakah server mereka terdaftar dalam database.

Selengkapnya: Bleeping Computer