Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for DDoS

DDoS

Ratusan ribu perangkat MikroTik masih rentan terhadap botnet

by

Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.

MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.

Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.

Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.

Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:

  • CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
  • CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
  • CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
  • CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8

Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.

Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.

Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.

Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.

Selengkapnya: Bleeping Computer

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

by

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Microsoft Mengatakan Telah Memitigasi Salah Satu Serangan DDoS Terbesar Yang Pernah Ada

by

Microsoft mengatakan mampu mengurangi serangan Distributed Denial-of-Service (DDoS) 2,4Tbps pada bulan Agustus. Serangan tersebut menargetkan pelanggan Azure di Eropa dan 140 persen lebih tinggi dari volume bandwidth serangan tertinggi yang dicatat Microsoft pada tahun 2020.

Ini juga melebihi volume lalu lintas puncak 2,3Tbps yang diarahkan ke Amazon Web Services tahun lalu, meskipun itu adalah serangan yang lebih kecil daripada 2,54Tbps yang dimitigasi Google pada tahun 2017.

Microsoft mengatakan serangan itu berlangsung lebih dari 10 menit, dengan ledakan lalu lintas berumur pendek yang memuncak pada 2,4Tbps, 0,55Tbps, dan akhirnya 1,7Tbps.

Serangan DDoS biasanya digunakan untuk memaksa situs web atau layanan offline, berkat banjir lalu lintas yang tidak dapat ditangani oleh host web.

Mereka biasanya dilakukan melalui botnet, jaringan mesin yang telah disusupi menggunakan malware atau perangkat lunak berbahaya untuk mengontrolnya dari jarak jauh. Azure dapat tetap online selama serangan, berkat kemampuannya menyerap puluhan terabit serangan DDoS.

Sementara jumlah serangan DDoS telah meningkat pada tahun 2021 di Azure, serangan maksimum secara keseluruhan telah menurun menjadi 625Mbps sebelum serangan 2,4Tbps ini pada minggu terakhir bulan Agustus.

Microsoft tidak menyebutkan nama pelanggan Azure di Eropa yang menjadi sasaran, tetapi serangan semacam itu juga dapat digunakan sebagai perlindungan untuk serangan sekunder yang berupaya menyebarkan malware dan menyusup ke sistem perusahaan.

Pemadaman internet Selandia Baru disebabkan oleh serangan DDoS pada penyedia internet terbesar ketiga di negara itu

by

Beberapa bagian dari Selandia Baru terputus dari dunia digital pada tanggal 3 September setelah ISP lokal utama terkena serangan DDoS yang agresif.

Vocus – operator internet terbesar ketiga di negara itu yang berada di belakang merek termasuk Orcon, Slingshot dan Stuff Fiber – mengkonfirmasi bahwa serangan siber berasal dari salah satu pelanggannya.

Menurut pembaruan status jaringan, perusahaan mengatakan: “Sore ini pelanggan Vocus berada di bawah serangan DDoS… Aturan mitigasi DDoS telah diperbarui ke platform Arbor DDoS kami untuk memblokir serangan bagi pelanggan.”

Detailnya masih samar, tetapi pemadaman telah menyebabkan gangguan signifikan di seluruh negeri dengan banyak orang bekerja dari rumah karena pembatasan COVID-19.

Sebuah laporan oleh Reuters menunjukkan bahwa tanggapan Vocus terhadap serangan cyber mungkin memiliki efek knock-on yang mengakibatkan pemadaman 30 menit di seluruh negeri, termasuk kota-kota besar Auckland, Wellington dan Christchurch. Kami telah meminta komentar dari vendor perlindungan Arbor DDoS Netscout.

Selengkapnya: The Register

Botnet Menghasilkan Salah Satu Serangan DDoS Terbesar dalam Catatan

by

Bulan lalu, seseorang mencoba meluncurkan salah satu serangan Distributed Denial of Service (DDoS) terbesar yang pernah tercatat untuk menghapus situs keuangan, menurut Cloudflare, penyedia infrastruktur internet.

Serangan itu melibatkan menghasilkan banjir lalu lintas internet melalui permintaan berbasis browser HTTP. Pada puncaknya, pengeboman mencapai 17,2 juta permintaan per detik.

“Untuk perspektif tentang seberapa besar serangan ini: Cloudflare melayani rata-rata lebih dari 25 juta permintaan HTTP per detik,” tulis perusahaan itu dalam sebuah posting blog pada hari Kamis. “Jadi memuncak pada 17,2 juta rps, serangan ini mencapai 68% dari rata-rata rps rata-rata Q2 kami dari lalu lintas HTTP yang sah.”

Secara total, serangan itu membombardir server perusahaan dengan 330 juta permintaan dalam waktu kurang dari satu menit. Namun, Cloudflare mengatakan sistem otomatisnya dapat secara otomatis mendeteksi dan mengurangi banjir lalu lintas.

​​Menurut Cloudflare, insiden tersebut merupakan serangan DDoS berbasis lapisan aplikasi terbesar yang diketahui publik. Pemegang rekor sebelumnya adalah serangan 6 juta permintaan per detik yang terdeteksi Google tahun lalu.

Cloudflare melihat sumber serangan 17,2 juta rps ke botnet 20.000 mesin, yang merupakan pasukan komputer yang dikendalikan malware. “Berdasarkan alamat IP sumber bot, hampir 15% serangan berasal dari Indonesia dan 17% lainnya dari India dan Brasil digabungkan, menunjukkan bahwa mungkin ada banyak perangkat yang terinfeksi malware di negara-negara tersebut,” kata perusahaan tersebut.

Sumber: PC Mag

Selengkapnya: PC Mag

Kebakaran Dan Serangan Siber Menyebabkan Pemadaman Besar Di Seluruh Puerto Rico

by

Kebakaran besar di gardu listrik untuk penyedia listrik baru Puerto Riko, Luma Energy, memadamkan listrik bagi ratusan ribu penduduk pulau itu Kamis.

Pada puncak pemadaman, hampir 800.000 pelanggan tanpa listrik, menurut Luma. Pada tengah malam, sekitar 60.000 pelanggan masih dalam kegelapan.

“Kebakaran menyebabkan pemadaman besar-besaran di seluruh pulau. Situasinya sedang dalam penilaian dan pekerjaan sedang dilakukan untuk memulihkan sistem,” cuit LUMA Energy.

Kebakaran dan pemadaman listrik bukan satu-satunya krisis yang dihadapi Luma pada hari Kamis.

Sebelumnya pada hari itu, perusahaan mengumumkan portal klien dan aplikasi selulernya menjadi korban serangan siber yang mengganggu akses pelanggan ke layanan onlinenya.

Serangan DDoS, atau serangan penolakan layanan terdistribusi, menghasilkan 2 juta kunjungan per detik ke portal klien dan aplikasi seluler, yang memengaruhi kemampuan banyak pelanggan untuk mengakses informasi akun, menurut Luma.

Perusahaan mengatakan dalam sebuah pernyataan bahwa “menyesali bahwa pelanggannya mengalami ketidaknyamanan yang mungkin disebabkan oleh serangan itu dan berharap untuk terus memberi mereka pengalaman layanan pelanggan yang luar biasa.”

Tidak jelas apakah api dan serangan DDoS terhubung.

selengkapnya : www.npr.org

Server LittleBigPlanet Ditutup Setelah Peretas Mengeposkan Pesan Kebencian

by

Untuk sementara waktu sekarang, platformer PS3 LittleBigPlanet telah diserang, servernya berulang kali menjadi target orang-orang yang tidak memiliki kegiatan lain yang lebih baik selain mengganggu basis penggemar apa pun yang tersisa untuk game yang pertama kali dirilis pada tahun 2008.

Server game tersebut telah bermasalah sejak Maret, ketika diasumsikan bahwa serangan DDOS adalah penyebab penghentian dan penutupan berulang kali. Namun, sesi ditutup lagi pada akhir pekan, ketika peretas memperoleh akses ke fitur komunitas game untuk memposting pesan transphobic.

Sudah lebih dari dua bulan sejak pengguna pertama kali mulai melaporkan waktu henti dan masalah dengan server LittleBigPlanet, yang hanya dibahas sebentar oleh Sony dari perspektif teknis, tanpa memberikan penjelasan mengapa serangan itu terjadi atau apa yang dapat dilakukan untuk menyelamatkan komunitas. untuk game yang meskipun usianya masih memiliki banyak penggemar.

Namun, penggemar yang berbicara dengan Eurogamer, menyalahkan serangan DDOS awal setidaknya pada penggemar nakal, yang mereka curigai “tidak senang dengan perlakuan Sony terhadap waralaba”.

Sumber: Kotaku

Report: Q1 2021 Serangan DDoS dan insiden BGP

by

Tahun 2021 dimulai dengan catatan tinggi bagi Qrator Labs: pada 19 Januari, perusahaan mereka merayakan hari jadinya yang ke-10. Tak lama kemudian, pada bulan Februari, jaringan perusahaan memitigasi serangan DDoS 750 Gbps yang cukup mengesankan berdasarkan amplifikasi DNS lama dan terkenal.

Selain itu, ada aliran insiden BGP yang konstan; beberapa menjadi anomali perutean global. Qrator Labs mulai melaporkannya di akun Twitter mereka yang baru dibuat untuk Qrator.Radar.

Namun demikian, dengan berakhirnya kuartal pertama tahun ini, kita dapat melihat lebih dekat statistik serangan DDoS dan insiden BGP untuk Januari – Maret 2021.

Sumber: Qrator Labs

Vektor serangan DDoS 3 teratas pada Q1 2021 adalah IP flood, tercatat 35,31% dari semua serangan; UDP flood sebesar 18,25%; dan SYN flood bertanggung jawab atas 13,74% dari serangan Q1.

Vektor-vektor terpisah tersebut sekarang hanya sebagian kecil, dalam hal statistik serangan, dari kombinasi campuran pertama: IP flood + UDP flood, yang pada Q1 menghasilkan 11,37% dan menempati posisi keempat, secara efektif mengalahkan TCP flood dalam statistik mereka.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Qrator Labs