DNS

Jika kueri DNS Anda terlihat seperti ini, itu bukan catatan tebusan, ini adalah peningkatan keamanan

January 20, 2023 by Søren

Google telah mulai mengaktifkan pengacakan kasus secara luas dalam kueri domain yang dikirim ke server nama otoritatif, dalam upaya untuk membuat serangan peracunan cache menjadi kurang efektif.

Ini berarti kueri untuk domain seperti example.com, jika ditangani oleh DNS Publik Google, dapat diformat ulang eXaMpLe.com saat permintaan dikirimkan ke server DNS untuk mencari. Meskipun hal ini mungkin diperhatikan oleh admin yang memeriksa lalu lintas jaringan, pemformatan pedas tidak terlihat oleh masyarakat umum sehingga tidak ada yang lebih bijak – jika semuanya berjalan dengan baik.

Saat orang mencoba mengunjungi situs web – seperti thereregister.com – browser atau aplikasi apa pun yang mereka gunakan, kueri nama domain situs tersebut menggunakan Sistem Nama Domain (DNS) untuk menemukan alamat IP untuk server yang menghosting situs tersebut. Permintaan DNS seperti itu biasanya melewati layanan DNS rekursif yang menghubungi server nama lain hingga akhirnya mendapat jawaban dari server nama resmi.

Untuk mempercepat proses multi-langkah ini, respons kueri DNS dapat di-cache oleh server nama perantara ini. Ini membuka kemungkinan serangan peracunan cache.

Serangan semacam itu melibatkan memukul salah satu server nama perantara ini dengan banyak kueri DNS untuk domain yang tidak ada dalam cache-nya. Server korban kemudian menghubungi server nama lain yang dapat membantunya menjawab pertanyaan ini. Pada saat yang sama, penyerang membanjiri server korban dengan respons palsu yang disamarkan agar terlihat seperti respons resmi dari server nama lain tersebut.

Selengkapnya: The Register

Kerentanan Terkait DNS yang Tidak Ditambal Mempengaruhi Berbagai Perangkat IoT

May 4, 2022 by Eevee

Peneliti keamanan siber telah mengungkapkan kerentanan keamanan yang belum ditambal yang dapat menimbulkan risiko serius bagi produk IoT.

Masalah ini, yang awalnya dilaporkan pada September 2021, memengaruhi implementasi Domain Name System (DNS) dari dua pustaka C populer yang disebut uClibc dan uClibc-ng yang digunakan untuk mengembangkan sistem Linux tertanam.

uClibc diketahui digunakan oleh vendor besar seperti Linksys, Netgear, dan Axis, serta distribusi Linux seperti Embedded Gentoo, yang berpotensi mengekspos jutaan perangkat IoT ke ancaman keamanan.

“Kecacatan ini disebabkan oleh prediktabilitas ID transaksi yang termasuk dalam permintaan DNS yang dihasilkan oleh perpustakaan, yang memungkinkan penyerang melakukan serangan keracunan DNS terhadap perangkat target,” Giannis Tsaraias dan Andrea Palanca dari Nozomi Networks mengatakan dalam sebuah tulisan Senin- ke atas.

Keracunan DNS, juga disebut sebagai DNS spoofing, adalah teknik merusak cache resolver DNS yang memberi klien alamat IP yang terkait dengan nama domain dengan tujuan mengarahkan pengguna ke situs web berbahaya.

Eksploitasi bug yang berhasil dapat memungkinkan musuh melakukan serangan Man-in-the-Middle (MitM) dan merusak cache DNS, secara efektif mengalihkan lalu lintas internet ke server di bawah kendali mereka.

Nozomi Networks memperingatkan bahwa kerentanan dapat dieksploitasi secara sepele dengan cara yang andal jika sistem operasi dikonfigurasikan untuk menggunakan port sumber yang tetap atau dapat diprediksi.

“Penyerang kemudian dapat mencuri dan/atau memanipulasi informasi yang dikirimkan oleh pengguna, dan melakukan serangan lain terhadap perangkat tersebut untuk sepenuhnya membahayakan mereka,” kata para peneliti.

Sumber: The Hacker News

Botnet Linux baru mengeksploitasi Log4J, menggunakan tunneling DNS untuk komunikasi

March 16, 2022 by Eevee

Botnet yang baru-baru ini ditemukan dalam pengembangan aktif menargetkan sistem Linux, mencoba menjerat mereka menjadi pasukan bot yang siap mencuri info sensitif, menginstal rootkit, membuat cangkang terbalik, dan bertindak sebagai proxy lalu lintas web.

Malware yang baru ditemukan, dijuluki B1txor20 oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), memfokuskan serangannya pada perangkat arsitektur CPU Linux ARM, X64.

Para peneliti pertama kali melihat botnet B1txor20 pada 9 Februari ketika sampel pertama terjebak oleh salah satu sistem honeypot mereka.

Secara keseluruhan, mereka menangkap total empat sampel malware, dengan backdoor, proxy SOCKS5, pengunduhan malware, pencurian data, eksekusi perintah arbitrer, dan fungsionalitas pemasangan rootkit.

Namun, yang membuat malware B1txor20 menonjol adalah penggunaan tunneling DNS untuk saluran komunikasi dengan server command-and-control (C2), teknik lama namun masih andal yang digunakan oleh pelaku ancaman untuk mengeksploitasi protokol DNS untuk melakukan tunnel malware dan data. melalui kueri DNS.

“Setelah menerima permintaan, C2 mengirimkan muatan ke sisi Bot sebagai tanggapan atas permintaan DNS. Dengan cara ini, Bot dan C2 mencapai komunikasi dengan bantuan protokol DNS.”

Peneliti 360 Netlab juga menemukan bahwa meskipun pengembang malware menyertakan serangkaian fitur yang lebih luas, tidak semuanya diaktifkan.

Informasi tambahan, termasuk indikator kompromi (IOCs) dan daftar semua instruksi C2 yang didukung, dapat ditemukan di akhir laporan 360 Netlab.

“Sejak kerentanan Log4J terungkap, kami melihat semakin banyak malware yang muncul, Elknot, Gafgyt, Mirai semuanya terlalu familiar,” tambah peneliti 360 Netlab.

Misalnya, pada bulan Desember, mereka melihat pelaku ancaman mengeksploitasi kelemahan keamanan Log4J untuk menginfeksi perangkat Linux yang rentan dengan malware Mirai dan Muhstik Linux.

Botnet ini terlihat “merekrut” perangkat dan server IoT dan menggunakannya untuk menyebarkan penambang kripto dan melakukan serangan DDoS skala besar.

Barracuda mengkonfirmasi laporan 360 Netlan awal bulan ini, dengan mengatakan mereka melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, dengan varian botnet Mirai dimanfaatkan untuk DDoS dan cryptomining mengambil bagian terbesar.

Sumber : Bleeping Computer

Migrasi pusat data eNom membuat situs-situs menjadi offline

January 18, 2022 by Winnie the Pooh

Migrasi pusat data dari penyedia hosting web eNom menyebabkan masalah resolusi domain yang tidak terduga yang diperkirakan akan berlangsung selama beberapa jam.

Pelanggan mulai mengeluh bahwa mereka tidak dapat lagi mengakses situs web dan email mereka karena masalah Domain Name System (DNS).

Perusahaan mengatakan bahwa mereka menerima laporan domain yang menggunakan nameservers eNom yang gagal resolve dan mengakui masalah tersebut.

Setelah melihat ke dalam masalah, perusahaan telah menemukan bahwa masalah resolusi domain mempengaruhi beberapa ratus domain. eNom memperkirakan bahwa pemadaman akan berlangsung selama beberapa jam.

Pelanggan eNom yang terkena dampak tidak dapat mengubah nameserver karena eNom sedang tidak aktif dan yang dapat mereka lakukan hanyalah menunggu migrasi selesai.

Selengkapnya: Bleeping Computer

Facebook, Instagram, dan WhatsApp kembali online setelah adanya pemadaman global

October 5, 2021 by Winnie the Pooh

Facebook, Instagram, dan WhatsApp mulai kembali online setelah masalah perutean BGP menyebabkan pemadaman di seluruh dunia selama lebih dari lima jam.

Pada tanggal 4 Oktober, sekitar pukul 11:50 EST, ketiga situs web tiba-tiba tidak dapat dijangkau, dengan browser menampilkan kesalahan DNS saat mencoba membukanya.

Sementara pada awalnya, masalah tampaknya terkait DNS, kemudian diketahui bahwa masalahnya jauh lebih buruk dari itu.

Seperti yang dijelaskan oleh Giorgio Bonfiglio, TAM Utama di Amazon AWS, berbagai prefixes perutean Facebook tiba-tiba menghilang dari tabel perutean BGP Internet, secara efektif membuatnya tidak mungkin untuk terhubung ke layanan apa pun yang dihosting di alamat IP mereka.

BGP atau Border Gateway Protocol membuat Internet modern berfungsi dan bagaimana komputer di satu sisi dunia dapat terhubung ke perangkat di sisi lain.

Agar lebih mudah dipahami, protokol perutean BGP mirip dengan “sistem pos” Internet, yang memfasilitasi lalu lintas dari satu sistem jaringan (otonom) ke sistem jaringan lainnya.

Ketika sebuah jaringan ingin terlihat di Internet, mereka perlu mengiklankan rute mereka, atau prefix, dengan seluruh dunia.

Jika prefix tersebut dihapus, tidak ada orang lain di Internet yang tahu cara menyambung ke server mereka.

Saat Facebook mengonfigurasi organisasi mereka untuk menggunakan domain registrar dan server DNS yang dihosting di prefix perutean mereka sendiri, saat prefix tersebut dihapus, tidak ada yang dapat terhubung ke alamat IP tersebut dan layanan yang berjalan di atasnya.

Mulai pukul 17:00 EST, prefix perutean Facebook mulai terlihat di tabel perutean BGP di jaringan lain. Dengan prefix ini sekarang sedang diiklankan di Internet, pengguna dapat terhubung ke Facebook, Instagram, dan WhatsApp kembali.

Tidak jelas apa yang menyebabkan pemadaman terjadi, tetapi kemungkinan karena kesalahan konfigurasi, seperti banyak pemadaman terkait BGP lainnya di masa lalu.

Sumber: Bleeping Computer

Semua DNS Anda adalah milik kami: AWS dan Google Cloud mematikan kerentanan mata-mata

August 9, 2021 by Winnie the Pooh

Hingga Februari tahun ini, layanan DNS Amazon Route53 menawarkan kemampuan penyadapan jaringan yang sebagian besar tidak dihargai. Dan opsi mata-mata yang tidak berdokumen ini juga tersedia di Google Cloud DNS dan setidaknya satu penyedia DNS-as-a-service lainnya.

Dalam presentasi awal pekan ini di konferensi keamanan Black Hat USA 2021 di Las Vegas, Nevada, Shir Tamari dan Ami Luttwak dari perusahaan keamanan Wiz, menjelaskan bagaimana mereka menemukan kelemahan pembajakan server nama DNS yang memungkinkan mereka untuk memata-matai lalu lintas DNS dinamis pelanggan lain.

“Kami menemukan celah sederhana yang memungkinkan kami untuk mencegat sebagian lalu lintas DNS dinamis di seluruh dunia melalui penyedia DNS terkelola seperti Amazon dan Google,” jelas Tamari dalam sebuah posting blog. “Pada dasarnya, kami ‘menyadap’ lalu lintas jaringan internal dari 15.000 organisasi (termasuk perusahaan Fortune 500 dan lembaga pemerintah) dan jutaan perangkat.”

Tamari dan Luttwak menemukan berbagai data sensitif selama percobaan mereka, termasuk nama komputer, nama karyawan, lokasi kantor, dan informasi tentang sumber daya web organisasi yang terbuka. Misalnya, mereka mengklaim telah mengidentifikasi perusahaan yang tampaknya melanggar sanksi perdagangan AS. Musuh jahat dapat menggunakan data ini untuk membantu meluncurkan serangan jaringan.

Menurut Tamari, Amazon dan Google telah memperbaiki masalah ini di layanan DNS masing-masing, tetapi penyedia layanan DNS lainnya mungkin masih rentan. Para peneliti mengatakan tiga dari enam penyedia DNS-as-a-service yang mereka temukan rentan.

Selengkapnya: The Register

Celah Keamanan Baru TsuNAME Dapat Membiarkan Penyerang Menghancurkan Server DNS Authoritative

May 10, 2021 by Winnie the Pooh

Peneliti keamanan pada hari Kamis mengungkapkan kerentanan kritis baru yang memengaruhi resolver Domain Name System (DNS) yang dapat dimanfaatkan oleh musuh untuk melakukan serangan denial-of-service berbasis refleksi terhadap authoritative nameservers.

Celah keamanan, yang disebut ‘TsuNAME,’ ditemukan oleh peneliti dari SIDN Labs dan InternetNZ, yang mengelola domain internet tingkat atas nasional ‘.nl’ dan ‘.nz’ masing-masing untuk Belanda dan Selandia Baru.

Dengan TsuNAME, idenya adalah bahwa kesalahan konfigurasi selama pendaftaran domain dapat membuat putaran ketergantungan sehingga record nameserver untuk dua zona menunjuk satu sama lain, menyebabkan resolver yang rentan untuk “hanya memantul kembali dari zona ke zona, mengirimkan kueri non-stop ke server authoritative dari kedua zona induk,” sehingga membanjiri server authoritative zona induk mereka.

Data yang dikumpulkan dari domain .nz menemukan bahwa dua domain yang salah dikonfigurasi saja menyebabkan peningkatan 50% dalam keseluruhan volume lalu lintas untuk server authoritative .nz.

Google Public DNS (GDNS) dan Cisco OpenDNS – yang disalahgunakan untuk menargetkan domain .nz dan .nl pada tahun 2020 – telah mengatasi masalah ini di perangkat lunak resolver DNS mereka.

Untuk mengurangi dampak TsuNAMI di alam liar, para peneliti telah menerbitkan alat sumber terbuka yang disebut CycleHunter yang memungkinkan operator server DNS authoritative untuk mendeteksi putaran ketergantungan.

Selengkapnya: The Hacker News

ISC mendesak pembaruan server DNS untuk menghapus kerentanan BIND baru

May 3, 2021 by Winnie the Pooh

Internet Systems Consortium (ISC) telah merilis sebuah advisory yang menguraikan trio kerentanan yang dapat memengaruhi keamanan sistem DNS.

Minggu ini, organisasi tersebut mengatakan kerentanan berdampak pada ISC Berkeley Internet Name Domain (BIND) 9, yang banyak digunakan sebagai sistem DNS dan dipertahankan sebagai proyek open source.

Kerentanan pertama dilacak sebagai CVE-2021-25216 dan telah dikeluarkan skor keparahan CVSS 8.1 (32-bit) atau 7.4 (64-bit). Pelaku ancaman dapat memicu kesalahan dari jarak jauh dengan melakukan serangan buffer overflow terhadap mekanisme negosiasi kebijakan keamanan GSSAPI BIND untuk protokol GSS-TSIG, yang berpotensi menyebabkan eksploitasi yang lebih luas termasuk error dan eksekusi kode jarak jauh.

Namun, dalam konfigurasi yang menggunakan setelan BIND default, jalur kode yang rentan tidak akan ditampilkan – kecuali nilai server (tkey-gssapi-keytab/tkey-gssapi-credential) disetel sebaliknya.

Cacat keamanan kedua, CVE-2021-25215, telah mendapatkan skor CVSS 7,5. CVE-2021-25215 adalah cacat yang dapat dieksploitasi dari jarak jauh yang ditemukan dalam cara pemrosesan data DNAME dan dapat menyebabkan proses crash karena pernyataan yang gagal.

Bug paling tidak berbahaya, dilacak sebagai CVE-2021-25214, telah mendapat skor CVSS 6,5. Masalah ini ditemukan di transfer zona inkremental (IXFR) dan jika named server menerima IXFR yang salah, ini menyebabkan named process lumpuh karena pernyataan yang gagal.

Kerentanan di BIND diperlakukan dengan serius karena hanya dengan satu bug, yang berhasil dieksploitasi, untuk menyebabkan gangguan yang meluas pada layanan.

BIND 9.11.31, 9.16.15, dan 9.17.12 semuanya berisi tambalan dan pembaruan yang harus diterapkan.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

DNS

Cookies Settings