DNS

NAME:WRECK Kerentanan DNS yang memengaruhi lebih dari 100 juta perangkat

April 14, 2021 by Winnie the Pooh

Peneliti keamanan telah mengungkapkan sembilan kerentanan yang memengaruhi implementasi protokol Domain Name System di komunikasi jaringan TCP/IP stack populer yang berjalan di setidaknya 100 juta perangkat.

Secara kolektif disebut sebagai NAME: WRECK, kelemahan tersebut dapat dimanfaatkan untuk membuat perangkat yang terpengaruh menjadi offline atau dikendalikan.

Kerentanan ditemukan di TCP/IP stack yang tersebar luas yang berjalan di berbagai produk, dari server berkinerja tinggi dan peralatan jaringan hingga sistem teknologi operasional (OT) yang memantau dan mengontrol peralatan industri.

Penemuan NAME: WRECK adalah upaya bersama dari perusahaan keamanan Forescout Enterprise of Things dan grup riset keamanan yang berbasis di Israel, JSOF, dan memengaruhi implementasi DNS di TCP/IP stack berikut:

FreeBSD (versi rentan: 12.1) – salah satu sistem operasi paling populer di keluarga BSD
IPnet (versi rentan: VxWorks 6.6) – awalnya dikembangkan oleh Interpeak, sekarang dalam pemeliharaan WindRiver dan digunakan oleh real-time operating system (RTOS) VxWorks
NetX (versi rentan: 6.0.1) – bagian dari ThreadX RTOS, sekarang menjadi proyek sumber terbuka yang dikelola oleh Microsoft dengan nama Azure RTOS NetX
Nucleus NET (versi rentan: 4.3) – bagian dari Nucleus RTOS yang dikelola oleh Mentor Graphics, bisnis Siemens, digunakan dalam perangkat medis, industri, konsumen, dirgantara, dan Internet of Things

Menurut Forescout, dalam skenario hipotetis tetapi masuk akal, pelaku ancaman dapat mengeksploitasi kerentanan NAME: WRECK untuk menangani kerusakan signifikan pada server pemerintah atau perusahaan, fasilitas kesehatan, pengecer, atau perusahaan dalam bisnis manufaktur dengan mencuri data sensitif, memodifikasi atau menjadikan peralatan offline untuk tujuan sabotase.

Penyerang juga dapat merusak fungsi bangunan penting di lokasi perumahan atau komersial untuk mengontrol pemanas dan ventilasi, menonaktifkan sistem keamanan atau merusak sistem pencahayaan otomatis.

Selengkapnya: Bleeping Computer

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

April 1, 2021 by Winnie the Pooh

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer

Chromium membersihkan tindakannya – dan kueri server root DNS harian turun hingga 60 miliar

February 5, 2021 by Winnie the Pooh

Proyek Chromium yang disponsori Google telah membereskan tindakannya, dan hasilnya adalah permintaan yang menurun tajam ke server root DNS.

Seperti yang dilaporkan The Register pada Agustus 2020, browser berbasis Chromium menghasilkan banyak lalu lintas DNS saat mereka mencoba menentukan apakah masukan ke dalam omnibox mereka adalah nama domain atau kueri penelusuran.

Engineer Verisign, Matthew Thomas dan Duane Wessels memeriksa lalu lintas yang dihasilkan dan mencapai kesimpulan bahwa itu menyumbang hingga 60 miliar kueri DNS setiap hari.

Di posnya Wessels mengatakan tim Chromium mendesain ulang kodenya untuk menghentikan permintaan DNS junk, dan merilis pembaruan di Chromium 87.

Hasilnya? “Sebelum perangkat lunak dirilis, sistem server root mencapai puncak ~ 143 miliar kueri per hari,” tulisnya. “Volume lalu lintas sejak itu menurun menjadi ~ 84 miliar kueri sehari. Ini mewakili lebih dari 41 persen pengurangan volume kueri secara total.”

Selengkapnya: The Register

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

January 21, 2021 by Winnie the Pooh

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

July 15, 2020 by Winnie the Pooh

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

Kerentanan Baru DNS Yang Memungkinkan Penyerang Meluncurkan Serangan DDoS Skala Besar

May 20, 2020 by Winnie the Pooh

Peneliti keamanan cyber Israel telah mengungkapkan rincian tentang celah keamanan baru yang berdampak pada protokol DNS yang dapat dieksploitasi untuk meluncurkan serangan denial-of-service (DDoS) berskala besar untuk men-takedown situs-situs web yang ditargetkan.

Disebut NXNSAttack, celah bergantung pada mekanisme delegasi DNS untuk memaksa resolver DNS untuk menghasilkan lebih banyak permintaan DNS ke server authoritative pilihan penyerang, berpotensi menyebabkan gangguan skala botnet untuk layanan online.

Setelah pengungkapan NXNSAttack, beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn yang dimiliki Oracle , Verisign, dan IBM Quad9, telah menambal perangkat lunak mereka untuk mengatasi masalah tersebut.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Hacker News

Cloudflare memperkenalkan resolver DNS gratis untuk memblokir konten malware dan dewasa

April 3, 2020 by Winnie the Pooh

Untuk membuat penelusuran web lebih aman melalui resolvernya, Cloudflare telah memperkenalkan layanan baru yang dapat memblokir konten malware dan dewasa, dijuluki “keluarga 1.1.1.1”.

Cloudflare mengatakan bahwa setelah pengenalan layanan 1.1.1.1, banyak orang telah meminta opsi pemblokiran untuk konten malware dan dewasa di tingkat DNS. Itu sebabnya perusahaan telah memutuskan untuk membuat dua layanan DNS tambahan: 1.1.1.2 untuk memblokir server yang mendistribusikan malware, dan 1.1.1.3 untuk memblokir konten dewasa dan malware.

Anda dapat mengatur DNS tersebut di router rumah Anda dan menggunakan layanan DNS 1.1.1.1 biasa pada ponsel Anda yang berjalan pada Android 9 dan lebih tinggi, tetapi resolver baru tampaknya belum didukung. Petunjuk untuk OS desktop juga tersedia di situs web Cloudflare.

Perusahaan juga telah berjanji akan menawarkan opsi konfigurasi tambahan, seperti daftar putih dan daftar hitam untuk situs web tertentu yang lengkap dengan jadwal khusus, sehingga Anda dan anak-anak Anda hanya dapat mengakses media sosial pada waktu tertentu.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Android Police

Serangan Siber Yang Menargetkan Home Router Dan Membuat Penggunanya Masuk ke Situs Palsu

March 27, 2020 by Winnie the Pooh

Peretasan router yang baru-baru ini ditemukan mengarahkan pengguna ke situs berbahaya yang menyamar sebagai sumber informasi COVID-19 dalam upaya untuk menginstal malware yang mencuri kata sandi dan kredensial cryptocurrency, kata para peneliti, hari Rabu kemari.

Perusahaan keamanan Bitfender mengatakn bahwa peretasan itu terjadi pada router Linksys, meskipun BleepingComputer, yang melaporkan serangan itu 3 hari yang lalu, mengatakan kampanye itu juga menargetkan perangkat D-Link.

Masih belum jelas bagaimana penyerang mengkompromikan router router tersebut. Namun setelah dikompromikan, ini memungkinkan penyerang untuk menunjuk server DNS yang digunakan pada perangkat tersebut. Dengan mengirim perangkat ke server DNS yang menyediakan pencarian palsu, penyerang dapat mengarahkan orang ke situs jahat yang di dalamnya terdapat malware atau yang berupaya untuk memalsukan kata sandi.

Jika korban sudah masuk ke dalam situs jahat yg mengklaim adalah penyedia informasi mengenai COVID-19 dan mengklik tombol unduh pada akhirnya dialihkan ke salah satu dari beberapa halaman Bitbucket yang menawarkan file yang menginstal malware. Dikenal sebagai Oski, malware yang relatif baru mengekstrak kredensial browser, alamat dompet cryptocurrency, dan kemungkinan jenis informasi sensitif lainnya.

Untuk mencegah serangan pada router, matikan remote administration. Jika fitur ini benar-benar diperlukan, fitur ini hanya boleh digunakan oleh pengguna yang berpengalaman dan dilindungi oleh kata sandi yang kuat. Akun cloud — yang juga memungkinkan untuk mengelola router dari jarak jauh — harus mengikuti pedoman yang sama. Selain itu, orang harus sering memastikan bahwa firmware router selalu diperbarui.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Ars Techinca | GB Hackers

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

DNS

MITIGASI

Cookies Settings