DoS

Cisco mengungkapkan kerentanan zero-day tingkat tinggi pada IP Phone dengan exploit code

December 13, 2022 by Coffee Bean

Cisco hari ini mengungkapkan kerentanan zero-day dengan tingkat keparahan tinggi yang memengaruhi generasi terbaru telepon IP-nya dan membuat mereka terkena eksekusi kode jarak jauh dan serangan denial of service (DoS).

Namun, PSIRT Cisco menambahkan bahwa pihaknya belum mengetahui adanya upaya untuk mengeksploitasi kelemahan keamanan ini dalam serangan.

CVE-2022-20968, saat kelemahan keamanan dilacak, disebabkan oleh validasi input yang tidak mencukupi dari paket Cisco Discovery Protocol yang diterima, yang dapat dieksploitasi oleh penyerang yang berdekatan dan tidak diautentikasi untuk memicu stack overflow.

Perangkat yang terpengaruh termasuk telepon IP Cisco yang menjalankan firmware Seri 7800 dan 8800 versi 14.2 dan sebelumnya.

Mitigasi tersedia untuk beberapa perangkat

Meskipun pembaruan keamanan untuk mengatasi CVE-2022-20968 atau solusinya belum tersedia, Cisco memberikan saran mitigasi untuk admin yang ingin mengamankan perangkat yang rentan di lingkungannya dari potensi serangan.

Ini memerlukan penonaktifan Cisco Discovery Protocol pada perangkat IP Phone 7800 dan 8800 Series yang terpengaruh yang juga mendukung Link Layer Discovery Protocol (LLDP) untuk penemuan tetangga.

“Perangkat kemudian akan menggunakan LLDP untuk menemukan data konfigurasi seperti VLAN suara, negosiasi daya, dan sebagainya,” jelas Cisco dalam penasehat keamanan yang diterbitkan Kamis.
Admin yang ingin menerapkan mitigasi ini disarankan untuk menguji keefektifan dan penerapannya di lingkungan mereka.

Cisco memperingatkan bahwa “pelanggan tidak boleh menggunakan solusi atau mitigasi apa pun sebelum terlebih dahulu mengevaluasi penerapannya pada lingkungan mereka sendiri dan dampak apa pun terhadap lingkungan tersebut.”

Sumber : bleeping computer

Serangan siber dilaporkan telah terjadi di bandara AS

October 12, 2022 by Winnie the Pooh

Beberapa bandara terbesar di AS telah menjadi sasaran serangan siber pada hari Senin oleh seorang penyerang di Federasi Rusia, seorang pejabat senior menjelaskan tentang situasi yang dikonfirmasi kepada ABC News.

Lebih dari selusin situs web bandara terkena dampak serangan “denial of service”, John Hultquist, kepala analisis intelijen di perusahaan keamanan siber Mandiant, mengatakan kepada ABC News. Jenis serangan itu pada dasarnya membebani situs dengan membuat mereka macet dengan pengguna buatan.

“Killnet,” kelompok peretas pro-Rusia, diyakini berada di balik serangan itu, menurut Hultquist. Sementara kelompok serupa telah ditemukan menjadi front bagi aktor yang didukung negara, Hultquist mengatakan tidak ada bukti bahwa pemerintah Rusia terlibat dalam mengarahkan serangan ini.

Serangan pertama kali dilaporkan sekitar pukul 3 pagi ET ketika Otoritas Pelabuhan memberi tahu Badan Keamanan Cybersecurity dan Infrastruktur bahwa sistem Bandara LaGuardia telah diserang. LaGuardia telah dipulihkan, tetapi bandara lain di seluruh negeri kemudian menjadi sasaran.

Kelompok “Killnet” telah aktif sejak awal perang di Ukraina, menargetkan sekutu Ukraina dan baru-baru ini mengklaim kredit karena menghapus situs web pemerintah di AS. Mereka beroperasi secara internasional dan diketahui melakukan serangan di seluruh Eropa, menurut pakar keamanan siber.

Selengkapnya: ABC News

Cacat Penumpukan VLAN Ethernet memungkinkan peretas meluncurkan serangan DoS, MiTM

September 29, 2022 by Eevee

Empat kerentanan dalam fitur Ethernet ‘Stacked VLAN’ yang diadopsi secara luas memungkinkan penyerang melakukan serangan denial-of-service (DoS) atau man-in-the-middle (MitM) terhadap target jaringan menggunakan paket yang dibuat khusus.

Stacked VLAN, juga dikenal sebagai VLAN Stacking, adalah fitur di router dan switch modern yang memungkinkan perusahaan untuk merangkum beberapa ID VLAN ke dalam satu koneksi VLAN yang dibagikan dengan penyedia upstream.

Kerentanan mempengaruhi perangkat jaringan seperti switch, router, dan sistem operasi yang menggunakan kontrol keamanan Layer-2 (L2) untuk menyaring lalu lintas untuk isolasi jaringan virtual.

Cisco dan Juniper Networks telah mengkonfirmasi bahwa beberapa produk mereka terpengaruh oleh kekurangan tersebut, tetapi banyak vendor perangkat belum menyelesaikan penyelidikan mereka; maka dampak keseluruhan tetap tidak diketahui.

Kerentanan ada dalam protokol enkapsulasi Ethernet yang memungkinkan penumpukan header Virtual Local Area Network (VLAN).

Penyerang yang berdekatan dan tidak diautentikasi dapat menggunakan kombinasi header VLAN dan LLC/SNAP untuk melewati perlindungan pemfilteran jaringan L2 seperti pelindung RA IPv6, inspeksi ARP dinamis, perlindungan penemuan tetangga IPv6, dan pengintaian DHCP.

Empat kerentanan tersebut adalah:

CVE-2021-27853 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA atau inspeksi ARP dapat dilewati menggunakan kombinasi header VLAN 0 dan header LLC/SNAP.
CVE-2021-27854 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA dapat dilewati menggunakan kombinasi header VLAN 0, header LLC/SNAP dalam terjemahan bingkai Ethernet ke Wifi, dan kebalikan dari Wifi ke Ethernet.
CVE-2021-27861 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung RA IPv6 dapat dilewati menggunakan header LLC/SNAP dengan panjang yang tidak valid (dan opsional header VLAN0).
CVE-2021-27862 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA dapat dilewati menggunakan header LLC/SNAP dengan panjang yang tidak valid dan konversi frame Ethernet ke Wifi (dan header VLAN0 opsional).

Dengan mengeksploitasi salah satu kelemahan ini secara independen, penyerang dapat menipu perangkat target untuk merutekan lalu lintas ke tujuan yang berubah-ubah.

Yang terakhir adalah skenario yang lebih parah, karena penyerang dapat mengamati lalu lintas jaringan dan mengakses informasi sensitif jika data tidak dienkripsi.

Satu hal yang perlu diperhatikan adalah bahwa dalam produk virtualisasi dan jaringan virtual berbasis cloud modern, kemampuan jaringan L2 melampaui LAN, sehingga paparan kelemahan ini dapat diperluas ke internet.

Juniper Networks mengonfirmasi bahwa CVE-2021-27853 dan CVE-2021-27854 memengaruhi beberapa produknya dan merilis pembaruan keamanan pada 25 Agustus 2022.

Cisco merilis buletin keamanan kemarin yang mengonfirmasi bahwa banyak produk jaringannya terpengaruh oleh CVE-2021-27853 dan CVE-2021-27861.

Produk yang terpengaruh termasuk sakelar, router, dan perangkat lunak, tetapi perbaikan untuk sebagian besar dari mereka tidak akan tersedia sesuai dengan tabel di penasehat.

Semua admin jaringan disarankan untuk memeriksa dan membatasi protokol yang digunakan pada port akses, mengaktifkan semua kontrol keamanan antarmuka yang tersedia, memeriksa dan memblokir iklan router, dan menerapkan pembaruan keamanan vendor segera setelah tersedia.

Sumber: Bleeping Computer

Docker Dalam Kepungan: Penjahat Cyber Mengkompromikan Honeypots untuk Meningkatkan Serangan

May 12, 2022 by Eevee

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

November 24, 2021 by Winnie the Pooh

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Peneliti keamanan memperingatkan kelemahan tumpukan TCP/IP dalam perangkat teknologi operasional

August 6, 2021 by Winnie the Pooh

Kerentanan keamanan dalam protokol komunikasi yang digunakan oleh sistem kontrol industri dapat memungkinkan penyerang dunia maya untuk merusak atau mengganggu layanan, serta mengakses data di jaringan.

Dijuluki INFRA:HALT, kumpulan 14 kerentanan keamanan telah dirinci oleh peneliti keamanan siber di Forescout Research Labs dan JFrog Security Research, yang memperingatkan bahwa jika dibiarkan, kelemahan tersebut dapat memungkinkan eksekusi kode jarak jauh, penolakan layanan, atau bahkan kebocoran informasi.

Semua kerentanan terkait dengan tumpukan TCP/IP – protokol komunikasi yang biasa digunakan di perangkat yang terhubung – di NicheStack, digunakan di seluruh teknologi operasional (OT) dan infrastruktur industri.

Beberapa kerentanan yang baru ditemukan berusia lebih dari 20 tahun, masalah umum dalam teknologi operasional, yang masih sering berjalan pada protokol yang dikembangkan dan diproduksi bertahun-tahun yang lalu.

Forescout telah merinci setiap kerentanan dalam posting blog – mereka terkait dengan proses paket yang salah yang memungkinkan penyerang mengirim instruksi untuk membaca atau menulis di bagian memori yang seharusnya tidak.

Semua versi NicheStack sebelum versi 4.3, termasuk NicheLite, dipengaruhi oleh kerentanan, yang telah diungkapkan ke HCC Embedded, yang mengakuisisi NicheStack pada 2016.

Bleum pasti berapa total perangkat OT yang rentan, tetapi para peneliti dapat mengidentifikasi lebih dari 6.400 perangkat yang rentan dengan menggunakan Shodan, mesin pencari Internet of Things.

Untuk membantu melindungi teknologi operasional dari segala jenis serangan siber, para peneliti di Forescout merekomendasikan agar segmentasi jaringan diterapkan, sehingga teknologi operasional yang tidak perlu terpapar ke internet tidak dapat ditemukan dari jarak jauh – dan teknologi yang tidak perlu terhubung ke internet sama sekali berada di jaringan yang terpisah dengan celah udara.

Selengkapnya: ZDNet

Celah Keamanan Baru TsuNAME Dapat Membiarkan Penyerang Menghancurkan Server DNS Authoritative

May 10, 2021 by Winnie the Pooh

Peneliti keamanan pada hari Kamis mengungkapkan kerentanan kritis baru yang memengaruhi resolver Domain Name System (DNS) yang dapat dimanfaatkan oleh musuh untuk melakukan serangan denial-of-service berbasis refleksi terhadap authoritative nameservers.

Celah keamanan, yang disebut ‘TsuNAME,’ ditemukan oleh peneliti dari SIDN Labs dan InternetNZ, yang mengelola domain internet tingkat atas nasional ‘.nl’ dan ‘.nz’ masing-masing untuk Belanda dan Selandia Baru.

Dengan TsuNAME, idenya adalah bahwa kesalahan konfigurasi selama pendaftaran domain dapat membuat putaran ketergantungan sehingga record nameserver untuk dua zona menunjuk satu sama lain, menyebabkan resolver yang rentan untuk “hanya memantul kembali dari zona ke zona, mengirimkan kueri non-stop ke server authoritative dari kedua zona induk,” sehingga membanjiri server authoritative zona induk mereka.

Data yang dikumpulkan dari domain .nz menemukan bahwa dua domain yang salah dikonfigurasi saja menyebabkan peningkatan 50% dalam keseluruhan volume lalu lintas untuk server authoritative .nz.

Google Public DNS (GDNS) dan Cisco OpenDNS – yang disalahgunakan untuk menargetkan domain .nz dan .nl pada tahun 2020 – telah mengatasi masalah ini di perangkat lunak resolver DNS mereka.

Untuk mengurangi dampak TsuNAMI di alam liar, para peneliti telah menerbitkan alat sumber terbuka yang disebut CycleHunter yang memungkinkan operator server DNS authoritative untuk mendeteksi putaran ketergantungan.

Selengkapnya: The Hacker News

Bug Keamanan Memungkinkan Penyerang untuk Merusak Kubernetes Clusters

April 15, 2021 by Winnie the Pooh

Kerentanan di salah satu library Go yang menjadi dasar Kubernetes dapat menyebabkan denial of service (DoS) untuk mesin container CRI-O dan Podman.

Bug (CVE-2021-20291) memengaruhi library Go yang disebut “container/storage”. Menurut Aviv Sasson, peneliti keamanan di tim Unit 42 Palo Alto yang menemukan cacat tersebut, hal itu dapat dipicu dengan menempatkan gambar berbahaya di dalam registri; kondisi DoS dibuat saat gambar tersebut ditarik dari registri oleh pengguna yang tidak menaruh curiga.

CRI-O dan Podman adalah image container, mirip dengan Docker, yang digunakan untuk melakukan tindakan dan mengelola container di cloud. Library container/storage digunakan oleh CRI-O dan Podman untuk menangani penyimpanan dan pengunduhan gambar kontainer.

Ketika kerentanan dipicu, CRI-O gagal menarik gambar baru, memulai containers baru (bahkan jika sudah ditarik), mengambil daftar gambar lokal atau mematikan containers, menurut peneliti.

Sementara itu Podman akan gagal menarik gambar baru, mengambil pod yang sedang berjalan, memulai containers baru (bahkan jika sudah ditarik), mengeksekusi ke dalam containers, mengambil gambar yang ada atau mematikan containers yang ada, katanya.

Selengkapnya: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

DoS

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Cookies Settings