Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Firewall

Firewall

Lebih dari 4.000 perangkat Sophos Firewall rentan terhadap serangan RCE

by

Lebih dari 4.000 perangkat Sophos Firewall yang terpapar akses Internet rentan terhadap serangan yang menargetkan kerentanan eksekusi kode jarak jauh (RCE) kritis.

Sophos mengungkapkan cacat injeksi kode ini (CVE-2022-3236) yang ditemukan di Portal Pengguna dan Webadmin Sophos Firewall pada bulan September dan juga merilis hotfix untuk beberapa versi Sophos Firewall (perbaikan resmi dikeluarkan tiga bulan kemudian, pada Desember 2022).

Instans Sophos Firewall yang menjalankan versi produk lama harus ditingkatkan secara manual ke versi yang didukung untuk menerima hotfix CVE-2022-3236 secara otomatis.

Admin yang tidak dapat menambal perangkat lunak yang rentan juga dapat menghapus permukaan serangan dengan menonaktifkan akses WAN ke Portal Pengguna dan Webadmin.

Thousands of devices are still vulnerable
Saat memindai Internet untuk perangkat Sophos Firewall, peneliti kerentanan VulnCheck Jacob Baines menemukan bahwa dari lebih dari 88.000 kejadian, sekitar 6% atau lebih dari 4.000 menjalankan versi yang belum menerima perbaikan terbaru dan rentan terhadap serangan CVE-2022-3236.

Meskipun sudah dieksploitasi sebagai zero-day, eksploitasi proof-of-concept CVE-2022-3236 belum dipublikasikan secara online.

Namun, Baines mampu mereproduksi eksploit dari informasi teknis yang dibagikan oleh Zero Day Initiative (ZDI) dari Trend Micro, sehingga kemungkinan pelaku ancaman juga akan segera dapat melakukannya.

Tantangan CAPTCHA Firewall Sophos (Jacob Baines)

​Bug Firewall Sophos sebelumnya ditargetkan dalam serangan
Pada bulan Maret 2022, Sophos menambal bug Sophos Firewall kritis serupa (CVE-2022-1040) di modul Portal Pengguna dan Webadmin yang mengaktifkan pintasan autentikasi dan serangan eksekusi kode arbitrer.

Itu juga dieksploitasi dalam serangan sebagai hari nol sejak awal Maret (kira-kira tiga minggu sebelum Sophos merilis tambalan) terhadap organisasi Asia Selatan oleh kelompok ancaman China yang dilacak sebagai DriftingCloud.

sumber : bleepingcomputer

Bug zero-day Sophos Firewall dieksploitasi beberapa minggu sebelum diperbaiki

by

Peretas China menggunakan eksploitasi zero-day untuk kerentanan tingkat kritis di Sophos Firewall untuk menyusup ke perusahaan dan menembus server web yang dihosting cloud yang dioperasikan oleh korban.

Masalah keamanan telah diperbaiki sementara itu tetapi berbagai pelaku ancaman terus mengeksploitasinya untuk melewati otentikasi dan menjalankan kode arbitrer dari jarak jauh di beberapa organisasi.

Pada tanggal 25 Maret, Sophos menerbitkan nasihat keamanan tentang CVE-2022-1040, kerentanan bypass otentikasi yang memengaruhi Portal Pengguna dan Webadmin dari Sophos Firewall dan dapat dieksploitasi untuk mengeksekusi kode arbitrer dari jarak jauh.

Tiga hari kemudian, perusahaan memperingatkan bahwa pelaku ancaman memanfaatkan masalah keamanan untuk menargetkan beberapa organisasi di kawasan Asia Selatan.

Minggu ini, perusahaan keamanan siber Volexity merinci serangan dari kelompok ancaman persisten canggih China yang mereka lacak sebagai DriftingCloud, yang mengeksploitasi CVE-2022-1040 sejak awal Maret, sedikit lebih dari tiga minggu sebelum Sophos merilis patch.

Musuh menggunakan eksploitasi zero-day untuk mengkompromikan firewall untuk menginstal backdoor webshell dan malware yang akan memungkinkan kompromi sistem eksternal di luar jaringan yang dilindungi oleh Sophos Firewall.

DriftingCloud APT mengeksploitasi bug zero-day di Sophos Firewall (sumber: Volexity)

Ketika Volexity memulai penyelidikan, pelaku ancaman masih aktif dan para peneliti dapat memantau langkah-langkah serangan, mengungkapkan musuh canggih yang berusaha untuk tetap tidak terdeteksi.

Para peneliti mencatat bahwa penyerang mencoba memadukan lalu lintasnya dengan mengakses webshell yang diinstal melalui permintaan ke file “login.jsp” yang sah.

Menggali lebih dalam, para peneliti menemukan bahwa penyerang menggunakan kerangka Behinder, yang mereka yakini juga digunakan oleh grup APT China lainnya yang mengeksploitasi CVE-2022-26134 di server Confluence.

Terlepas dari webshell, Volexity menemukan lebih banyak aktivitas jahat yang memastikan kegigihan dan memungkinkan aktor ancaman untuk melakukan serangan lebih jauh:

  • Membuat akun pengguna VPN dan mengaitkan pasangan sertifikat di firewall untuk akses jaringan jarak jauh yang sah
  • Menulis “pre_install.sh” ke ‘/conf/certificate/’
  • “pre_install.sh” menjalankan perintah jahat untuk mengunduh biner, menjalankannya, lalu menghapusnya dari disk

Para peneliti mengatakan bahwa mendapatkan akses ke Sophos Firewall adalah langkah pertama serangan, memungkinkan musuh untuk melakukan aktivitas man-in-the-middle (MitM) dengan cara memodifikasi respons DNS untuk situs web tertentu yang dikelola oleh perusahaan korban.

Tampaknya penyerang berhasil dalam upaya ini karena mereka mengakses halaman admin CMS menggunakan cookie sesi yang dicuri dan menginstal plugin File Manager untuk menangani file di situs web (mengunggah, mengunduh, menghapus, mengedit).

Begitu mereka mendapatkan akses ke server web, peretas DriftingCloud memasang PupyRAT, Pantegana, dan Sliver – tiga keluarga malware untuk akses jarak jauh yang tersedia untuk umum.

Volexity menilai bahwa grup peretasan DriftingCloud cukup canggih untuk mengembangkan kerentanan zero-day, atau cukup dana untuk membelinya.

Sophos menyediakan hotfix yang menangani CVE-2022-1040 secara otomatis serta mitigasi yang membantu organisasi yang menggunakan firewallnya melindungi dari eksploitasi kerentanan.

Untuk mengidentifikasi serangan serupa, Volexity merekomendasikan penggunaan mekanisme pemantauan keamanan jaringan yang mendeteksi dan mencatat lalu lintas dari perangkat gateway.

Perusahaan juga merekomendasikan penggunaan alat auditd pada server berbasis Unix untuk menyelidiki kompromi dengan lebih mudah. Vendor atau perangkat perimeter juga harus menyediakan metode untuk memeriksa potensi kompromi.

Volexity juga menyediakan seperangkat aturan YARA yang dapat menandai aktivitas mencurigakan dari jenis serangan ini.

Sumber: Bleeping Computer

Zyxel memperingatkan kelemahan yang memengaruhi firewall, AP, dan pengontrol

by

Zyxel telah menerbitkan penasihat keamanan untuk memperingatkan admin tentang beberapa kerentanan yang memengaruhi berbagai produk firewall, AP, dan pengontrol AP.

Meskipun kerentanan tidak dinilai kritis, kerentanan itu sendiri masih signifikan dan dapat disalahgunakan oleh aktor ancaman sebagai bagian dari rantai eksploitasi.

Organisasi besar menggunakan produk Zyxel, dan setiap kelemahan yang dapat dieksploitasi di dalamnya segera menarik perhatian pelaku ancaman.

Empat kelemahan yang diungkapkan dalam penasehat Zyxel adalah sebagai berikut:

  • CVE-2022-0734: Kerentanan skrip lintas situs dengan tingkat keparahan sedang (CVSS v3.1 – 5.8) dalam komponen CGI, memungkinkan penyerang menggunakan skrip pencurian data untuk mengambil cookie dan token sesi yang disimpan di browser pengguna.
  • CVE-2022-26531: Tingkat keparahan sedang (CVSS v3.1 – 6.1) cacat validasi yang tidak tepat di beberapa perintah CLI, memungkinkan penyerang terotentikasi lokal menyebabkan buffer overflow atau sistem crash.
  • CVE-2022-26532: Cacat injeksi perintah tingkat keparahan tinggi (CVSS v3.1 – 7.8) di beberapa perintah CLI, memungkinkan penyerang terotentikasi lokal untuk mengeksekusi perintah OS yang sewenang-wenang.
  • CVE-2022-0910: Tingkat keparahan sedang (CVSS v3.1 – 6.5) otentikasi memotong kerentanan dalam komponen CGI, memungkinkan penyerang untuk menurunkan versi dari otentikasi dua faktor ke otentikasi satu faktor melalui klien VPN IPsec.

    • Kerentanan di atas berdampak pada USG/ZyWALL, USG FLEX, ATP, VPN, firewall NSG, pengontrol AP NXC2500 dan NXC5500, dan berbagai produk Titik Akses, termasuk model seri NAP, NWA, WAC, dan WAX.

    Produk firewall yang terkena dampak (Zyxel)

    Zyxel telah merilis pembaruan keamanan yang mengatasi masalah untuk sebagian besar model yang terpengaruh.

    Namun, admin harus meminta perbaikan terbaru dari perwakilan layanan lokal mereka untuk pengontrol AP karena perbaikan tidak tersedia untuk umum.

    Untuk firewall, USG/ZyWALL mengatasi masalah dengan firmware versi 4.72, USG FLEX, ATP, dan VPN harus ditingkatkan ke ZLD versi 5.30, dan produk NSG menerima perbaikan melalui v1.33 patch 5.

    Meskipun kerentanan ini tidak kritis, tetap sangat disarankan agar admin jaringan memutakhirkan perangkat mereka sesegera mungkin.

    Sumber: Bleeping Computer

Zyxel diam-diam memperbaiki kerentanan RCE kritis dalam produk firewall

by

Analis ancaman yang menemukan kerentanan yang memengaruhi beberapa produk Zyxel melaporkan bahwa perusahaan peralatan jaringan memperbaikinya melalui pembaruan diam yang dikeluarkan dua minggu lalu.

Lebih khusus lagi, peneliti keamanan di Rapid7 menemukan kelemahan tersebut, yang sekarang dilacak sebagai CVE-2022-30525 (skor CVSS v3: 9,8 – kritis), dan mengungkapkannya kepada Zyxel pada 13 April 2022.

Cacatnya adalah injeksi perintah jarak jauh yang tidak diautentikasi melalui antarmuka HTTP, yang memengaruhi firewall Zyxel yang mendukung Zero Touch Provisioning (ZTP). Versi firmware yang terpengaruh adalah ZLD5.00 hingga ZLD5.21 Patch 1.

CVE-2022-30525 berdampak pada model berikut:

USG FLEX 50, 50W, 100W, 200, 500, 700 menggunakan firmware 5.21 ke bawah
USG20-VPN dan USG20W-VPN menggunakan firmware 5.21 ke bawah
ATP 100, 200, 500, 700, 800 menggunakan firmware 5.21 dan di bawah
Produk ini biasanya digunakan di cabang kecil dan kantor pusat perusahaan untuk VPN, inspeksi SSL, perlindungan intrusi, keamanan email, dan pemfilteran web.

“Perintah dijalankan sebagai pengguna “bukan siapa-siapa”. Kerentanan ini dieksploitasi melalui /ztp/cgi-bin/handler URI dan merupakan hasil dari meneruskan input penyerang yang tidak bersih ke dalam metode os.system di lib_wan_settings.py,” jelas laporan Rapid 7.

“Fungsi yang rentan dipanggil terkait dengan perintah setWanPortSt. Seorang penyerang dapat menyuntikkan perintah sewenang-wenang ke dalam mtu atau parameter data.”

Zyxel mengkonfirmasi laporan dan validitas cacat dan berjanji untuk merilis pembaruan keamanan perbaikan pada Juni 2022, namun mereka merilis tambalan pada 28 April 2022, tanpa memberikan nasihat keamanan, detail teknis, atau panduan mitigasi kepada pelanggannya.

Hari ini, Rapid 7 menerbitkan laporan pengungkapannya bersama dengan modul Metasploit yang sesuai yang mengeksploitasi CVE-2022-30525 dengan menyuntikkan perintah di bidang MTU.

Peneliti yang menemukan cacat dan mengembangkan eksploitasi yang berfungsi untuk pengujian, Jake Baines, juga telah menerbitkan video demonstrasi berikut.

Konsekuensi khas dari serangan semacam itu adalah modifikasi file dan eksekusi perintah OS, yang memungkinkan pelaku ancaman mendapatkan akses awal ke jaringan dan menyebar secara lateral melalui jaringan.

“Firewall Zxyel yang terpengaruh oleh CVE-2022-30525 adalah apa yang biasanya kami sebut sebagai “poros jaringan”. Eksploitasi CVE-2022-30525 kemungkinan akan memungkinkan penyerang membangun pijakan di jaringan internal korban,” kata Rapid7 kepada BleepingComputer.

“Contoh nyata dari serangan semacam ini adalah serangan Phineas Fisher terhadap Tim Peretasan, di mana Fisher mengeksploitasi firewall/VPN yang menghadap internet.”

“Setelah Fisher memiliki akses penuh ke firewall/VPN, mereka dapat berpindah secara lateral ke sistem internal (misalnya database MongoDB, penyimpanan NAS, server Exchange).”

Karena detail teknis dari kerentanan telah dirilis dan sekarang didukung oleh Metasploit, semua admin harus segera memperbarui perangkat mereka sebelum pelaku ancaman mulai secara aktif mengeksploitasi kelemahan tersebut.

Rapid 7 melaporkan bahwa pada saat penemuan, setidaknya ada 16.213 sistem rentan yang terpapar ke internet, menjadikan kerentanan ini sebagai target yang menarik bagi pelaku ancaman.

Hasil Shodan dari firewall Zyxel yang rentan (Rapid7)

Jika pembaruan ke versi terbaru yang tersedia tidak memungkinkan, Anda disarankan untuk setidaknya menonaktifkan akses WAN ke antarmuka web administratif produk yang terpengaruh.

Sumber: Bleeping Computer

BPFdoor: Malware Linux siluman melewati firewall untuk akses jarak jauh

by

Malware backdoor yang baru-baru ini ditemukan bernama BPFdoor telah diam-diam menargetkan sistem Linux dan Solaris tanpa diketahui selama lebih dari lima tahun.

BPFdoor adalah backdoor Linux/Unix yang memungkinkan pelaku ancaman untuk terhubung dari jarak jauh ke shell Linux untuk mendapatkan akses penuh ke perangkat yang disusupi.

Malware tidak perlu membuka port, tidak dapat dihentikan oleh firewall, dan dapat merespons perintah dari alamat IP mana pun di web, menjadikannya alat yang ideal untuk spionase perusahaan dan serangan terus-menerus.

BPFdoor adalah backdoor pasif, artinya dapat mendengarkan pada satu atau lebih port untuk paket masuk dari satu atau lebih host, yang dapat digunakan penyerang untuk mengirim perintah dari jarak jauh ke jaringan yang disusupi.

Malware menggunakan Berkeley Packet Filter (BPF dalam nama pintu belakang), yang bekerja pada antarmuka lapisan jaringan yang dapat melihat semua lalu lintas jaringan dan mengirim paket pengiriman ke tujuan mana pun.

Karena posisinya pada tingkat yang rendah, BPF tidak mematuhi aturan firewall apa pun.

Ini memiliki versi untuk sistem Linux dan Solaris SPARC tetapi dapat juga di-porting ke BSD, BleepingComputer belajar dari Craig Rowland, pendiri Sandfly Security, sebuah perusahaan yang menawarkan solusi tanpa agen untuk melindungi sistem Linux.

BPFdoor hanya mem-parsing paket ICMP, UDP, dan TCP, memeriksanya untuk nilai data tertentu, dan juga kata sandi untuk dua jenis paket terakhir.

Apa yang membuat BPFDoor menonjol adalah ia dapat memantau port mana pun untuk paket ajaib, bahkan jika port tersebut digunakan oleh layanan sah lainnya, seperti server web, FTP, atau SSH.

Jika paket TCP dan UDP memiliki data “ajaib” yang tepat dan kata sandi yang benar, pintu belakang akan beraksi dengan menjalankan perintah yang didukung, seperti menyiapkan pengikatan atau shell terbalik.

sumber: Sandfly Security

Beaumont memberi tahu kami bahwa paket ICMP tidak memerlukan kata sandi, yang memungkinkannya memindai internet untuk menjalankan implan pintu BPF menggunakan fungsi ping.

Peneliti dapat menemukan aktivitas BPFdoor di jaringan organisasi di berbagai geografi, terutama AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar.

Anehnya, ia menemukan 11 server Speedtest yang terinfeksi BPFdoor. Peneliti mengatakan bahwa tidak jelas bagaimana mesin ini disusupi, terutama karena mereka berjalan pada perangkat lunak sumber tertutup.

Rowland mencatat dalam laporan teknis komprehensif di BPFdoor bahwa malware menggunakan beberapa taktik anti-penghindaran yang cerdas: Selengkapnya

Peneliti mengatakan bahwa tujuan dari tanggal palsu bisa untuk menyembunyikan malware dari pencarian mencari file baru di sistem.

Mengubah aturan firewall sangat penting karena memungkinkan penyerang untuk berkomunikasi dengan pintu belakang melalui lalu lintas yang tidak dapat ditandai oleh firewall sebagai mencurigakan.

Rowland menjelaskan bahwa ketika host yang terinfeksi menerima paket BPFdoor khusus, malware “akan menelurkan instance baru dan mengubah aturan iptables lokal untuk melakukan pengalihan dari host yang meminta ke port shell.”

Untuk lebih memperjelas, Rowland mengatakan bahwa untuk shell lokal, malware memodifikasi konfigurasi ‘iptables’ untuk mengarahkan semua lalu lintas yang datang dari penyerang melalui port yang sah ke kisaran port yang ditentukan dalam malware.

Dengan cara ini, penyerang dapat memilih koneksi melalui port mana pun karena akan dialihkan ke shell di belakang firewall.

Sumber: Craig Rowland, Sandfly Security

Analisis teknis lain pada BPFdoor dari Tristan Pourcelot dari perusahaan intelijen ancaman dan respons insiden ExaTrack, mencatat bahwa malware tersebut hadir dengan beberapa nama hardcode yang cocok dengan string perintah di dalam paket yang relevan:

justtryit, justrobot, dan justforfun untuk membuat shell pengikatan pada port 42391 hingga 42491
socket atau sockettcp untuk mengatur shell terbalik ke alamat IP yang ada dalam paket

Pourcelot mengatakan bahwa aktor ancaman memperbarui BPFdoor secara teratur, meningkatkan setiap rilis dengan nama yang berbeda untuk perintah, proses, atau file.

Misalnya, varian implan yang lebih baru beralih dari menggunakan kata kunci perintah ke hash MD5, kemungkinan dalam upaya untuk menghindari deteksi sepele.

Setidaknya ada 21 versi BPFdoor yang saat ini terdeteksi di platform pemindaian Virus Total, yang paling awal dikirimkan pada Agustus 2018.

Sementara tingkat deteksi untuk implan ini meningkat, terutama setelah Beaumont, Rowland, dan Pourcelot mempublikasikan temuan mereka, malware tersebut hampir tidak terlihat untuk waktu yang lama.

Satu varian BPFdoor untuk Solaris dari 2019 tidak terdeteksi hingga setidaknya 7 Mei ini. Saat ini, 28 mesin antivirus menandainya sebagai berbahaya.

Kevin Beaumont, BleepingComputer

Dalam beberapa kasus, pendeteksian bersifat umum dan secara tidak akurat menandai varian Solaris di atas sebagai malware Linux, meskipun itu bukan biner Linux.

Tristan Pourcelot mengatakan bahwa meskipun BPFdoor tidak menggunakan teknik baru atau rumit, BPFdoor masih tetap tersembunyi untuk waktu yang lama.

Ini dapat dijelaskan oleh fakta bahwa teknologi pemantauan malware tidak umum di lingkungan Linux seperti di Windows. Juga, “vendor memiliki visibilitas yang jauh lebih sedikit,” kata Beaumont

Craig Rowland setuju bahwa ini adalah masalah besar. Bahkan jika ada pemantauan, orang tidak tahu apa yang harus dicari atau menggunakan pendekatan yang salah untuk menemukan malware Linux.

Peneliti memberi tahu kami bahwa beberapa administrator menggunakan hash kriptografis untuk memindai sistem dari malware atau file berbahaya. Ini tidak berfungsi dengan baik karena perubahan terkecil dalam file menghasilkan hash baru.

Rowland mengatakan bahwa berburu BPFdoor itu mudah, setidaknya untuk versi Linux yang dia analisis, karena taktiknya dengan jelas menunjukkan bahwa mereka “hanya berbahaya di luar kotak.”

Sumber: Craig Rowland, Keamanan Sandfly

Kode sumber untuk BPFdoor versi lama dari 2018 telah ditemukan oleh Florian Roth, pencipta pemindai THOR APT Sistem Nextron. Kode sekarang tersedia untuk umum di Pastebin.

Para peneliti BleepingComputer berbicara tentang BPFdoor tidak mengaitkan malware dengan aktor ancaman apa pun. Namun dalam laporan tahunan tentang ancaman siber, peneliti dari PricewaterhouseCoopers (PwC) mencatat bahwa mereka menemukan implan pintu BPF selama keterlibatan respons insiden.

PwC mengaitkan intrusi tersebut dengan aktor berbasis di China yang mereka lacak sebagai Red Menshen (sebelumnya Red Dev 18), yang telah menggunakan BPFdoor pada “penyedia telekomunikasi di seluruh Timur Tengah dan Asia, serta entitas di pemerintahan, pendidikan, dan logistik. sektor.”

Selama penyelidikan, peneliti PwC menemukan bahwa pada tahap pasca-eksploitasi serangan mereka, Red Menshen menggunakan varian khusus dari pintu belakang Mangzamel dan alat akses jarak jauh (RAT) Gh0st bersama dengan alat sumber terbuka seperti Mimikatz (untuk mengekstrak kredensial) dan Metasploit suite pengujian penetrasi, untuk gerakan lateral pada sistem Windows.

Para peneliti mencatat bahwa aktivitas Red Menshen berlangsung dalam interval waktu sembilan jam, antara pukul 01:00 dan 10:00 UTC, yang mungkin sejalan dengan jam kerja lokal.

Sumber: Bleeping Computer

Kesalahan Palo Alto Networks mengekspos kasus dukungan pelanggan, lampiran

by

Sebuah bug di dasbor dukungan Palo Alto Networks (PAN) mengekspos ribuan tiket dukungan pelanggan ke individu yang tidak berwenang, BleepingComputer telah mempelajarinya.

Informasi yang terungkap termasuk, nama dan informasi kontak (bisnis) dari orang yang membuat tiket dukungan, percakapan antara anggota staf Palo Alto Networks dan pelanggan.

Bukti yang dibagikan dengan BleepingComputer menunjukkan beberapa tiket dukungan berisi lampiran—seperti log firewall, konfigurasi dump, dan aset debug lainnya yang dibagikan dengan staf PAN oleh pelanggan.

Palo Alto Networks, penyedia terkemuka produk keamanan siber dan jaringan serta firewall, mengatakan kepada BleepingComputer bahwa masalah tersebut kini telah diperbaiki—sekitar delapan hari setelah dilaporkan.

Saat menyadari kesalahan akses, pelanggan memberi tahu BleepingComputer bahwa mereka segera memberi tahu Palo Alto Networks, baik dengan mengajukan “permintaan dukungan kritis” dan menghubungi anggota PAN tertentu di LinkedIn.

BleepingComputer menghubungi PAN untuk lebih memahami ruang lingkup dan dampak kebocoran data ini.

PAN mengatakan bahwa tidak ada data yang diunduh dan menyiratkan bahwa cakupan kebocoran tetap terbatas hanya pada satu pelanggan:

“Kami diberitahu tentang masalah yang memungkinkan pelanggan resmi untuk melihat sebagian kecil kasus dukungan, yang biasanya tidak dapat mereka lihat,” kata juru bicara Palo Alto Networks kepada BleepingComputer.

“Kami segera memulai penyelidikan dan mengidentifikasi itu karena kesalahan kesalahan konfigurasi izin dalam sistem pendukung.”

“Analisis kami mengkonfirmasi tidak ada data yang diunduh atau diubah, dan masalah ini segera diperbaiki.”

Namun, perhatikan, perbaikan bug memakan waktu sekitar delapan hari, setelah itu akses pelanggan tersebut ke 1.900 tiket yang tidak terkait dicabut.

PAN tidak menjawab apakah memberi tahu pelanggan yang informasinya terpengaruh oleh bug kebocoran data, atau jika berencana melakukannya.

Saat ini, perusahaan mengatakan, tidak ada tindakan pelanggan yang diperlukan dan yakin bahwa produk dan layanannya aman.

Selengkapnya: Bleeping Computer

Peringatan keamanan: Peretas menggunakan malware baru ini untuk menargetkan peralatan firewall

by

Peretas yang terkait dengan militer Rusia mengeksploitasi kerentanan keamanan di firewall untuk menyusup ke jaringan dan menginfeksi mereka dengan malware, memungkinkan mereka untuk mendapatkan akses dari jarak jauh.

Peringatan oleh Pusat Keamanan Siber Nasional Inggris (NCSC), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA) dan Biro Investigasi Federal (FBI) telah merinci malware baru, Cyclops Blink, yang menghubungkannya ke Sandworm, operasi peretasan ofensif yang sebelumnya mereka tautkan ke GRU Rusia.

Analisis oleh NCSC menggambarkan Cyclops Blink sebagai “malware yang sangat canggih” yang telah “dikembangkan secara profesional”.

Cyclops Blink tampaknya menjadi pengganti VPNFilter, malware yang digunakan oleh kelompok peretas Rusia yang terkait dengan negara dalam serangan luas yang digunakan untuk mengkompromikan perangkat jaringan, terutama router, untuk mengakses jaringan.

Menurut NCSC, CISA, FBI dan NSA, Cyclops Blink telah aktif setidaknya sejak Juni 2019, dan seperti VPNFilter sebelumnya, penargetan digambarkan sebagai “tidak pandang bulu dan tersebar luas” dengan kemampuan untuk mendapatkan akses jarak jauh yang persisten ke jaringan.

Itu juga dapat mengunggah dan mengunduh file dari mesin yang terinfeksi dan bersifat modular, memungkinkan fungsionalitas baru ditambahkan ke malware yang sudah berjalan.

Serangan dunia maya terutama difokuskan pada perangkat firewall WatchGuard, tetapi agensi memperingatkan bahwa Sandworm mampu mengarahkan kembali malware untuk menyebarkannya melalui arsitektur dan firmware lain.

Cyclops Blink tetap ada saat reboot dan selama proses pembaruan firmware yang sah. Ini menargetkan perangkat WatchGuard yang dikonfigurasi ulang dari pengaturan default pabrikan untuk membuka antarmuka manajemen jarak jauh ke akses eksternal.

Infeksi tidak berarti organisasi adalah target utama, tetapi mungkin saja mesin yang terinfeksi dapat digunakan untuk melakukan serangan tambahan.

NCSC mendesak organisasi yang terkena dampak untuk mengambil langkah-langkah untuk menghapus malware, yang telah dirinci oleh WatchGuard.

NCSC memperingatkan bahwa setiap kata sandi yang ada pada perangkat yang terinfeksi oleh Cyclops Blink harus dianggap telah disusupi dan harus diubah.

Saran lain tentang melindungi jaringan dari serangan dunia maya termasuk menghindari paparan antarmuka manajemen perangkat jaringan ke internet, menjaga perangkat tetap up to date dengan patch keamanan terbaru dan menggunakan otentikasi multi-faktor.

Sumber :

NAT Slipstreaming v2.0: Varian Serangan Baru Dapat Memaparkan Semua Perangkat Jaringan Internal ke Internet

by

Sumber: Armis

Peneliti Armis Ben Seri dan Gregory Vishnepolsky telah menemukan varian baru untuk teknik bypass NAT yang dikenal sebagai NAT Slipstreaming, dan telah bekerja dengan peneliti keamanan Samy Kamkar (yang awalnya mengungkapkan teknik tersebut pada 31 Oktober 2020) untuk lebih memahami serangan tersebut, dan memitigasi serangan tersebut.

Penemuan baru ini mencakup metode untuk melewati NAT dan firewall untuk menjangkau perangkat apa pun di jaringan internal. Sementara serangan asli sebagian dimitigasi oleh tambalan dari browser, varian baru memperkenalkan teknik primitif tambahan yang melewati mitigasi ini.

Dampak serangan terhadap perangkat yang tidak dikelola dapat menjadi parah, mulai dari gangguan hingga serangan ransomware yang sangat parah.

NATs/firewall tingkat perusahaan dari Fortinet, Cisco, dan HPE dipastikan terpengaruh, sementara yang lain kemungkinan juga terpengaruh.

Kolaborasi tersebut menghasilkan pengungkapan keamanan dengan vendor browser untuk mengurangi serangan tersebut. Google, Apple, Mozilla dan Microsoft telah merilis tambalan untuk Chrome, Safari, Firefox dan Edge, yang memitigasi varian baru ini.

Selama sebulan terakhir, semua browser yang disebutkan di atas telah merilis versi yang berisi mitigasi terhadap serangan ini (Chrome v87.0.4280.141, Firefox v85.0, Safari v14.0.3). Browser Microsoft Edge sekarang juga ditambal, karena bergantung pada kode sumber Chromium. Chromium melacak varian baru melalui CVE-2020-16043, sementara Firefox melacaknya melalui CVE-2021-23961.

Selengkapnya: Armis