Keamanan Siber

Bug Log4j Dimanfaatkan Oleh Ransomware Gang Untuk Menyerang Server Minecraft

December 17, 2021 by Winnie the Pooh

Sejumlah kecil pelanggan Minecraft yang menjalankan server mereka sendiri dengan versi Log4j yang rentan telah terkena ransomware Khonsari, Microsoft melaporkan pada hari Rabu.

Raksasa perangkat lunak yang berbasis di Redmond, Wash. mengatakan bahwa musuh telah mengirim pesan berbahaya dalam game ke server Minecraft yang rentan. Server kemudian mengeksploitasi kerentanan Log4j untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server serta klien rentan yang terhubung, menurut Microsoft.

“Karena pergeseran lanskap ancaman, Microsoft mengulangi panduan bagi pelanggan Minecraft yang menjalankan server mereka sendiri untuk menerapkan pembaruan server Minecraft terbaru dan bagi pemain untuk berhati-hati dengan hanya menghubungkan ke server Minecraft yang tepercaya,” tulis tim intelijen ancaman terpadu Microsoft dalam sebuah posting blog.

Ransomware Khonsari dikemas sebagai Java class file berbahaya dan dieksekusi dalam konteks javaw.exe untuk menebus perangkat. Microsoft mengatakan temuannya mengkonfirmasi laporan sebelumnya dari Bucharest, Bitdefender yang berbasis di Rumania bahwa Khonsari ransomware dikirimkan sebagai muatan setelah eksploitasi kerentanan Log4j.

Minecraft telah mengarahkan pelanggan yang menghosting server mereka sendiri untuk mengunduh file ke direktori kerja tempat server mereka berjalan atau menambahkan argumen JVM ke baris perintah startup mereka tergantung pada versi yang mereka gunakan. Selain itu, klien yang dimodifikasi dan launcher pihak ketiga mungkin tidak diperbarui secara otomatis, dan Minecraft telah memberi tahu pengguna dalam posisi itu untuk mengikuti saran dari penyedia pihak ketiga mereka.

Selengkapnya: CRN

Peretas Mulai Mengeksploitasi Kerentanan Log4j Kedua sebagai Munculnya Cacat Ketiga

December 17, 2021 by Winnie the Pooh

Perusahaan infrastruktur web Cloudflare pada hari Rabu mengungkapkan bahwa aktor ancaman secara aktif mencoba untuk mengeksploitasi bug kedua yang diungkapkan dalam utilitas logging Log4j yang banyak digunakan, sehingga sangat penting bagi pelanggan untuk bergerak cepat untuk menginstal versi terbaru karena rentetan serangan terus menghantam sistem yang belum ditambal dengan berbagai malware.

Lebih mengkhawatirkan lagi, para peneliti di firma keamanan Praetorian memperingatkan kelemahan keamanan ketiga yang terpisah di Log4j versi 2.15.0 yang dapat “memungkinkan eksfiltrasi data sensitif dalam keadaan tertentu.” Rincian teknis tambahan dari cacat telah dirahasiakan untuk mencegah eksploitasi lebih lanjut, tetapi belum jelas apakah ini telah diatasi dalam versi 2.16.0.

Perkembangan terbaru datang ketika kelompok ancaman persisten canggih dari China, Iran, Korea Utara, dan Turki, termasuk Hafnium dan Fosfor, telah terjun ke medan untuk mengoperasionalkan kerentanan dan menemukan dan terus mengeksploitasi sebanyak mungkin sistem yang rentan untuk serangan lanjutan. Lebih dari 1,8 juta upaya untuk mengeksploitasi kerentanan Log4j telah dicatat sejauh ini.

Meskipun biasanya pelaku ancaman melakukan upaya untuk mengeksploitasi kerentanan yang baru diungkapkan sebelum diperbaiki, kelemahan Log4j menggarisbawahi risiko yang timbul dari rantai pasokan perangkat lunak ketika bagian utama dari perangkat lunak digunakan dalam berbagai produk di beberapa vendor dan disebarkan oleh pelanggan mereka di seluruh dunia.

Selengkapnya: The Hacker News

Analisis: Kerentanan Log4j Menyoroti Nilai Defense-in-Depth, Inventaris Akurat

December 17, 2021 by Winnie the Pooh

Banyak tim keamanan telah bekerja keras selama beberapa hari terakhir untuk menilai dan mengatasi paparan organisasi mereka terhadap CVE-2021-44228, alias “Log4Shell,” sebuah kelemahan yang diungkapkan dalam library logging berbasis Java Log4j yang populer.

Insiden ini adalah satu lagi dalam rangkaian panjang serangan rantai pasokan, kemungkinan besar melampaui kompromi rantai pasokan perangkat lunak SolarWinds pada akhir 2020 dalam hal dampak keseluruhannya.

Ini menyoroti nilai besar dari inventaris yang akurat dan tepat waktu, pada berbagai tingkat abstraksi. Secara khusus, terkait dengan Log4j, tantangannya signifikan; adalah perpustakaan yang digunakan secara luas yang sering kali tidak hanya ada di banyak sistem tetapi juga dapat dipanggil dari lokasi yang berbeda.

Dengan inventaris komponen perangkat lunak, pembuat perangkat lunak dapat mengambil langkah-langkah untuk mengidentifikasi masalah ini dengan cepat, dan salah satu metode tersebut adalah konsep yang disebut software bill of materials (SBOM) — deskripsi yang akurat, tepat waktu, dan mudah dikonsumsi dari blok bangunan dasar komponen perangkat lunak.

Untuk vendor, SBOM dapat membantu mereka mendapatkan informasi tepat waktu kepada pelanggan mereka tentang apakah produk tertentu terpengaruh. Untuk pengguna akhir, memiliki SBOM yang tepat untuk aplikasi utama secara signifikan memperpendek siklus triase, karena mereka berpotensi mengambil tindakan untuk membatasi akses ke aplikasi yang terpengaruh, atau bahkan menjadikannya offline, hingga perbaikan tersedia.

Prinsip-prinsip keamanan yang telah terbukti, seperti defense-in-depth dan hak istimewa yang paling rendah, juga memiliki peran yang kuat untuk dimainkan. Banyak tim keamanan memahami konsep ini dengan baik dan ingin menerapkannya pada perangkat lunak dan penyebaran solusi organisasi mereka, tetapi mereka sering mendapat penolakan dari pemangku kepentingan lain, atau kekurangan sumber daya untuk menerapkannya.

Hak istimewa terendah juga memainkan peran kunci, di tingkat host, aplikasi, dan jaringan. Di tingkat host, hak istimewa dan kemampuan aktual apa yang benar-benar dibutuhkan oleh proses yang memanfaatkan Log4j? Semakin, penggunaan prinsip-prinsip hak istimewa paling rendah ditambah pemantauan perilaku bersama perlindungan runtime dapat bertindak sebagai kombinasi yang kuat untuk menahan dampak dari sistem yang dieksploitasi.

Selengkapnya: Dark Reading

Emotet mulai menjatuhkan Cobalt Strike lagi untuk serangan yang lebih cepat

December 16, 2021 by Winnie the Pooh

Tepat pada waktunya untuk liburan, malware Emotet yang terkenal sekali lagi secara langsung memasang beacon Cobalt Strike untuk serangan siber yang cepat.

Bagi mereka yang tidak akrab dengan Emotet, Emotet dianggap sebagai salah satu infeksi malware paling luas dan didistribusikan melalui email phishing yang menyertakan lampiran berbahaya.

Secara historis, setelah perangkat terinfeksi, Emotet akan mencuri email korban untuk digunakan dalam kampanye mendatang dan kemudian menjatuhkan muatan malware, seperti TrickBot dan Qbot.

Namun, awal bulan ini, Emotet mulai menguji pemasangan beacon Cobalt Strike pada perangkat yang terinfeksi alih-alih muatan reguler mereka.

Cobalt Strike adalah alat pentesting sah yang biasanya digunakan oleh pelaku ancaman untuk menyebar secara lateral melalui organisasi dan akhirnya menyebarkan ransomware di jaringan.

Joseph Roosen dari grup Cryptolaemus Emotet mengatakan kepada BleepingComputer bahwa Emotet sekarang mengunduh modul Cobalt Strike langsung dari server perintah dan kontrolnya dan kemudian menjalankannya di perangkat yang terinfeksi.

Dengan beacon Cobalt Strike yang dipasang langsung oleh Emotet, pelaku ancaman yang menggunakannya untuk menyebar secara lateral melalui jaringan, mencuri file, dan menyebarkan malware akan memiliki akses langsung ke jaringan yang disusupi.

Akses ini akan mempercepat proses serangan, dan dengan itu tepat sebelum liburan, Emotet dapat menyebabkan banyak pelanggaran karena perusahaan sekarang memiliki staf yang terbatas untuk memantau dan menanggapi serangan.

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan oleh peretas yang didukung negara

December 16, 2021 by Winnie the Pooh

Seperti yang diharapkan, peretas negara-bangsa dari semua jenis telah mengambil kesempatan untuk mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2021-44228) di library logging berbasis Java Apache Log4j.

Juga dikenal sebagai Log4Shell atau LogJam, kerentanan sekarang digunakan oleh pelaku ancaman yang memiliki kaitan dengan pemerintah di Cina, Iran, Korea Utara, dan Turki, serta broker akses yang digunakan oleh geng ransomware.

Di antara aktor ancaman pertama yang memanfaatkan Log4Shell untuk menjatuhkan muatan adalah grup penambangan cryptocurrency dan botnet, yang mulai menyerang segera setelah kode eksploitasi proof-of-concept tersedia.

Salah satu pelakunya adalah kelompok ancaman Iran Fosfor – juga dilacak sebagai Charming Kitten, APT 35, yang diamati Microsoft “memperoleh dan membuat modifikasi” pada eksploitasi Log4Shell.

Aktor ancaman negara-bangsa lain yang memanfaatkan bug Log4Shell adalah Hafnium, grup peretas yang terkait dengan China.

Microsoft mengatakan bahwa Hafnium sekarang menggunakan Log4Shell dalam serangan terhadap infrastruktur virtualisasi “untuk memperluas penargetan tipikal mereka”.

Terlepas dari aktor negara-bangsa, Microsoft telah mengkonfirmasi bahwa broker yang menyediakan akses jaringan awal ke berbagai kelompok, sebagian besar bermotivasi finansial juga mulai mengeksploitasi kelemahan Log4j.

Broker akses awal biasanya bekerja dengan operasi ransomware-as-a-service (RaaS), di mana mereka menjual akses ke jaringan perusahaan yang disusupi.

Log4Shell juga telah digunakan dalam serangan ransomware dari aktor baru bernama Khonsari, sebuah laporan dari Bitdefender menunjukkan.

Mengingat kerusakan yang dapat disebabkan oleh bug ini, Badan Keamanan Infrastruktur Keamanan Siber (CISA) telah memerintahkan lembaga federal untuk segera menambal sistem yang terpengaruh.

Selengkapnya: Bleeping Computer

Log4j: Seberapa Kacaukah Kita?

December 16, 2021 by Winnie the Pooh

Bug Apache log4j yang ditemukan beberapa waktu lalu adalah sebuah mimpi buruk. Menurut Jen Easterly, direktur Badan Keamanan Cybersecurity dan Infrastruktur Amerika, ini adalah “salah satu yang paling serius” yang dia lihat dalam “masa karirnya.”

Meskipun pengguna web sehari-hari tidak dapat berbuat banyak tentang seluruh situasi ini, mungkin bermanfaat untuk mengetahui apa yang terjadi. Inilah ikhtisar singkat tentang semua mimpi buruk itu.

Bug Terburuk di Web

Pustaka logging Log4j diimplementasikan oleh para engineer untuk merekam bagaimana program berjalan; mereka memungkinkan audit kode dan merupakan mekanisme rutin untuk menyelidiki bug dan masalah fungsionalitas lainnya.

Karena log4j gratis dan dipercaya secara luas, perusahaan besar dan kecil telah menggunakannya untuk semua jenis hal. Ironisnya, tentu saja, alat pemeriksa bug ini sekarang memiliki bug.

Peneliti keamanan telah menyebut kerentanan tersebut sebagai “Log4Shell” karena eksploitasi yang tepat dapat mengakibatkan akses shell (juga disebut “akses kode jarak jauh”) ke sistem server. Kerentanan tersebut membawa peringkat keparahan 10 pada skala Sistem Skor Kerentanan Umum.

Secara teknis, bug tersebut adalah kerentanan eksekusi kode jarak jauh zero-day, yang berarti “memungkinkan penyerang mengunduh dan menjalankan skrip pada server yang ditargetkan, membiarkannya terbuka untuk kendali jarak jauh”, ungkap Bitdefender.

Siapa yang Terkena Dampak?

Karena keberadaan log4j yang ada di mana-mana, sebagian besar platform terbesar di internet rentan dengan bencana tersebut. Menurut berbagai laporan, yang terkena dampak termasuk nama-nama besar seperti Apple, Twitter, Amazon, LinkedIn, CloudFlare, dan banyak lagi.

Amazon jelas merupakan salah satu perusahaan terbesar dalam daftar tersebut. Raksasa teknologi telah secara teratur menerbitkan pembaruan yang terkait dengan produk dan layanannya (yang tampaknya ada beberapa), sementara Apple, baru-baru ini mengkonfirmasi bahwa iCloud terpengaruh oleh bug tersebut dan kemudian telah menambal nya.

Perusahaan lain masih menyelidiki apakah mereka telah terdampak atau tidak, termasuk raksasa teknologi seperti Blackberry, Dell, Huawei, dan Citrix, serta perusahaan teknologi terkemuka seperti SonicWall, McAfee, TrendMicro, Oracle, Qlik, dan banyak lagi lainnya.

Serangan: Datang

Sebagian besar masalahnya adalah bahwa sebagian besar penjahat tampaknya telah mengetahui tentang kerentanan log4j pada waktu yang hampir bersamaan dengan orang lain.

Dengan demikian, upaya eksploitasi pada sistem dan platform yang rentan telah meningkat secara eksponensial sejak minggu lalu—karena peretas di seluruh web dengan fanatik berusaha memanfaatkan situasi unik yang mengerikan ini.

“Sangat mungkin bahwa ransomware pada akhirnya akan memanfaatkan kerentanan log4j. Terutama karena sistem yang rentan kemungkinan merupakan aset penting seperti server,” kata Sergio Caltagirone, Wakil Presiden Intelijen Ancaman di perusahaan keamanan siber Dragos.

Memang benar, perusahaan keamanan siber Bitdefender menerbitkan penelitian pada hari Selasa yang tampaknya menunjukkan upaya eksploitasi pada mesin yang rentan oleh keluarga ransomware baru yang dikenal sebagai “Khonsari”.

Dan, sementara ransomware adalah salah satu perhatian utama, profesional keamanan siber lainnya telah menulis tentang berbagai macam upaya eksploitasi yang mereka lihat—seperti yang menjalankan keseluruhan mulai dari cryptomining dan instalasi botnet, hingga lebih banyak aktivitas jenis pengintaian, seperti pemindaian umum dan penyebaran suar Cobalt-Strike.

Jika Anda pengguna web biasa, satu-satunya hal yang benar-benar dapat Anda lakukan saat ini adalah memperbarui perangkat dan aplikasi Anda saat diminta dan berharap platform yang Anda andalkan cukup cepat untuk mengidentifikasi kerentanan, membuat patch, dan mendorong pembaruan.

Selengkapnya: Gizmodo

Cara menguji apakah server Linux Anda rentan terhadap Log4j

December 16, 2021 by Winnie the Pooh

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

December 16, 2021 by Winnie the Pooh

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Keamanan Siber

Bug Terburuk di Web

Siapa yang Terkena Dampak?

Serangan: Datang

Cookies Settings