Keamanan Siber

Log4Shell Memunculkan Mutasi Lebih Berbahaya

December 14, 2021 by Winnie the Pooh

Internet memiliki kanker ganas yang menyebar secara cepat – atau dikenal sebagai eksploitasi perpustakaan logging Apache Log4j – yang telah bermutasi dengan cepat dan menarik kawanan penyerang sejak diungkapkan secara publik minggu lalu.

Sebagian besar serangan berfokus pada penambangan cryptocurrency, seperti yang terlihat oleh Sophos, Microsoft, dan perusahaan keamanan lainnya. Namun, penyerang secara aktif mencoba menginstal malware yang jauh lebih berbahaya pada sistem yang rentan juga.

Menurut peneliti Microsoft, di luar penambangan cryptocurrency, mereka juga telah melihat instalasi Cobalt Strike, yang dapat digunakan penyerang untuk mencuri kata sandi, merayap lebih jauh ke jaringan yang disusupi dengan gerakan lateral dan mengekstrak data.

Itu bisa menjadi jauh lebih buruk. Peneliti keamanan siber di Check Point memperingatkan pada hari Senin bahwa evolusi telah menyebabkan lebih dari 60 mutasi yang lebih besar dan lebih kuat, semuanya muncul dalam waktu kurang dari sehari.

Check Point mengatakan bahwa mereka menggagalkan lebih dari 845.000 upaya eksploitasi, dengan lebih dari 46 persen dari upaya tersebut dilakukan oleh kelompok jahat yang dikenal. Faktanya, Check Point memperingatkan bahwa terlihat lebih dari 100 upaya untuk mengeksploitasi kerentanan per menit.

Peta di bawah ini mengilustrasikan geografi sasaran teratas.

Selengkapnya: Threat Post

Peretas mulai menyebarkan malware dalam serangan Log4Shell di seluruh dunia

December 13, 2021 by Winnie the Pooh

Dilansir dari Bleeping Computer, pelaku dan peneliti ancaman sedang memindai dan mengeksploitasi kerentanan Log4j Log4Shell untuk menyebarkan malware atau menemukan server yang rentan. Dalam artikel tersebut Bleeping Computer telah mengkompilasi muatan, scanner, dan serangan yang diketahui menggunakan kerentanan Log4j.

Jumat pagi, exploit dirilis secara publik untuk kerentanan kritis zero-day yang dijuluki ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh pada server yang rentan hanya dengan mencari atau mengubah user agent browser mereka ke string khusus.

Segera setelah itu, Apache merilis Log4j 2.15.0 untuk mengatasi kerentanan tersebut, tetapi pelaku ancaman sudah mulai memindai dan mengeksploitasi server yang rentan untuk mengekstrak data, menginstal malware, atau mengambil alih server.

Karena perangkat lunak ini digunakan di ribuan aplikasi dan situs web perusahaan, ada kekhawatiran signifikan bahwa perangkat lunak ini akan mengarah pada serangan yang meluas dan penyebaran malware.

Di bawah ini Bleeping Computer menguraikan serangan yang diketahui saat ini yang memanfaatkan kerentanan Log4j.

Cryptominer

Segera setelah kerentanan dirilis, Bleeping Computer melihat aktor ancaman mengeksploitasi kerentanan Log4Shell untuk mengeksekusi skrip shell yang mengunduh dan menginstal berbagai cryptominers, seperti yang ditunjukkan di bawah ini.

Pelaku ancaman di balik backdoor Kinsing dan botnet cryptomining menyalahgunakan kerentanan Log4j dengan muatan yang disandikan Base64 yang membuat server rentan mengunduh dan menjalankan skrip shell.

Botnet Mirai dan Muhstik

Netlab 360 melaporkan bahwa pelaku ancaman mengeksploitasi kerentanan untuk menginstal malware Mirai dan Muhstik pada perangkat yang rentan.

Keluarga malware ini merekrut perangkat dan server IoT ke dalam botnet mereka dan menggunakannya untuk menyebarkan cryptominers dan melakukan serangan DDoS skala besar.

Pemindaian dan pengungkapan informasi

Selain menggunakan eksploitasi Log4Shell untuk menginstal malware, pelaku ancaman dan peneliti keamanan menggunakan exploit untuk memindai server yang rentan dan mengekstrak informasi dari mereka.

Peneliti menggunakan exploit untuk memaksa server yang rentan mengakses URL atau melakukan permintaan DNS untuk callback domain. Ini memungkinkan peneliti atau aktor ancaman untuk menentukan apakah server rentan dan menggunakannya untuk serangan, penelitian, atau upaya di masa mendatang untuk mengklaim hadiah bug bounty.

Karena itu, sangat penting bagi semua pengguna untuk menginstal versi terbaru Log4j atau aplikasi yang terpengaruh untuk mengatasi kerentanan ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Botnet Dark Mirai menargetkan RCE pada router TP-Link yang populer

December 10, 2021 by Winnie the Pooh

Botnet yang dikenal sebagai Dark Mirai (alias MANGA) telah diamati mengeksploitasi kerentanan baru pada TP-Link TL-WR840N EU V5, router rumah murah populer yang dirilis pada tahun 2017.

Cacat dilacak sebagai CVE-2021-41653 dan disebabkan oleh variabel ‘host’ yang rentan yang dapat disalahgunakan oleh pengguna yang diautentikasi untuk menjalankan perintah pada perangkat.

TP-Link memperbaiki kekurangan tersebut dengan merilis pembaruan firmware (TL-WR840N(EU)_V5_211109) pada 12 November 2021. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan.

Peneliti yang menemukan kerentanan menerbitkan eksploitasi bukti konsep (PoC) untuk RCE, yang mengarah ke aktor ancaman menggunakan kerentanan.

Menurut sebuah laporan oleh para peneliti di Fortinet, yang telah mengikuti aktivitas Dark Mirai, botnet menambahkan RCE tertentu di gudang senjatanya hanya dua minggu setelah TP-Link merilis pembaruan firmware.

Mirai mungkin hilang, tetapi kodenya telah melahirkan banyak botnet baru yang menyebabkan masalah skala besar pada perangkat yang tidak aman.

Selengkapnya: Bleeping Computer

Microsoft, kelemahan Google OAuth dapat disalahgunakan dalam serangan phishing

December 10, 2021 by Winnie the Pooh

Para peneliti telah menemukan serangkaian metode yang sebelumnya tidak diketahui untuk meluncurkan serangan pengalihan URL terhadap implementasi OAuth 2.0 yang lemah.

Serangan-serangan ini dapat mengarah pada pengabaian deteksi phishing dan solusi keamanan email, dan pada saat yang sama, memberikan legitimasi palsu pada URL phishing kepada para korban.

Kampanye yang relevan dideteksi oleh Proofpoint, dan menargetkan Outlook Web Access, PayPal, Microsoft 365, dan Google Workspace.

OAuth 2.0 adalah protokol otorisasi yang diadopsi secara luas yang memungkinkan aplikasi web atau desktop mengakses sumber daya yang dikendalikan oleh pengguna akhir, seperti email, kontak, informasi profil, atau akun sosial mereka.

Saat mengembangkan aplikasi OAuth, pengembang diberi kebebasan untuk memilih di antara berbagai jenis flow yang tersedia, bergantung pada kebutuhan mereka, seperti yang diilustrasikan di bawah ini.

Flow ini mengharuskan pengembang aplikasi untuk menentukan parameter tertentu, seperti ID klien unik, cakupan, dan URL pengalihan dibuka setelah autentikasi berhasil.

Namun, Proofpoint menemukan bahwa penyerang dapat memodifikasi beberapa parameter dalam alur otorisasi yang valid, memicu pengalihan korban ke situs yang disediakan penyerang atau mengarahkan ulang URL di aplikasi OAuth berbahaya yang terdaftar.

Karena ini terjadi setelah korban mengeklik URL yang tampak sah milik Microsoft, korban secara keliru menganggap bahwa URL itu sah, meskipun mereka sedang diarahkan ke situs jahat.

Pengalihan ini dapat dipicu dengan memodifikasi parameter kueri ‘response_type’ agar berisi nilai yang tidak valid, dan korban akan dibawa ke halaman phishing oleh Microsoft setelah autentikasi.

Selengkapnya: Bleeping Computer

Ratusan ribu perangkat MikroTik masih rentan terhadap botnet

December 10, 2021 by Winnie the Pooh

Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.

MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.

Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.

Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.

Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:

CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8

Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.

Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.

Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.

Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

December 10, 2021 by Winnie the Pooh

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Microsoft: Secured-core server membantu mencegah serangan ransomware

December 10, 2021 by Winnie the Pooh

Microsoft mengatakan perangkat Windows Server dan Microsoft Azure Stack HCI bersertifikat Secured-core pertama sekarang tersedia untuk melindungi jaringan pelanggan dari ancaman keamanan, termasuk serangan ransomware.

Perangkat inti aman dipasarkan sebagai solusi untuk meningkatnya jumlah kerentanan firmware yang dapat dimanfaatkan penyerang untuk melewati Secure boot mesin Windows dan kurangnya visibilitas di tingkat firmware dalam solusi keamanan endpoint saat ini.

Semua perangkat Secured-core dilengkapi dengan perlindungan bawaan untuk ancaman yang menyalahgunakan firmware dan kelemahan keamanan driver sejak Oktober 2019. Perangkat tersebut dapat membantu melindungi dari malware yang dirancang untuk memanfaatkan kelemahan keamanan driver untuk menonaktifkan solusi keamanan.

Secured-core server yang baru disertifikasi menggunakan secure boot dan Trusted Platform Module 2.0 untuk memastikan bahwa hanya tepercaya yang dapat memuat saat boot.

Mereka juga memanfaatkan Dynamic Root of Trust Measurement (DRTM) untuk meluncurkan sistem operasi ke status tepercaya, memblokir upaya malware untuk merusak sistem.

Secured-core server juga menggunakan Hypervisor-Protected Code Integrity (HVCI) untuk memblokir semua executable dan driver (seperti Mimikatz) yang tidak ditandatangani oleh otoritas yang dikenal dan disetujui agar tidak diluncurkan.

Dengan memblokir upaya pencurian kredensial, Secured-core server dapat membantu mempersulit pelaku ancaman (termasuk geng ransomware seperti REvil) untuk bergerak secara lateral melalui jaringan, sehingga menghentikan serangan mereka sebelum mereka dapat memperoleh kegigihan dan menyebarkan muatannya.

Selengkapnya: Bleeping Computer

Peretas menginfeksi plugin WordPress acak untuk mencuri kartu kredit

December 10, 2021 by Winnie the Pooh

Dengan musim belanja Natal, pelaku ancaman pencurian kartu meningkatkan upaya mereka untuk menginfeksi toko online dengan skimmer tersembunyi, jadi administrator harus tetap waspada.

Tren terbaru adalah menyuntikkan skimmer kartu ke dalam file plugin WordPress, menghindari direktori inti ‘wp-admin’ dan ‘wp-includes’ yang dipantau secara ketat di mana sebagian besar injeksi berumur pendek.

Menurut sebuah laporan baru oleh Sucuri, peretas yang melakukan pencurian kartu kredit pertama-tama meretas situs WordPress dan menyuntikkan backdoor ke situs web untuk persistence.

Backdoor ini memungkinkan peretas untuk mempertahankan akses ke situs, bahkan jika administrator memasang pembaruan keamanan terbaru untuk WordPress dan memasang plugin.

Ketika penyerang menggunakan backdoor di masa depan, itu akan memindai daftar pengguna administrator dan menggunakan cookie otorisasi dan login pengguna saat ini untuk mengakses situs.

Pelaku ancaman kemudian menambahkan kode berbahaya mereka ke plugin acak, dan menurut Sucuri, banyak skrip bahkan tidak dikaburkan.

Namun, ketika memeriksa kode tersebut, para analis memperhatikan bahwa plugin pengoptimalan gambar berisi referensi ke WooCommerce dan menyertakan variabel yang tidak ditentukan. Plugin ini tidak memiliki kerentanan dan diyakini telah dipilih oleh pelaku ancaman secara acak.

Administrator dapat mengikuti beberapa tindakan perlindungan untuk menjaga situs mereka bebas skimmer atau meminimalkan waktu infeksi sebanyak mungkin.

Pertama, area wp-admin harus dibatasi hanya untuk alamat IP tertentu. Kemudian, bahkan jika backdoor disuntikkan, aktor tidak dapat mengakses situs bahkan jika mereka mencuri cookie administrator.

Kedua, pemantauan integritas file melalui pemindai sisi server aktif harus diterapkan di situs web, memastikan bahwa tidak ada perubahan kode yang tidak diketahui dalam waktu lama.

Terakhir, biasakan membaca log dan melihat detail secara mendalam. Misalnya, perubahan file, tema, atau pembaruan plugin selalu tercermin dalam log.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Keamanan Siber

Cryptominer

Botnet Mirai dan Muhstik

Pemindaian dan pengungkapan informasi

Cookies Settings