Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for kerentanan

kerentanan

Server Microsoft Exchange diretas dalam serangan rantai balasan internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email rantai balasan internal yang dicuri.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Aktor tersebut mengelabui target perusahaan agar membuka lampiran berbahaya, mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

Salah satu email Squirrelwaffle ke target
Sumber: TrendMicro

Karena email ini berasal dari jaringan internal yang sama dan tampaknya merupakan kelanjutan dari diskusi sebelumnya antara dua karyawan, ini mengarah pada tingkat kepercayaan yang lebih besar bahwa email tersebut sah dan aman.

Dokumen Microsoft Excel berbahaya yang digunakan oleh SquirrelWaffle

Menurut laporan Trend Micro, para peneliti mengatakan bahwa mereka telah melihat serangan ini mendistribusikan pemuat SquirrelWaffle, yang kemudian menginstal Qbot.

Namun, peneliti Cryptolaemus ‘TheAnalyst’ mengatakan bahwa dokumen berbahaya yang digunakan oleh aktor ancaman ini menjatuhkan kedua malware sebagai muatan terpisah, bukan SquirrelWaffle yang mendistribusikan Qbot.

Microsoft telah memperbaiki kerentanan ProxyLogon pada bulan Maret dan kerentanan ProxyShell pada bulan April dan Mei, menanganinya sebagai zero-day pada saat itu.

Pelaku ancaman telah menyalahgunakan kedua kerentanan untuk menyebarkan ransomware atau menginstal webshell untuk akses pintu belakang nanti. Serangan ProxyLogon menjadi sangat buruk sehingga FBI menghapus web shell dari server Microsoft Exchange yang berbasis di AS tanpa terlebih dahulu memberi tahu pemilik server.

Setelah sekian lama dan media luas kerentanan ini telah diterima, tidak menambal Exchange Server hanyalah undangan terbuka untuk peretas.

Sumber : Bleeping Computer

Grup ransomware Conti telah mengalami pelanggaran data yang memungkinkan peneliti untuk mengaksesnya.

by

Para peneliti Prodaft dapat mengidentifikasi alamat IP asli dari salah satu server yang digunakan oleh grup ransomware Conti dan mengakses konsol selama lebih dari sebulan. Server yang terpapar menjadi tuan rumah portal pembayaran yang digunakan oleh geng untuk negosiasi tebusan dengan korbannya.

“Tim PTI mengakses infrastruktur Conti dan Mengidentifikasi alamat IP sebenarnya dari server yang dimaksud.” membaca laporan yang diterbitkan oleh para ahli. “Tim kami mendeteksi kerentanan di server pemulihan yang digunakan Conti, dan memanfaatkan kerentanan itu untuk menemukan alamat IP asli dari tersembunyi yang menghosting situs web pemulihan grup”

Para peneliti dapat membuka kedok alamat IP yang sebenarnya dari layanan tersembunyi TOR Conti dan contirecovery.ws dan 217.12.204.135. Yang terakhir adalah alamat IP yang dimiliki oleh perusahaan hosting web Ukraina ITL LLC.

Peneliti Prodaft mampu mengkompromikan server dan menyatukan koneksi lintas jaringan untuk koneksi masuk, termasuk SSH yang digunakan oleh anggota Conti untuk mengakses server.

Namun, alamat IP yang terkait dengan koneksi SSH milik node keluar Tor yang digunakan oleh operator Conti untuk menyembunyikan identitasnya.

Para ahli juga dapat menentukan OS server di balik layanan tersembunyi, distro Debian dengan nama host ”dedic-cuprum-617836”. Para ahli berspekulasi nilai numerik dalam nama host adalah nomor faktur untuk server, yang ditetapkan oleh perusahaan hosting ITLDC.

“Linux version 4.9.0-16-amd64 (Debian 6.3.0-18deb9u1) #1 SMP Debian 4.9.272-2
(2021-07-19)

217.12.204.135 dedic-cuprum-617836.hosted-by-itldc.com dedic-cuprum-617836”

Para ahli juga membagikan konten file htpasswd dari host subjek yang dapat digunakan dalam penyelidikan selanjutnya pada operasi Conti.

Tim PTI juga dapat menemukan beberapa sesi obrolan korban dan menangkap kredensial login untuk akun MEGA yang digunakan saat menghubungi para korban. Para ahli dapat menemukan alamat IP penghubung, tanggal, metode pembelian, dan perangkat lunak yang digunakan untuk mengakses layanan berbagi dan mengunggah file.

Selengkapnya : Security Affairs

Google Mengeluarkan Peringatan Untuk 2 Miliar Pengguna Chrome

by

Google mengungkapkan 25 kerentanan baru telah ditemukan dalam dua minggu terakhir. Ini menilai tujuh di antaranya sebagai ancaman tingkat ‘Tinggi’. Pengguna Linux, macOS, dan Windows semuanya terpengaruh dan perlu mengambil tindakan segera.

Chrome mengalami masalah lebih lanjut setelah banyak laporan dari pengguna bahwa versi baru (96) memutus akses ke situs-situs utama seperti Instagram, Twitter, Discord, dan lainnya. Pengguna menerima pesan: “Ada yang tidak beres. Coba muat ulang.” Saat halaman dimuat ulang, elemen kunci seperti gambar, video yang disematkan, dan halaman yang dirender dengan warna yang salah sering kali hilang.

Beberapa solusi telah dicoba dan menonaktifkan fitur penyematan baru yang diperkenalkan di Chrome 96. Pada tahap ini, tidak diketahui apakah Google dapat menerapkan perbaikan dari jarak jauh tanpa harus merilis Chrome versi baru. Hal tersebut membuat pengguna Chrome dalam posisi yang sulit dengan pilihan menunggu dan meninggalkan kerentanan keamanan yang diketahui di browser (detail di bawah) atau memperbarui dan berpotensi merusak pengalaman menjelajah mereka.

Google saat ini membatasi informasi tentang peretasan ini untuk mengulur waktu bagi pengguna Chrome untuk meningkatkan versi. Akibatnya, melihat ancaman tingkat tinggi baru, kami hanya memiliki informasi berikut untuk melanjutkan:

  • High – CVE-2021-38007: ype Kebingungan di V8. Dilaporkan oleh Polaris Feng dan SGFvamll di Singular Security Lab pada 2021-09-29
  • High – CVE-2021-38008: Gunakan setelah gratis di media. Dilaporkan oleh Marcin Towalski dari Cisco Talos pada 2021-10-26
  • High – CVE-2021-38009: Implementasi yang tidak tepat dalam cache. Dilaporkan oleh Luan Herrera (@lbherrera_) pada 2021-10-16

    • Selengkapnya : Bleeping Computer

Peretasan ini mengikuti pola yang sudah dikenal, dengan eksploitasi ‘Use-After-Free’ (UAF). Eksploitasi UAF yang berhasil mencapai 10x pada bulan September dan Oktober dan telah menjadi penyebab beberapa peretasan ‘zero-day’ juga. Kerentanan UAF adalah eksploitasi memori yang dibuat saat program gagal menghapus penunjuk ke memori setelah dibebaskan.

Eksploitasi Chrome V8 juga marak pada tahun 2021 bersama dengan kekurangan buffer overflow Heap. V8 adalah mesin JavaScript open-source yang digunakan oleh Google Chrome dan browser web berbasis Chromium seperti Microsoft Edge, Opera, Amazon Silk, Brave, Yandex dan Vivaldi.

Untuk memeriksa apakah Anda dilindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda terdaftar sebagai 96.0.4664.45 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, pastikan Anda memeriksa versi baru secara teratur.

Ingat: setelah memperbarui, Anda harus me-restart browser Anda untuk dilindungi. Langkah ini sering diabaikan. Merupakan penghargaan bagi Google bahwa perbaikan untuk serangan tingkat tinggi secara konsisten dirilis dalam beberapa hari setelah penemuan mereka, tetapi mereka hanya efektif jika miliaran pengguna kemudian memulai ulang browser mereka.

Selengkapnya : Forbes

NUCLEUS:13 kerentanan berdampak pada peralatan medis & industri Siemens

by

Peneliti keamanan hari ini mengungkapkan satu set 13 kerentanan yang berdampak pada perpustakaan perangkat lunak penting Siemens yang disertakan dengan perangkat medis, otomotif, dan sistem industri.

Dinamakan NUCLEAUS:13, kerentanan berdampak pada Nucleus NET, tumpukan TCP/IP yang disertakan dengan Nucleus, sistem operasi real-time yang dimiliki oleh Siemens, yang biasanya berjalan pada papan system-on-a-chip (SoC) yang disertakan di dalam perangkat medis, mobil, smartphone, perangkat Internet of Things, PLC industri, dan banyak lagi.

Laporan Forescout dan Medigate Labs mengatakan kerentanan NUCLEUS:13 dapat digunakan untuk mengambil alih, mogok, atau membocorkan informasi dari perangkat yang menjalankan versi Nucleus RTOS yang lebih lama.

Kerentanan yang sangat mudah untuk dijadikan senjata adalah CVE-2021-31886, masalah eksekusi kode jarak jauh (RCE) yang menerima peringkat 9,8 dari 10 yang langka, terutama karena tingkat keparahannya.

ICS-CERT telah menerbitkan nasihat keamanan hari ini untuk meningkatkan kesadaran akan kerentanan NUCLEUS:13 di antara organisasi AS, sementara Siemens telah merilis pembaruan keamanan melalui portal CERT pribadinya, kepada semua pelanggannya.

Peneliti prakiraan Stanislav Dashevskyi juga menerbitkan demo bukti konsep yang menunjukkan bagaimana kerentanan NUCLEUS:13 dapat disalahgunakan dalam praktiknya untuk mengambil alih perangkat yang rentan. Seperti yang ditunjukkan Dashevskyi dalam video, penyerang hanya perlu memiliki semacam koneksi jaringan ke perangkat yang rentan, karena serangan hanya membutuhkan beberapa detik untuk dieksekusi.

Kerentanan NUCLEUS:13 adalah bagian kelima dan terakhir dari proyek penelitian bernama Project Memoria, di mana peneliti Forescout menganalisis tumpukan TCP/IP populer untuk kelemahan keamanan.

Secara total, Project Memoria menemukan 97 kerentanan yang memengaruhi 14 tumpukan TCP/IP. Daftar tersebut meliputi:

  • AMNESIA:33
  • NUMBER:JACK
  • NAME:WRECK
  • INFRA:HALT
  • NUCLEUS:13

Selengkapnya : The Record