Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Linux

Linux

Tanggal akhir akan datang untuk CentOS Stream 8 dan CentOS Linux 7

by

CentOS Stream 8 Akhir Pembuatan: 31 Mei 2024

Kami berharap ini sesuai dengan rilis RHEL 8.10. CentOS Stream 8 adalah tempat fitur baru dikembangkan untuk RHEL 8. Dengan dirilisnya RHEL 8.10, RHEL 8 akan dianggap sebagai fitur yang lengkap.

Saat kami mengumumkan CentOS Stream, kami mencatat bahwa CentOS Stream dirancang untuk melayani “sebagai cabang upstream (pengembangan) dari Red Hat Enterprise Linux.” Dengan transisi RHEL 8 ke fase Pemeliharaan, CentOS Stream 8 telah memenuhi tujuannya.

Setelah 31 Mei 2024, CentOS Stream 8 akan diarsipkan dan tidak ada pembaruan lebih lanjut yang akan diberikan.

Ada beberapa opsi bagus untuk merencanakan migrasi Anda.

Opsi Migrasi/upgrade:

  • Bermigrasi ke CentOS Stream 9
  • Konversikan ke RHEL 8, tidak ada lisensi biaya untuk digunakan dalam kondisi tertentu
  • Konversikan ke sistem operasi lain di ekosistem Enterprise Linux. Beberapa proyek telah mendapatkan sistem operasi baru dari sumber CentOS dan RHEL

Jangan lupa untuk meninjau Siklus Hidup RHEL untuk membantu memilih opsi yang tepat untuk sistem Anda!

Package akan diarsipkan di vault.centos.org setelah 31 Mei 2024.

CentOS Linux 7 Akhir Masa Pakai: 30 Juni 2024

RHEL 7 mencapai Akhir Pemeliharaan pada 30 Juni 2024. Setelah 30 Juni 2024, tidak akan ada pembaruan yang dipublikasikan untuk CentOS Linux 7.

Jika Anda ingin tetap berada dalam ekosistem RHEL, Anda harus memutuskan apakah Anda ingin pindah ke distribusi berbasis RHEL8 atau RHEL9. Anda harus hati-hati membaca masing-masing untuk membantu memilih platform yang tepat untuk sistem Anda:

  • The RHEL Lifecycle
  • Considerations for RHEL8
  • Considerations for RHEL9

Pakcage akan diarsipkan di vault.centos.org setelah 30 Juni 2024.

Anda juga dapat mengonversi ke RHEL7 dan membeli Dukungan Siklus Hidup yang Diperpanjang jika Anda tidak dapat memigrasikan sistem Anda sebelum 30 Juni 2024.

selengkapnya : blog.centos.org

Peretas Cina menggunakan varian malware Linux baru untuk spionase

by

Peretas menyebarkan varian malware Linux baru dalam serangan cyberespionage, seperti varian PingPull baru dan backdoor yang sebelumnya tidak berdokumen yang dilacak sebagai ‘Sword2033.’

PingPull adalah RAT (trojan akses jarak jauh) yang pertama kali didokumentasikan oleh Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium yang disponsori negara China, juga dikenal sebagai Alloy Taurus. Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina.

Unit 42 terus memantau kampanye spionase ini dan hari ini melaporkan bahwa pelaku ancaman China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Unit 42 juga menemukan pintu belakang ELF baru yang berkomunikasi dengan server perintah dan kontrol yang sama (C2) dengan PingPull.

Ini adalah alat yang lebih sederhana dengan fungsi yang lebih mendasar seperti mengunggah file pada sistem yang dilanggar, mengekstraksi file, dan menjalankan perintah dengan “; echo \n” ditambahkan padanya.

Perintah gema menambahkan data acak pada log eksekusi, mungkin untuk membuat analisis lebih menantang atau mengaburkan aktivitasnya.

Unit 42 menemukan sampel Sword2023 kedua yang terkait dengan alamat C2 berbeda yang menyamar sebagai militer Afrika Selatan.

Sampel yang sama ditautkan ke alamat Soft Ether VPN, produk yang diketahui digunakan oleh Gallium dalam operasinya.

Peta C2 Gallium berdasarkan komunikasi malware (Unit 42)

Sebagai kesimpulan, Gallium terus menyempurnakan persenjataannya dan memperluas jangkauan targetnya menggunakan varian Linux baru dari PingPull dan backdoor Sword2023 yang baru ditemukan.

Organisasi harus mengadopsi strategi keamanan yang komprehensif untuk melawan ancaman canggih ini secara efektif daripada hanya mengandalkan metode deteksi statis.

selengkapnya : bleepingcomputer

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

by

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

Royal Ransomware Memperluas Serangan dengan Menargetkan Server ESXi Linux

by

Royal Ransomware mengikuti jalur yang sama, varian baru yang menargetkan sistem Linux muncul, Trend Micro memberikan analisis teknis varian tersebut.

Pelaku ransomware telah diamati memperluas target mereka dengan semakin mengembangkan versi berbasis Linux. Ini diperkirakan setelah terdeteksinya peningkatan serangan dua digit year-on-year (YoY) pada sistem di paruh pertama tahun 2022.

Mitra Linux Royal juga menargetkan server ESXi, perluasan target yang dapat berdampak besar pada pusat data perusahaan yang menjadi korban dan penyimpanan virtual.

Menurut data dari situs kebocoran kelompok ransomware, 10,7% dikaitkan dengan Royal, dengan hanya LockBit dan BlackCat di depannya, masing-masing menyumbang 22,3% dan 11,7%. Aktor ancamannya yang merupakan cabang dari Conti mungkin menjadi alasan klaim ketenarannya yang cepat segera setelah menjadi berita utama di lanskap ransomware.

Serangan ransomware ini menggabungkan teknik lama dan baru, yang mendukung teori bahwa pelaku di baliknya memiliki pengetahuan luas tentang adegan ransomware.

Ransomware Royal menargetkan bisnis kecil hingga menengah pada kuartal keempat tahun 2022: 51,9% korbannya adalah bisnis kecil, sementara 26,8% berukuran sedang. Hanya 11,3% dari korbannya untuk periode ini adalah perusahaan besar.

Berdasarkan hasil analisis teknis oleh Trend Micro, varian baru dari ransomware Royal memperluas serangan mereka untuk menargetkan server ESXi, menyebabkan kerusakan besar pada korbannya.

Melindungi sistem dari serangan ransomware, Trend Micro menyarankan pengguna menerapkan perlindungan data, pencadangan, dan tindakan pemulihan untuk mengamankan data dari kemungkinan enkripsi atau penghapusan, dan praktik terbaik lainnya.

Selengkapnya: Trend Micro

Implan Linux Canggih Ditemukan Mengompromikan Perangkat Keamanan Jaringan Fortinet

by

Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.

Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.

Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.

Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.

Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.

Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.

sumber : paulponraj

Apa Itu Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?

by

Linux dikenal sebagai sistem operasi yang sangat aman. Namun, Linux juga bisa menjadi mangsa celah dan eksploitasi, yang terburuk adalah kerentanan eskalasi hak istimewa yang memungkinkan musuh meningkatkan izin mereka dan berpotensi mengambil alih seluruh organisasi.

Polkit CVE-2021-4034 adalah kerentanan eskalasi hak istimewa kritis yang tidak diketahui selama lebih dari 12 tahun dan mempengaruhi semua distribusi Linux utama.

Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?
Kerentanan eskalasi hak istimewa Polkit mempersenjatai pkexec, bagian yang dapat dieksekusi dari komponen PolicyKit Linux. pkexec adalah executable yang memungkinkan pengguna mengeksekusi perintah sebagai pengguna lain. Kode sumber pkexec memiliki celah yang dapat dieksploitasi oleh siapa saja untuk mendapatkan hak istimewa maksimum pada sistem Linux, yaitu menjadi pengguna root. Bug ini disebut “Pwnkit” dan dilacak sebagai CVE-2021-4034.

Bagaimana CVE-2021-4034 Kerentanan Eskalasi Hak Istimewa Polkit Dieksploitasi?
Polkit adalah paket yang dikirimkan dengan semua distribusi Linux utama dan distribusi server seperti RHEL dan CentOS.

Komponen Polkit memiliki bagian yang dapat dieksekusi, pkexec, menangani bagaimana pengguna dapat menjalankan perintah sebagai pengguna lain. Akar kerentanan terletak pada kode sumber yang dapat dieksekusi.

Eksploitasi Pwnkit menyalahgunakan cara sistem *NIX memproses argumen dan menggunakan mekanisme baca dan tulis di luar batas untuk menyuntikkan variabel lingkungan yang tidak aman untuk mendapatkan hak akses root.

Siapa yang Terdampak Kerentanan CVE-2021-4034?
Kerentanan ini mudah dieksploitasi dan tersebar luas sebagai komponen yang terpengaruh, Penyerang secara agresif mencoba dan mendapatkan pengaruh dengan mengeksploitasi kerentanan ini di lingkungan cloud, ruang operasi bisnis utama. Korban dari kerentanan ini tidak terbatas pada, Ubuntu, Fedora, CentOS, dan Red Hat 8.

Bagaimana Cara Memperbaiki Kerentanan Eskalasi Hak Istimewa Polkit CVE-2021-4034 dan Apakah Anda Aman?
Tidak perlu khawatir mengenai kerentanan Polkit jika menjalankan versi terbaru dari distribusi Linux. Sebagai pemeriksaan keamanan, terdapat beberapa perintah untuk memeriksa versi paket PolicyKit yang terinstal di sistem.

Amankan Server dan Sistem Linux Anda Dari Eksploitasi yang Menghancurkan
Statistik server Linux menunjukkan bahwa Linux adalah sistem operasi yang memberdayakan lebih dari satu juta server web.

Individu dan pengelola server disarankan untuk memperbarui, meningkatkan sistem, dan memutakhirkan paket polkit satu per satu untuk meningkatkan keamanan server.

Selengkapnya: MakeUsOf

Peringatan Keamanan WordPress: Malware Linux Baru Mengeksploitasi Lebih dari Dua Lusin Kelemahan CMS

by

Situs WordPress menjadi sasaran malware Linux yang sebelumnya tidak dikenal yang mengeksploitasi kelemahan di lebih dari dua lusin plugin dan tema untuk mengkompromikan sistem yang rentan.

Menurut vendor keamanan Rusia, Doctor Web, penggunaan situs versi lama dari add-on tanpa perbaikan penting, dapat menjadi target yang akan disuntikkan JavaScript berbahaya. Pengguna yang mengklik area mana pun dari halaman yang diserang, dialihkan ke situs lain.

Serangan melibatkan mempersenjatai daftar kerentanan keamanan yang diketahui di 19 plugin dan tema berbeda, kemungkinan dipasang di situs WordPress, digunakan untuk menyebarkan implan yang dapat menargetkan situs web tertentu untuk memperluas jaringan lebih lanjut.

Doctor Web telah mengidentifikasi versi kedua dari backdoor, yang menggunakan domain command-and-control (C2) baru serta daftar kelemahan yang diperbarui yang mencakup 11 plugin tambahan, sehingga totalnya menjadi 30.

Bulan lalu, Sucuri mencatat bahwa lebih dari 15.000 situs WordPress telah dilanggar sebagai bagian dari kampanye berbahaya untuk mengarahkan pengunjung ke portal Q&A palsu, dengan jumlah infeksi aktif saat ini mencapai 9.314.

Pengguna WordPress disarankan untuk selalu memperbarui semua komponen platform, termasuk add-on dan tema pihak ketiga, dan menggunakan login dan kata sandi yang kuat dan unik untuk mengamankan akun mereka.

Selengkapnya: The Hacker News

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer