Linux

Bug Sudo baru ditemukan juga memengaruhi macOS

February 3, 2021 by Winnie the Pooh

Seorang peneliti keamanan Inggris telah menemukan hari ini bahwa kelemahan keamanan baru-baru ini di aplikasi Sudo juga memengaruhi sistem operasi macOS, dan bukan hanya Linux dan BSD, seperti yang diyakini pada awalnya.

Kerentanan, yang diungkapkan minggu lalu sebagai CVE-2021-3156 (alias Baron Samedit) oleh peneliti keamanan dari Qualys, berdampak pada Sudo, sebuah aplikasi yang memungkinkan admin untuk mendelegasikan akses root terbatas ke pengguna lain.

Peneliti Qualys menemukan bahwa mereka dapat memicu bug “heap overflow” di aplikasi Sudo untuk mengubah akses pengguna saat ini yang memiliki hak istimewa rendah ke perintah tingkat root, yang memberi penyerang akses ke seluruh sistem.

VERSI MAC OS TERBARU JUGA TERDAMPAK
Namun salah satu pendiri Hacker House, Matthew Hickey mengatakan bug ini juga terdapat pada versi terbaru macOS juga disertakan dengan aplikasi Sudo.

https://twitter.com/hackerfantastic/status/1356645638151303169?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1356645638151303169%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Frecent-root-giving-sudo-bug-also-impacts-macos%2F

Hickey mengatakan dia menguji kerentanan CVE-2021-3156 dan menemukan bahwa dengan beberapa modifikasi, bug keamanan dapat digunakan untuk memberikan akses penyerang ke akun root macOS juga.

Hickey memberi tahu ZDNet bahwa bug tersebut dapat dieksploitasi di versi terbaru macOS, bahkan setelah menerapkan tambalan keamanan terbaru yang dirilis Apple pada hari Senin.

Peneliti mengatakan dia memberi tahu Apple tentang masalah itu hari ini. Apple menolak berkomentar saat menyelidiki laporan tersebut; Namun, patch diharapkan untuk masalah yang begitu serius ini.

Source : ZDnet

Botnet DreamBus menargetkan aplikasi perusahaan yang berjalan di server Linux

January 27, 2021 by Winnie the Pooh

Kemungkinannya adalah jika Anda menggunakan server Linux secara online akhir-akhir ini dan Anda membiarkan kelemahan terkecil sekalipun, grup kejahatan siber akan menjeratnya sebagai bagian dari botnetnya. Ancaman terbaru ini bernama DreamBus.

Analisis dalam laporan yang diterbitkan minggu lalu oleh firma keamanan Zscaler, perusahaan tersebut mengatakan ancaman baru ini adalah varian dari botnet lama bernama SystemdMiner, yang pertama kali terlihat pada awal 2019.

Tapi versi DreamBus saat ini telah menerima beberapa perbaikan dibandingkan dengan penampakan SystemdMiner awal.

Saat ini, botnet menargetkan aplikasi tingkat perusahaan yang berjalan di sistem Linux. Target mencakup banyak koleksi aplikasi, seperti PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, dan layanan SSH.

Beberapa dari aplikasi ini ditargetkan dengan serangan brute force terhadap nama pengguna administrator default mereka, yang lain dengan perintah jahat yang dikirim ke endpoint API yang terbuka, atau melalui eksploitasi untuk kerentanan yang lebih lama.

Idenya adalah untuk memberi geng DreamBus pijakan di server Linux di mana mereka nantinya dapat mengunduh dan menginstal aplikasi sumber terbuka yang menambang cryptocurrency Monero (XMR) untuk menghasilkan keuntungan bagi para penyerang.

Zscaler juga mengatakan bahwa DreamBus menggunakan beberapa tindakan untuk mencegah deteksi yang mudah. Salah satunya adalah bahwa semua sistem yang terinfeksi malware dikomunikasikan dengan server command and control (C&C) botnet melalui protokol DNS-over-HTTPS (DoH) yang baru. Malware berkemampuan DoH sangat jarang, karena rumit untuk disiapkan.

Selengkapnya: ZDNet

Bug yang sudah berusia puluhan tahun di sudo Linux dapat disalahgunakan oleh semua pengguna yang login untuk mendapatkan hak akses root

January 27, 2021 by Winnie the Pooh

Peneliti keamanan dari Qualys telah mengidentifikasi kerentanan heap buffer overflow di sudo yang dapat dimanfaatkan oleh pengguna nakal untuk mengambil alih sistem host.

Sudo adalah utilitas baris perintah open source yang banyak digunakan di Linux dan sistem operasi Unix lainnya. Ini dirancang untuk memberikan kontrol administratif pengguna yang dipilih dan tepercaya saat diperlukan.

Bug (CVE-2021-3156) yang ditemukan oleh Qualys, memungkinkan setiap pengguna lokal untuk mendapatkan akses level root pada host yang rentan dalam konfigurasi defaultnya.

Versi sudo yang terpengaruh adalah: 1.8.2 hingga 1.8.31p2 dan 1.9.0 hingga 1.9.5p1. Qualys mengembangkan eksploitasi untuk beberapa distribusi Linux, termasuk Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27), dan Fedora 33 (Sudo 1.9.2), dan biz keamanan percaya bahwa distribusi lain juga rentan.

Ubuntu dan Red Hat telah menerbitkan tambalan, dan distro Anda mungkin juga memilikinya, jadi tambalah segera.

Dalam artikelnya, peneliti Qualys menjelaskan, “set_cmnd() rentan terhadap buffer overflow berbasis heap, karena karakter out-of-bounds yang disalin ke buffer ‘user_args’ tidak disertakan dalam ukurannya.”

Dalam sebuah pernyataan, Mehul Revankar, VP manajemen produk dan teknik di Qualys, mengatakan kerentanan “mungkin merupakan kerentanan sudo paling signifikan dalam memori baru-baru ini (baik dalam hal cakupan dan dampak) dan telah bersembunyi di depan mata selama hampir 10 tahun.”

Sumber: The Register

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

January 21, 2021 by Winnie the Pooh

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Red Hat memperkenalkan RHEL gratis untuk beban kerja produksi kecil dan tim pengembangan

January 21, 2021 by Winnie the Pooh

Ketika Red Hat mengumumkan pengalihan CentOS Linux dari klon Red Hat Enterprise Linux (RHEL) yang stabil ke distribusi Linux yang sedang berjalan, yang akan menjadi pembaruan RHEL minor berikutnya, banyak pengguna CentOS kesal.

Sekarang, untuk menenangkan beberapa pengguna tersebut, Red Hat memperkenalkan RHEL tanpa biaya untuk beban kerja produksi kecil dan RHEL tanpa biaya untuk tim pengembangan pelanggan.

Pertama, menggantikan CentOS Linux, Red Hat ingin mengingatkan para pengembang bahwa RHEL tanpa biaya telah lama ada melalui program Red Hat Developer.

Persyaratan penawaran sebelumnya membatasi penggunaannya untuk pengembang mesin tunggal. Sekarang Red Hat akan memperluas program ini sehingga langganan Pengembang Individual untuk RHEL dapat digunakan dalam produksi hingga 16 sistem.

Untuk mendapatkannya, Anda hanya perlu masuk dengan akun Red Hat gratis (atau melalui sistem masuk tunggal melalui GitHub, Twitter, Facebook, dan akun lainnya) untuk mengunduh RHEL dan menerima pembaruan.

Selain itu, Anda juga dapat menggunakan program Pengembang Red Hat yang diperluas untuk menjalankan RHEL di cloud publik utama termasuk AWS, Google Cloud Platform, dan Microsoft Azure. Anda tentu saja harus membayar biaya hosting dari penyedia cloud Anda.

Langganan Pengembang Individual yang diperbarui untuk RHEL ini akan tersedia sebelum 1 Februari 2021.

Sumber: ZDNet

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

January 20, 2021 by Winnie the Pooh

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer

Botnet PgMiner menyerang database PostgreSQL yang tidak diamankan dengan benar

December 14, 2020 by Winnie the Pooh

Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.

Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.

Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.

Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.

Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.

Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.

Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.

Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.

Sumber: ZDNet

Malware Linux Stantinko sekarang berperan sebagai server web Apache

November 26, 2020 by Winnie the Pooh

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Linux

Cookies Settings