Linux

Serangan Platypus baru dapat mencuri data dari CPU Intel

November 14, 2020 by Winnie the Pooh

Sebuah tim akademisi hari ini telah mengungkapkan metode serangan baru yang dapat mengekstrak data dari CPU Intel. Bernama Platypus, singkatan dari “Power Leakage Attacks: Targeting Your Protected User Secrets”, serangan tersebut menargetkan antarmuka RAPL dari prosesor Intel. RAPL, yang merupakan singkatan dari Running Average Power Limit, adalah komponen yang memungkinkan firmware atau aplikasi perangkat lunak untuk memantau konsumsi daya di CPU dan DRAM.

RAPL, yang secara efektif memungkinkan firmware dan aplikasi perangkat lunak membaca berapa banyak daya listrik yang ditarik CPU untuk melakukan tugasnya, adalah sistem yang telah digunakan selama bertahun-tahun untuk melacak dan men-debug aplikasi dan kinerja perangkat keras.
Dalam hasil penelitian yang diterbitkan, akademisi dari Graz University of Technology, University of Birmingham, dan CISPA Helmholtz Center for Information Security telah mengungkapkan bagaimana serangan Platypus dapat digunakan untuk menentukan data apa yang sedang diproses di dalam CPU dengan melihat nilai-nilai yang dilaporkan melalui antarmuka RAPL.

Menurut tim peneliti, serangan Platypus bekerja paling baik di sistem Linux. Ini karena kernel Linux dikirimkan dengan kerangka kerja powercap, driver universal untuk berinteraksi dengan antarmuka RAPL dan API pembatasan daya lainnya, yang memungkinkan pembacaan nilai konsumsi daya dengan mudah. Serangan pada Windows dan macOS juga dimungkinkan, tetapi dalam kasus ini, aplikasi Intel Power Gadget harus diinstal pada perangkat yang diserang untuk memungkinkan penyerang berinteraksi dengan antarmuka RAPL.

sumber : ZDNET

Desktop Gnome Ubuntu dapat ditipu untuk memberikan akses root

November 11, 2020 by Winnie the Pooh

Kerentanan dalam GNOME Display Manager (gdm) dapat memungkinkan pengguna standar untuk membuat akun dengan hak istimewa yang lebih besar, memberikan penyerang lokal jalur untuk menjalankan kode dengan izin administrator (root).

Meskipun kondisi tertentu diperlukan, bug ini mudah dieksploitasi. Prosesnya melibatkan menjalankan beberapa perintah sederhana di terminal dan memodifikasi pengaturan sistem umum yang tidak memerlukan peningkatan hak.

Mengeksploitasi bug di gdm3 ini memanfaatkan kerusakan komponen AccountsService, yang terus melacak pengguna yang tersedia pada sistem.

Selain menangani graphical display manager, gdm3 juga bertanggung jawab untuk menampilkan antarmuka login pengguna pada sistem operasi Unix-like.

Peneliti keamanan GitHub Kevin Backhouse menemukan cara sederhana untuk mengelabui sistem Ubuntu yang sudah disiapkan agar menjalankan konfigurasi rutin akun untuk sistem baru. Skenario ini memerlukan akun administrator untuk menyiapkan mesin dan menginstal aplikasi.

Backhouse menemukan dua kerentanan di AccountsService yang menyebabkan komponen hang (CVE-2020-16127) dan menjatuhkan hak istimewa akun pengguna (CVE-2020-16126), memungkinkan pengguna standar untuk merusak daemon dengan mengirimkannya sinyal kesalahan segmentasi tertunda (kill -SIGSEGV).

Kerentanan ini memengaruhi Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04, dan Ubuntu 16.04.

Backhouse membuat video yang menunjukkan betapa mudahnya dia mengeksploitasi kerentanan gdm3 di Ubuntu 20.04:

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Malware baru ini ingin server Linux dan perangkat IoT Anda ke botnetnya

November 10, 2020 by Winnie the Pooh

Malware baru menargetkan server Linux dan perangkat Internet of Things (IoT) untuk menambahkannya sebagai pasukan botnet dalam kampanye peretasan yang menargetkan infrastruktur cloud computing.

Ditemukan oleh peneliti keamanan siber di Juniper Threat Labs, worm berbahaya ini telah dijuluki Gitpaste-12, mencerminkan bagaimana ia menggunakan GitHub dan Pastebin untuk kode komponen perumahan dan memiliki 12 cara berbeda untuk mengkompromikan server x86 berbasis Linux, serta Linux ARM dan MIPS perangkat Io.

Ini termasuk 11 kerentanan yang diketahui dalam teknologi termasuk router Asus, Huawei dan Netlink serta orang-orang seperti MongoDB dan Apache Struts serta kemampuan untuk menyusupi sistem dengan menggunakan serangan brute force untuk mencari tau nama pengguna dan kata sandi default.

Setelah menggunakan salah satu kerentanan ini untuk menyusupi sistem, Gitpaste-12 mengunduh skrip dari Pastebin untuk memberikan perintah sebelum juga mengunduh instruksi dari penyimpanan GitHub.

Malware ini memiliki kemampuan untuk menjalankan cryptomining, menjadi worm yang dapat menyebar ke seluruh jaringan, dan melewati mekanisme pertahanan seperti firewall.

URL Pastebin dan penyimpanan GitHub yang digunakan untuk memberikan instruksi kepada malware telah ditutup setelah dilaporkan oleh para peneliti, sesuatu yang seharusnya menghentikan penyebaran botnet untuk saat ini. Namun, para peneliti juga mencatat bahwa Gitpaste-12 sedang dalam pengembangan, yang berarti ada risiko Gitpaste-12 bisa kembali.

Namun, mungkin untuk membantu melindungi terhadap Gitpaste-12 dengan memotong cara utama penyebarannya dengan menerapkan patch keamanan yang menutup kerentanan yang diketahui dieksploitasi.

Pengguna juga harus menghindari penggunaan kata sandi default untuk perangkat IoT, karena ini membantu melindungi dari serangan brute force yang mengandalkan eksploitasi kredensial default dan kata sandi umum lainnya.

Source : ZDnet

CVE-2020-14386: Kerentanan Eskalasi Hak Istimewa di kernel Linux

October 12, 2020 by Winnie the Pooh

Peneliti di perusahaan keamanan siber Palo Alto telah menemukan adanya kerentanan pada Linux kernel.

Dicatat sebagai CVE-2020-14386, adalah sebuah kerentanan kerusakan memori di kernel Linux. Kerentanan ini dapat digunakan untuk meningkatkan hak istimewa dari pengguna yang tidak memiliki hak menjadi pengguna root pada sistem Linux.

Masalah aritmatika yang menyebabkan kerusakan memori ini. Masalahnya terletak pada fungsi tpacket_rcv, yang terletak di (net/packet/af_packet.c).

Agar kerentanan dapat dipicu, ini memerlukan kernel untuk mengaktifkan soket AF_PACKET (CONFIG_PACKET = y) dan hak istimewa CAP_NET_RAW untuk proses pemicuan, yang dapat diperoleh dalam namespace pengguna tanpa hak jika namespace pengguna diaktifkan (CONFIG_USER_NS = y) dan dapat diakses oleh pengguna yang tidak memiliki hak istimewa.

Dan ternyata, daftar panjang batasan ini terpenuhi secara default di beberapa Linux distro, seperti Ubuntu.

Palo Alto telah merilis patch perbaikan untuk bug ini dan detail teknis yang dapat diakses pada tautan berikut:
Source: Palo Alto

Pengguna Mac dan Linux Ditargetkan oleh Varian Baru FinSpy

September 30, 2020 by Winnie the Pooh

Spyware komersial FinSpy kembali dalam kampanye yang baru-baru ini diamati terhadap organisasi dan aktivis di Mesir.

Sementara spyware sebelumnya menargetkan pengguna Windows, iOS, dan Android, para peneliti telah menemukan kampanye ini menggunakan varian baru yang menargetkan pengguna macOS dan Linux.

FinSpy adalah rangkaian perangkat lunak pengawasan lengkap, yang memiliki kemampuan untuk mencegat komunikasi korban, mengakses data pribadi, dan merekam audio dan video, menurut Amnesty International, yang mengungkap varian baru ini. Dan telah digunakan oleh penegak hukum dan lembaga pemerintah di seluruh dunia sejak 2011.

Namun, para peneliti baru-baru ini menemukan sampel FinSpy yang belum pernah dilihat sebelumnya yang telah digunakan dalam kampanye sejak Oktober 2019. Sampel ini mencakup “Jabuka.app,” varian FinSpy untuk macOS, dan “PDF”, varian FinSpy untuk Linux. Keduanya diungkapkan kepada publik Jumat lalu untuk pertama kalinya.

Peneliti mengatakan bahwa sampel FinSpy untuk macOS “menggunakan rantai yang cukup kompleks untuk menginfeksi sistem, dan pengembang mengambil tindakan untuk memperumit analisisnya.”

Sementara muatan Linux sangat mirip dengan versi macOS, yang menurut para peneliti menunjukkan potensi basis kode bersama. Namun, launcher dan rantai infeksi disesuaikan untuk bekerja pada sistem Linux, dengan file “PDF” yang diperoleh dari server menjadi skrip pendek yang berisi binari yang dikodekan untuk Linux 32bit dan 64bit.

Varian malware untuk macOS dan Linux menyertakan modul dengan kemampuan keylogging, penjadwalan, dan perekaman layar. Mereka juga memiliki kemampuan untuk mencuri email dengan memasang add-on berbahaya ke Apple Mail dan Thunderbird, yang mengirimkan email untuk dikumpulkan oleh FinSpy, dan kemampuan mengumpulkan informasi tentang jaringan Wi-Fi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Malware CDRThief baru menargetkan softswitch VoIP untuk mencuri catatan detail panggilan

September 14, 2020 by Winnie the Pooh

Peneliti keamanan dari firma keamanan siber Slovakia ESET mengatakan hari ini mereka menemukan bagian yang sangat langka dari malware Linux yang menargetkan sakelar telepon Voice-over-IP (VoIP) dengan tujuan akhir mencuri metadata detail panggilan.

Untuk saat ini, para peneliti mengatakan mereka hanya melihat malware dan menganalisis perilakunya, tetapi tidak yakin 100% siapa yang mengembangkannya, dan untuk tujuan apa.

Teori yang dipertimbangkan termasuk bahwa malware, yang mereka beri nama CDRThief , dapat digunakan untuk spionase dunia maya atau untuk jenis skema penipuan telepon yang dikenal sebagai International Revenue Share Fraud (IRSF).

Tetapi terlepas dari tujuan akhirnya, kesimpulan umum dari tim ESET adalah bahwa CDRThief dikembangkan oleh aktor ancaman dengan pengetahuan mendalam tentang lanskap VoIP.

Sebagai permulaan, malware hanya menargetkan dua softswitch VoIP yang berjalan di server Linux. Softswitch VoIP adalah program perangkat lunak yang berjalan di server biasa dan dirancang untuk merutekan panggilan menggunakan perangkat lunak, bukan perangkat keras khusus.

Kedua, CDRThief hanya menargetkan dua program softswitch, yaitu sistem VOS2009 dan VOS3000 dari perusahaan China Linknat.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

‘BootHole’ Ancaman Secure Boot Yang Ditemukan Di Hampir Setiap Distro Linux, Windows 8 Dan 10

July 30, 2020 by Winnie the Pooh

Peneliti keamanan di Eclypsium menemukan kerentanan yang memengaruhi bootloader yang digunakan oleh hampir semua sistem Linux, dan hampir setiap perangkat Windows yang menggunakan Secure Boot dengan otoritas sertifikat Unified Extensible Firmware Interface (UEFI) standar Microsoft.

CVE-2020-10713, yang dijuluki BootHole, memiliki peringkat CVSS tinggi 8,2 dan berada di GRand Unified Bootloader 2 (GRUB2) default tetapi memengaruhi sistem yang menjalankan Secure Boot bahkan jika mereka tidak menggunakan GRUB2.

Jika berhasil dieksploitasi, BootHole memungkinkan penyerang untuk mengeksekusi kode apapun selama proses boot-up, bahkan ketika Secure Boot diaktifkan dan melakukan verifikasi tanda tangan dengan benar.

Yang berarti penyerang bisa mendapatkan kegigihan untuk malware yang diinstal secara diam-diam dan memberikan mereka, “near-total control” (mendekati total kontrol) atas perangkat yang terinfeksi, menurut Eclypsium.

Lebih buruk lagi, tidak ada pembaruan patch atau firmware sederhana yang dapat memperbaiki masalah ini, menurut Eclypsium.

Eclypsium telah mengoordinasikan pengungkapan yang bertanggung jawab atas BootHole dengan sejumlah vendor yang terkena dampak dan distro Linux, termasuk Microsoft, Tim Respons Keamanan UEFI (USRT), Oracle, Red Hat (Fedora dan RHEL), Canonical (Ubuntu), SuSE (SLES dan openSUSE), Debian, Citrix, VMware, dan berbagai OEM dan vendor perangkat lunak, beberapa di antaranya telah mengeluarkan laporan mereka sendiri.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

MATA, Malware Yang Menargetkan Organisasi Di Seluruh Dunia

July 24, 2020 by Winnie the Pooh

Peneliti keamanan di Kaspersky telah menemukan kerangka kerja multi-platform malware yang disebut “MATA” yang telah berhasil menargetkan korban di seluruh dunia.

Kaspersky menjelaskan dalam analisisnya bahwa artefak pertama yang berkaitan dengan MATA muncul kembali pada bulan April 2018. Siapa pun yang berada di belakang kerangka kerja malware ini kemudian menggunakan ancaman ini untuk menargetkan perusahaan di Polandia, Jerman, Turki, Korea, Jepang, dan India.

Organisasi yang ditargetkan beroperasi di beberapa sektor ekonomi yang berbeda. Di antara para korban adalah perusahaan perangkat lunak, bisnis e-commerce dan Penyedia Layanan Internet (ISP).

Kaspersky Lab menemukan tiga versi MATA yang menargetkan Windows, Linux dan macOS. Versi Windows terdiri dari beberapa komponen termasuk loader, orkestrator dan plugin.

Versi Linux dari MATA tersedia di situs distribusi yang sah, sedangkan varian macOS tiba sebagai trojan aplikasi otentikasi dua faktor (2FA).

Dalam analisisnya, Kaspersky Lab menghubungkan malware MATA dengan aktor ancaman terkenal:

Kami menyimpulkan bahwa kerangka kerja MATA dapat dikaitkan dengan grup APT Lazarus. Orkestrator MATA menggunakan dua nama file unik, c_2910.cls dan k_3872.cls, yang sebelumnya hanya terlihat dalam beberapa varian Manuscrypt, termasuk sampel (0137f688436c468d43b3e50878ec1a1f) yang disebutkan dalam publikasi US-CERT.

Perusahaan keamanan itu mengungkapkan bahwa varian Manuscrypt, keluarga malware yang didistribusikan oleh Lazarus, juga memiliki struktur konfigurasi yang sama dengan MATA.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Kaspersky Lab | Tripwire

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Linux

Cookies Settings