Router

Apakah geng Trickbot membajak router Anda? Pemindai ini mungkin punya jawaban

March 18, 2022 by Eevee

Microsoft telah menerbitkan alat yang memindai dan mendeteksi perangkat Internet-of-Things yang didukung MikroTik yang telah dibajak oleh geng Trickbot.

Pemindai open-source muncul setelah penyelidikan oleh tim peneliti Redmond’s Defender for IoT tentang bagaimana kru malware jahat mengambil alih router MikroTik dan mengaturnya untuk menyalurkan komunikasi ke dan dari komputer yang terinfeksi Trickbot di jaringan dan server backend penjahat.

Tim keamanan Microsoft menguraikan bagaimana penjahat berkompromi dengan perangkat MikroTik untuk memperkuat komunikasi C2 Trickbot. Geng pertama-tama harus memperoleh kredensial untuk gateway, dan menurut Microsoft ia melakukan ini melalui berbagai metode termasuk menggunakan kata sandi MikroTik default dan meluncurkan serangan brute force.

Atau mereka dapat mengeksploitasi CVE-2018-14847 pada perangkat yang menjalankan versi RouterOS yang lebih lama dari 6.42. Ini memungkinkan penyerang untuk membaca file arbitrer seperti user.dat, yang berisi kata sandi, Microsoft menjelaskan.

Penjahat kemudian mengubah kata sandi router untuk mempertahankan akses, dan kemudian menggunakan perangkat yang disusupi untuk mengirim perintah ke sistem beracun Trickbot di jaringan agar mereka menjalankan ransomware, menambang koin, mencuri atau menghapus data, dan sebagainya.

Microsoft mencatat bahwa lalu lintas C2 yang dialihkan diterima dari port 449 port Trickbot yang dikenal dan dialihkan melalui port 80.

Pemindai terhubung ke perangkat MikroTik dan mencari aturan konfigurasi pengalihan lalu lintas dan perubahan port, di antara indikator Trickbot lainnya. Jika Anda ingin mencari sendiri, tanpa menggunakan kode Microsoft, atau memerlukan saran tentang apa yang harus dilakukan jika Anda merasa router Anda telah disusupi, Redmond menawarkan ini:

Jalankan perintah berikut [pada router] untuk mendeteksi apakah aturan NAT diterapkan ke perangkat (dilengkapi oleh alat juga):

/ip firewall nat print

Jika ada data berikut, ini mungkin mengindikasikan infeksi:

rantai=dstnat action=dst-nat ke-alamat=

ke-port=80 protokol=tcp dst-address=

rantai=srcnat action=masquerade src-address=

Jalankan perintah berikut untuk menghapus aturan NAT yang berpotensi berbahaya:

/ip firewall nat menghapus angka=

Tips nomor satu untuk melindungi dari serangan Trickbot di masa depan: tetap ditambal, dan gunakan kata sandi yang kuat bukan kata sandi default MikroTik.

Sumber : The Register

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

January 28, 2022 by Winnie the Pooh

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Netgear Meninggalkan Kerentanan yang Tidak Ditambal di Router Nighthawk

January 5, 2022 by Eevee

Para peneliti telah menemukan setengah lusin kerentanan berisiko tinggi dalam versi firmware terbaru untuk router Netgear Nighthawk R6700v3. Pada saat penerbitan kekurangan tetap tidak ditampat.

Nighthawk R6700 adalah router WiFi dual-bank populer yang diiklankan dengan fitur yang berfokus pada game, kontrol orang tua yang cerdas, dan perangkat keras internal yang cukup kuat untuk mengakomodasi kebutuhan pengguna daya rumah.

Enam kekurangan ditemukan oleh para peneliti di perusahaan cybersecurity Tenable dan dapat memungkinkan penyerang di jaringan untuk mengambil kendali penuh atas perangkat:

CVE-2021-20173: Cacat injeksi perintah pasca-otentikasi dalam fungsi pembaruan perangkat, membuatnya rentan terhadap injeksi perintah.
CVE-2021-20174: HTTP digunakan secara default pada semua komunikasi antarmuka web perangkat, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
CVE-2021-20175: SOAP Interface (port 5000) menggunakan HTTP untuk berkomunikasi secara default, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
CVE-2021-23147: Eksekusi perintah sebagai root tanpa otentikasi melalui koneksi port UART. Mengeksploitasi cacat ini membutuhkan akses fisik ke perangkat.
CVE-2021-45732: Manipulasi konfigurasi melalui rutinitas enkripsi hardcoded, memungkinkan perubahan pengaturan yang terkunci karena alasan keamanan.
CVE-2021-45077: Semua nama pengguna dan kata sandi untuk layanan perangkat disimpan dalam bentuk plaintext dalam file konfigurasi.

Kekurangan yang baru-baru ini diungkapkan mempengaruhi firmware versi 1.0.4.120, yang merupakan rilis terbaru untuk perangkat.

Pengguna disarankan untuk mengubah kredensial default menjadi sesuatu yang unik dan kuat dan mengikuti praktik keamanan yang direkomendasikan untuk pertahanan yang lebih kuat terhadap infeksi malware.

Juga, periksa portal unduhan firmware Netgear secara teratur dan instal versi baru segera setelah tersedia. Mengaktifkan pembaruan otomatis pada router Anda juga disarankan.

Laporan keamanan saat ini mengacu pada Netgear R6700 v3, yang masih di bawah dukungan, bukan Netgear R6700 v1 dan R6700 v2, yang telah mencapai akhir kehidupan. Jika Anda masih menggunakan model yang lebih lama, disarankan untuk menggantinya.

Tenable mengungkapkan masalah di atas kepada vendor pada tanggal 30 September 2021, dan meskipun beberapa pertukaran informasi dalam bentuk klarifikasi dan saran terjadi sesudahnya, masalah tetap tidak terselesaikan.

Kami telah menghubungi Netgear untuk meminta komentar tentang hal di atas, dan kami akan menambahkan pembaruan ke cerita ini segera setelah kami mendengar kembali dari mereka.

Sumber: Bleepingcomputer

Bug yang dieksploitasi secara aktif melewati otentikasi pada jutaan router

August 9, 2021 by Winnie the Pooh

Pelaku ancaman secara aktif mengeksploitasi kerentanan bypass otentikasi kritis yang memengaruhi router rumah dengan firmware Arcadyan untuk mengambil alih dan menyebarkan muatan berbahaya botnet Mirai.

Kerentanan yang dilacak sebagai CVE-2021-20090 adalah kerentanan traversal jalur kritis (diberi peringkat 9.9/10) di antarmuka web router dengan firmware Arcadyan yang dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mem-bypass otentikasi.

Serangan yang sedang berlangsung ditemukan oleh peneliti Juniper Threat Labs saat memantau aktivitas aktor ancaman yang dikenal menargetkan jaringan dan perangkat IoT sejak Februari.

Perangkat yang rentan termasuk lusinan model router dari beberapa vendor dan ISP, termasuk Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra, dan Telus.

Berdasarkan jumlah model router dan daftar panjang vendor yang terkena dampak bug ini, jumlah total perangkat yang terkena serangan kemungkinan mencapai jutaan router.

Cacat keamanan ditemukan oleh Tenable, yang menerbitkan penasihat keamanan pada 26 April dan menambahkan bukti konsep kode eksploitasi pada Selasa, 3 Agustus.

A little video demo from the Buffalo writeup ( https://t.co/ySft5EP299 ) : pic.twitter.com/1ulDi0CyXZ

— evan grant (@stargravy) August 3, 2021

Sejak Kamis, Juniper Threat Labs “mengidentifikasi beberapa pola serangan yang mencoba mengeksploitasi kerentanan ini di alam liar yang berasal dari alamat IP yang terletak di Wuhan, provinsi Hubei, Cina.”

Pelaku ancaman di balik aktivitas eksploitasi yang sedang berlangsung ini menggunakan alat berbahaya untuk menyebarkan varian botnet Mirai, serupa dengan yang digunakan dalam kampanye Mirai yang menargetkan perangkat IoT dan keamanan jaringan, yang ditemukan oleh peneliti Unit 42 pada bulan Maret.

Selengkapnya: Bleeping Computer

Cisco memperingatkan kelemahan eksekusi kode jarak jauh yang kritis di router VPN bisnis kecil ini

February 6, 2021 by Winnie the Pooh

Cisco memperingatkan pelanggan yang menggunakan router bisnis kecilnya untuk mengupgrade firmware guna memperbaiki kekurangan yang dapat memberikan akses root level penyerang jarak jauh ke perangkat.

Vulnerabilities kritis memengaruhi Router VPN Cisco Small Business RV160, RV160W, RV260, RV260P, dan RV260W. Ini adalah model yang direkomendasikan Cisco kepada pelanggan yang menggunakan router bisnis kecil yang tidak didukung untuk dipindahkan bulan lalu.

Ada beberapa bug dalam antarmuka manajemen web dari router yang dapat digunakan penyerang jarak jauh untuk mengeksekusi kode sebagai pengguna root. Perangkat tidak memvalidasi permintaan HTTP dengan benar, memungkinkan penyerang untuk mengirim permintaan HTTP yang dibuat secara khusus yang mungkin mengeksploitasi kekurangan tersebut.

Perangkat yang terpengaruh termasuk Router VPN RV160, Router VPN AC Nirkabel RV160W, Router VPN RV260, Router VPN RV260P dengan POE, dan Router VPN Wireless-AC RV260W.

Tidak ada solusi, jadi pelanggan harus meningkatkan ke rilis 1.0.01.02 atau yang lebih baru. Ini merilis versi itu pada bulan Januari. Cisco melacak bug sebagai CVE-2021-1289, CVE-2021-1290, dan CVE-2021-1291.

Antarmuka web Router VPN Cisco Small Business RV160, RV160W, RV260, RV260P, dan RV260W juga rentan terhadap serangan jarak jauh melalui masalah traversal direktori. Admin perlu memastikan perangkat memiliki firmware yang rilis 1.0.01.02 atau yang lebih baru untuk dilindungi.

selengkapnya : ZDNET

Cisco memperbaiki bug eksekusi kode penting di router VPN SMB

February 4, 2021 by Winnie the Pooh

Cisco telah mengatasi beberapa kerentanan pre-auth remote code execution (RCE) yang memengaruhi beberapa router VPN bisnis kecil dan memungkinkan penyerang mengeksekusi kode arbitrer sebagai root pada perangkat yang berhasil dieksploitasi.

Bug keamanan dengan tingkat keparahan 9.8 / 10 ditemukan di antarmuka manajemen berbasis web dari router bisnis kecil Cisco.

“Kerentanan ini muncul karena permintaan HTTP tidak divalidasi dengan benar,” Cisco menjelaskan dalam sebuah laporan.

“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat ke antarmuka pengelolaan berbasis web dari perangkat yang terpengaruh.”

Menurut Cisco, Small Business Routers berikut ini rentan terhadap serangan yang mencoba mengeksploitasi kerentanan ini jika menjalankan versi firmware yang lebih lama dari Rilis 1.0.01.02:

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router with POE
RV260W Wireless-AC VPN Router

Cisco mengatakan bahwa Router VPN Dual WAN Gigabit (termasuk RV340, RV340W, RV345, dan RV345P) tidak terpengaruh.

Perusahaan telah memperbaiki kerentanan dalam rilis firmware 1.0.01.02 dan yang lebih baru yang dikeluarkan untuk semua router yang terkena dampak.

Sumber: Bleeping Computer

Bagaimana NSA meretas router Huawei

January 30, 2021 by Winnie the Pooh

Dokumen yang bocor dari Badan Keamanan Nasional pada tahun 2014 mengungkapkan bahwa layanan mata-mata utama negara itu secara diam-diam mencuri rahasia elektronik dan lainnya dengan meretas peralatan telekomunikasi Huawei Technologies yang digunakan secara luas di China dan di seluruh dunia.

Operasi mata-mata yang sensasional, dengan nama kode Shotgiant, dibatalkan oleh Edward Snowden, mantan kontraktor NSA yang sekarang tinggal di Rusia yang mengungkap peretasan rahasia setelah mencuri hampir 2 juta dokumen NSA dan merilisnya ke pers.

Inside the Ring sekarang dapat mengungkapkan bagaimana NSA dapat melakukan operasi mata-mata elektroniknya di seluruh dunia, menembus router Huawei dan mendengarkan komunikasi yang melewatinya.

Seseorang yang mengetahui operasi tersebut mengatakan bahwa cyberspies yang bekerja untuk grup Operasi Akses Khusus NSA, unit peretasan rahasia yang berbasis di dekat Bandara Internasional Baltimore-Washington, dapat masuk ke dalam peralatan Huawei karena peretasan sebelumnya terhadap router Cisco Systems.

Tanpa sepengetahuan Huawei, teknologi yang dicuri itu termasuk perangkat lunak yang sama dengan yang berhasil dibobol NSA di router Cisco. Dengan demikian, semua peralatan Huawei menjadi pos daftar raksasa untuk cyberspies.

Kemampuan untuk mencuri rahasia dari peralatan telekomunikasi dikonfirmasi dalam memorandum internal NSA sekitar tahun 2012 yang membahas peretasan router besar.

Peretasan router, jelas memo itu, memungkinkan mata-mata menambahkan kredensial masuk yang mengizinkan akses jarak jauh “kapan pun Anda pilih”.

Aturan perutean juga dapat ditambahkan atau diubah. Penggunaan kapabilitas “penangkap paket” dalam peralatan dideskripsikan sebagai “seperti pos pendengaran lokal untuk semua kredensial yang dikirimkan melalui kabel!”

Alat mata-mata lain dari peretas yang diretas melemahkan enkripsi untuk jaringan pribadi virtual sehingga NSA dapat membuat aliran informasi yang dapat diuraikan dengan mudah.

Akhirnya, NSA menggunakan perute yang diretas untuk menginstal “versi sistem operasi yang dorked [dimanipulasi] dengan fungsionalitas apa pun yang Anda inginkan,” kata memo itu.

selengkapnya : WashingtonNews

Cisco mengatakan mereka tidak akan menambal 74 bug keamanan di router RV lama yang mencapai EOL

January 15, 2021 by Winnie the Pooh

Vendor peralatan jaringan, Cisco, kemarin, mengatakan tidak akan merilis pembaruan firmware untuk memperbaiki 74 kerentanan yang telah dilaporkan di lini router RV, yang telah mencapai akhir masa pakainya (EOL).

Perangkat yang terpengaruh termasuk sistem Cisco Small Business RV110W, RV130, RV130W, dan RV215W, yang dapat digunakan sebagai router, firewall, dan VPN.

Keempatnya mencapai EOL pada 2017 dan 2018 dan juga baru-baru ini keluar dari masa pemeliharaan terakhir mereka sebagai bagian dari kontrak dukungan berbayar pada 1 Desember 2020.

Perusahaan menyarankan agar pelanggan memindahkan pengoperasian ke perangkat yang lebih baru, seperti model RV132W, RV160, atau RV160W, yang menyediakan fitur yang sama dan masih didukung secara aktif.

Beberapa pelanggan perusahaan mungkin tidak menyukai keputusan Cisco, tetapi kabar baiknya adalah tidak ada bug yang diungkapkan hari ini yang dapat dieksploitasi dengan mudah.

Cisco mengatakan bahwa semua kerentanan mengharuskan penyerang memiliki kredensial untuk perangkat tersebut, yang mengurangi risiko jaringan diserang dalam beberapa minggu atau bulan mendatang, memberikan administrator kesempatan untuk merencanakan dan menyiapkan rencana migrasi ke peralatan yang lebih baru, atau setidaknya menerapkan countermeasures mereka sendiri.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Router

Cookies Settings