Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Router

Router

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

by

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Hampir 80 Router Netgear Memiliki Kelemahan Keamanan Utama Dan Setengahnya Tidak Akan Diperbaiki

by

Netgear telah memutuskan untuk tidak mengeluarkan pembaruan firmware untuk 45 dari hampir 80 model router dan gateway yang memilki kerentanan eksekusi kode jarak jauh yang diungkapkan pada akhir Juni lalu. Jika tidak segera ditambal, seorang hacker dapat secara efektif mem-bypass kredensial login dan mengambil kendali router.

Daftar lengkap model yang terpengaruh dapat dilihat pada halaman support Netgear. Jika Anda memiliki model yang tidak akan diperbaiki, Anda harus mempertimbangkan untuk membeli router yang lebih baru.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: PC Gamer

Patch Segera ! Router Asus dapat direflash menggunakan Malware

by

Jika Anda memiliki router ASUS RT-AC1900P, perangkat high-end dan berbandwidth tinggi  maka segera lakukan pembaruan sekarang, Pasalnya para peneliti di Trustwave menemukan celah keamanan di firmware router ini pada akhir tahun 2019, yang tidak ditanggapi penuh oleh ASUS, dan para peneliti sekarang mempublish bagaimana melakukan mitigasi terhadap celah keamanan ini.

Ironisnya, bug yang terkait dengan pembaruan firmware router, sehingga pembaruan ini menambal sistem pembaruan itu sendiri. Trustwave menemukan dua kerentanan, CVE-2020-15498 dan CVE-2020-15499, yang memungkinkan penjahat melakukan serangan ganda :

  • Pembaruan asli ini tidak akan melakukan pengecekan digital signature selama pengunduhan. Secara teori, penjahat bisa membuat pembaruan palsu dan mengalahkan pembaruan yang asli.
  • Terdapat catatan rilis dengan JavaScript pada pembaruan yang akan dijalankan browser Anda tanpa peringatan. Secara teori, penjahat bahkan tidak perlu firmware palsu untuk meluncurkan serangan.

Yang Harus Anda Lakukan

Cek dan Update firmware anda, menurut Trustwave, bug ini diperbaiki jika versi software anda 3.0.0.4.385_20253 keatas.

Jika anda seorang programmer IOT :

Jangan menggunakan kriptografi sebagai jalan pintas. Jika HTTPS anda mermasalah, jangan matikan pengecekan Sertifikat

Cek penggunaan kriptografi secara berkala. Gunakan kriptografi yang terbaru, jangan pernah menggunakan kriptografi model lama karena dengan berkembangnya teknologi, hacker dengan mudah meretas itu.

Validasi semua inputmu. Selalu berhati-hati dengan booby-trapped input, Contoh menggunakan string yang terlalu panjang,atau mengandung karakter yuang tidak diperbolehkan. Jangan beri kesempatan pada attacker untuk melakukan Buffer Overflow.

 

Source : Sophos

Lebih Dari 100 Router Wi-Fi Gagal Dalam Tes Keamanan Utama – Ini Yang Harus Anda Lakukan

by

Hampir semua router Wi-Fi rumahan yang diuji dalam studi massal oleh Fraunhofer Institute yang terkenal di Jerman memiliki kerentanan keamanan serius yang dapat dengan mudah diperbaiki oleh pembuat router, sebuah laporan baru-baru ini dirilis.

Menggunakan perangkat lunak analitiknya sendiri, institut ini menguji firmware terbaru yang tersedia untuk 117 model Wi-Fi rumahan yang saat ini dijual di Eropa, termasuk router dari ASUS, D-Link, Linksys, Netgear, TP-Link, Zyxel dan AVM merek Jerman. Model-model itu sendiri tidak diuji secara fisik.

Daftar lengkap model dan firmware yang diuji ada di GitHub. Lembaga ini tidak dapat memeriksa 10 model firmware lagi, kebanyakan dari Linksys. Laporan mencatat bahwa banyak pembaruan firmware dikeluarkan tanpa memperbaiki kekurangan yang diketahui.

Sejauh ini AVM menjadi yang terbaik di antara tujuh merek router yang diperiksa, meskipun bukan tanpa cacat. ASUS dan Netgear tidak membuat hasil yang baik, tetapi mereka tidak separah D-Link, Linksys, TP-Link dan Zyxel.

Kelemahan yang diteliti termasuk firmware yang tidak terbaru (D-Link DSL-321B Z belum diperbarui sejak 2014); Kernel Linux yang kedaluwarsa (Linksys WRT54GL menggunakan kernel dari tahun 2002); kegagalan untuk menerapkan teknik keamanan umum (di sini AVM jauh lebih baik daripada yang lain); kunci pribadi (private keys) rahasia yang tertanam dalam firmware sehingga siapa pun dapat menemukannya (Netgear R6800 memiliki 13); dan nama pengguna & kata sandi administratif hard-coded yang memungkinkan pengambil-alihan perangkat secara penuh (hanya ASUS yang tidak memilikinya).

Linksys WRT54GL terakhir memiliki firmware yang diperbarui pada Januari 2016, salah satu firmware tertua dalam penelitian ini. Linksys WRT54GL pertama kali dirilis pada tahun 2005 dan masih dijual hingga hari ini, meskipun hanya menangani protokol Wi-Fi hingga 802.11g.

Apa Yang Harus Anda Lakukan?

Anda dapat memastikan bahwa router berikutnya yang Anda beli dapat menginstal pembaruan firmware secara otomatis. Anda dapat memeriksa untuk melihat apakah router Anda saat ini melakukannya, atau membuatnya cukup mudah untuk menginstal pembaruan firmware secara manual.

Anda juga harus memastikan bahwa kata sandi administratif untuk router Anda telah diubah dari kata sandi default. (Periksa daftar kata sandi default di https://www.routerpasswords.com.) Anda juga harus memeriksa antarmuka administratif untuk memastikan bahwa UPnP dan akses jarak jauh dinonaktifkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tom’s Guide

Kerentanan Keamanan Router Netgear Akhirnya Diperbaiki Setelah Enam Bulan

by

Netgear telah mengeluarkan tambalan (patch) untuk memperbaiki kerentanan keamanan di dua router yang dapat dieksploitasi oleh penyerang untuk mengambil kendali penuh perangkat dari jarak jauh.

Dua perangkat yang telah menerima tambalan adalah R6400v2 dan R6700v3. Namun, 77 router Netgear lainnya dilaporkan masih tetap rentan terhadap kerentanan zero-day yang dilaporkan ke perusahaan pada Januari tahun ini.

Kerentanan, yang terletak pada daemon HTTPD yang digunakan untuk mengelola router, ditemukan secara independen oleh Grimm’s Adam Nichols dan d4rkn3ss dari VNPT ISC Vietnam melalui Zero Day Initiative (ZDI).

Untuk mengeksploitasi kelemahan pada router Netgear, penyerang perlu membuat string yang dibuat khusus yang mampu mengeksekusi perintah pada perangkat tanpa harus mengautentikasi terlebih dahulu.

Dalam blognya, Nichols menjelaskan bahwa sementara cookie stack biasanya dapat mengurangi kerentanan ini, banyak router Netgear tidak menggunakannya, dengan mengatakan:

“Dalam sebagian besar perangkat lunak modern, kerentanan ini tidak dapat dieksploitasi. Perangkat lunak modern biasanya berisi stack cookie yang akan mencegah eksploitasi. Namun, R7000 tidak menggunakan stack cookies. Faktanya, dari semua produk Netgear yang menggunakan basis kode yang sama, hanya firmware D8500 versi 1.0.3.29 dan firmware R6300v2 versi 1.0.4.12-1.0.4.20 yang menggunakan stack cookie. Namun, versi D8500 dan R6300v2 yang lebih baru berhenti menggunakan stack cookies, membuat kerentanan ini sekali lagi dieksploitasi.”

Secara default, Daemon HTTPD router ini hanya dapat diakses melalui LAN, meskipun admin router dapat mengaktifkannya sehingga dapat diakses dari jarak jauh melalui internet. Namun, penyerang masih dapat membuat situs web berbahaya menggunakan JavaScript untuk melakukan serangan rebinding DNS yang akan memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh pada router yang tidak dapat diakses melalui internet.

Jika Anda memiliki router Netgear R6400v2 atau R6700v3, Anda dapat mengunduh hot-fix untuk memperbaiki kerentanannya sekarang, tetapi jika Anda memiliki salah satu dari 77 router yang terpengaruh, Anda kurang beruntung sampai perusahaan mengeluarkan patch untuk ke 77 router tersebut.

Selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tech Radar

Kerentanan Baru Ditemukan pada D-Link Home Routers

by

Pada sebuah tulisan blog yang diterbitkan pada 12 Juni 2020, para peneliti Unit42 dari Palo Alto Network mengungkapkan adanya kerentanan pada D-Link router.

Total ada 6 Kerentanan yang telah ditemukan sejak 28 Februari lalu dan ditemukan pada model router D-Link DIR-865L, yang ditujukan untuk penggunaan home network. Adanya tren baru (Work From Home) ini meningkatkan kemungkinan serangan berbahaya terhadap home network, yang membuatnya semakin penting untuk kita menjaga perangkat jaringan agar selalu diperbarui.

Peneliti mengatakan bahwa ada kemungkinan beberapa kerentanan yang ditemukan juga hadir dalam model router yang lebih baru karena router-router tersebut menggunakan basis kode yang sama. Berikut ini adalah enam kerentanan yang ditemukan:

“Kombinasi berbeda dari kerentanan ini dapat menyebabkan risiko yang signifikan. Misalnya, pengguna jahat dapat melihat lalu lintas jaringan untuk mencuri session cookie. Dengan informasi ini, mereka dapat mengakses portal administratif untuk berbagi file, memberi mereka kemampuan untuk mengunggah file berbahaya, mengunduh file sensitif, atau menghapus file penting. Mereka juga dapat menggunakan cookie untuk menjalankan perintah apa saja untuk melakukan serangan denial of service” tulis peneliti dalam blog tersebut.

Perusahaan D-Link sendiri sudah mengetahui mengenai kerentanan ini dari Palo Alto dan telah menerbitkan patch untuk memperbaiki kerentanan ini. Namun, patch yang dirilis hanya memperbaiki 3 kerentanan, yaitu: Cross-Site Request Forgery (CSRF), Inadequate Encryption Strength dan Cleartext Storage of Sensitive Information.

Dan berita buruk lainnya adalah bahwa model DIR-865L ini ternyata telah mencapai akhir dukungan (EoL/EoS) sejak 02/01/2016. Perusahaan mengatakan, “Produk  (DIR-865L) telah mencapai End of Life(EoL)/End of Support(EoS), dan tidak ada lagi dukungan atau pengembangan yang diperluas untuk mereka. Setelah suatu produk melewati tanggal EoL / EoS, D-Link tidak akan dapat menyelesaikan masalah Perangkat atau Firmware karena semua pengembangan dan dukungan pelanggan telah terhenti.”

Berikut adalah rekomendasi dari Palo Alto untuk pengguna router D-Link:

  • Instal versi terbaru firmware. Firmware dapat ditemukan di situs web D-Link di mana mereka mengumumkan kerentanannya: Pengumuman D-Link.
  • Default semua lalu lintas ke HTTPS untuk bertahan terhadap serangan session hijacking.
  • Ubah zona waktu pada router untuk bertahan melawan aktor jahat yang menghitung id sesi yang dibuat secara acak. Anda dapat menemukan cara melakukannya di situs D-Link.
  • Jangan gunakan router ini untuk berbagi informasi sensitif sampai seluruh kerentanannya ditambal (patched).

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Unit42 Palo Alto

Grup hacker misterius sedang menguping lalu lintas email dan FTP perusahaan

by

Sejak awal Desember 2019, kelompok peretas misterius telah mengambil alih router perusahaan DrayTek untuk menguping FTP dan lalu lintas email di dalam jaringan perusahaan, perusahaan keamanan Cina Qihoo 360 mengatakan pada Sabtu kemarin.

 

Dalam sebuah laporan yang diterbitkan di blog divisi keamanan jaringan Netlab, Qihoo mengatakan para peneliti mendeteksi dua aktor ancaman yang berbeda, masing-masing mengeksploitasi kerentanan zero day yang berbeda di DrayTek Vigor – router load balancing dan gateway VPN yang biasanya digunakan pada jaringan di perusahaan.

Kelompok pertama, menurut Qihoo, muncul di radar mereka pada 4 Desember tahun lalu, ketika mereka mendeteksi serangan yang cukup kompleks pada perangkat DrayTek. Para peneliti mengatakan para peretas menyebarkan skrip yang dapat mencatat lalu lintas yang datang melalui port 21 (transfer file FTP), port 25 (SMTP – email), port 110 (POP3 – email), dan port 143 (IMAP – email). Kemudian, pada setiap hari Senin, Rabu, dan Jumat pukul 00:00, skrip akan mengunggah semua lalu lintas yang direkam ke server jarak jauh mereka.

 

Kelompok kedua menggunakan zero-day yang berbeda, tetapi para peretas tidak menemukannya sendiri. Zero-day yang mereka gunakan pertama kali dijelaskan dalam sebuah postingan pada tanggal 26 Januari di blog Skull Army, dan para peretas mulai mengeksploitasinya dua hari kemudian.

 

Vendor akhirnya mengetahui kedua zero day tersebut setelah serangan Grup B pada Januari lalu dan merilis patch firmware pada 10 Februari 2020. DrayTek bahkan berusaha mengeluarkan tambalan firmware untuk model router yang sekarang tidak diproduksi lagi.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet

Serangan Siber Yang Menargetkan Home Router Dan Membuat Penggunanya Masuk ke Situs Palsu

by

Peretasan router yang baru-baru ini ditemukan mengarahkan pengguna ke situs berbahaya yang menyamar sebagai sumber informasi COVID-19 dalam upaya untuk menginstal malware yang mencuri kata sandi dan kredensial cryptocurrency, kata para peneliti, hari Rabu kemari.

Perusahaan keamanan Bitfender mengatakn bahwa peretasan itu terjadi pada router Linksys, meskipun BleepingComputer, yang melaporkan serangan itu 3 hari yang lalu, mengatakan kampanye itu juga menargetkan perangkat D-Link.

 

Masih belum jelas bagaimana penyerang mengkompromikan router router tersebut. Namun setelah dikompromikan, ini memungkinkan penyerang untuk menunjuk server DNS yang digunakan pada perangkat tersebut. Dengan mengirim perangkat ke server DNS yang menyediakan pencarian palsu, penyerang dapat mengarahkan orang ke situs jahat yang di dalamnya terdapat malware atau yang berupaya untuk memalsukan kata sandi.

Jika korban sudah masuk ke dalam situs jahat yg mengklaim adalah penyedia informasi mengenai COVID-19 dan mengklik tombol unduh pada akhirnya dialihkan ke salah satu dari beberapa halaman Bitbucket yang menawarkan file yang menginstal malware. Dikenal sebagai Oski, malware yang relatif baru mengekstrak kredensial browser, alamat dompet cryptocurrency, dan kemungkinan jenis informasi sensitif lainnya.

 

Untuk mencegah serangan pada router, matikan remote administration. Jika fitur ini benar-benar diperlukan, fitur ini hanya boleh digunakan oleh pengguna yang berpengalaman dan dilindungi oleh kata sandi yang kuat. Akun cloud — yang juga memungkinkan untuk mengelola router dari jarak jauh — harus mengikuti pedoman yang sama. Selain itu, orang harus sering memastikan bahwa firmware router selalu diperbarui.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Ars Techinca | GB Hackers