Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Bug Cisco DNA Center Membuka Perusahaan untuk Serangan Jarak Jauh

by

Kerentanan cross-site request forgery (CSRF) di Cisco Digital Network Architecture (DNA) Center dapat membuka peluang bagi pengguna perusahaan untuk diserang dan diambil alih dari jarak jauh.

Cacat tersebut, dilacak sebagai CVE-2021-1257, ada di antarmuka manajemen berbasis web dari Cisco DNA Center, yang merupakan platform manajemen dan orkestrasi jaringan terpusat untuk Cisco DNA. Ini membawa skor kerentanan-keparahan CVSS 7,1, menjadikannya tingkat keparahan tinggi.

Antarmuka manajemen berbasis web yang digunakan untuk mengakses dan menggunakan Cisco DNA Center memiliki perlindungan CSRF yang tidak memadai dalam versi perangkat lunak sebelum 2.1.1.0. Patch yang dikeluarkan pada 25 Januari mengatasi masalah tersebut.

Penyerang dapat mengeksploitasi kerentanan dengan merekayasa sosial pengguna manajemen berbasis web agar mengikuti tautan yang dibuat khusus, misalnya melalui email phishing atau obrolan. Jika pengguna mengklik link tersebut, penyerang dapat melakukan tindakan sewenang-wenang pada perangkat dengan hak istimewa pengguna yang diautentikasi.

Tindakan ini termasuk memodifikasi konfigurasi perangkat, memutuskan sesi pengguna dan menjalankan perintah Command Runner, catat Cisco.

Kerentanan ini diperbaiki di Cisco DNA Center Software rilis 2.1.1.0, 2.1.2.0, 2.1.2.3 dan 2.1.2.4, dan yang lebih baru.

Sumber: Threat Post

Botnet DreamBus menargetkan aplikasi perusahaan yang berjalan di server Linux

by

Kemungkinannya adalah jika Anda menggunakan server Linux secara online akhir-akhir ini dan Anda membiarkan kelemahan terkecil sekalipun, grup kejahatan siber akan menjeratnya sebagai bagian dari botnetnya. Ancaman terbaru ini bernama DreamBus.

Analisis dalam laporan yang diterbitkan minggu lalu oleh firma keamanan Zscaler, perusahaan tersebut mengatakan ancaman baru ini adalah varian dari botnet lama bernama SystemdMiner, yang pertama kali terlihat pada awal 2019.

Tapi versi DreamBus saat ini telah menerima beberapa perbaikan dibandingkan dengan penampakan SystemdMiner awal.

Saat ini, botnet menargetkan aplikasi tingkat perusahaan yang berjalan di sistem Linux. Target mencakup banyak koleksi aplikasi, seperti PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, dan layanan SSH.

Beberapa dari aplikasi ini ditargetkan dengan serangan brute force terhadap nama pengguna administrator default mereka, yang lain dengan perintah jahat yang dikirim ke endpoint API yang terbuka, atau melalui eksploitasi untuk kerentanan yang lebih lama.

Idenya adalah untuk memberi geng DreamBus pijakan di server Linux di mana mereka nantinya dapat mengunduh dan menginstal aplikasi sumber terbuka yang menambang cryptocurrency Monero (XMR) untuk menghasilkan keuntungan bagi para penyerang.

Zscaler juga mengatakan bahwa DreamBus menggunakan beberapa tindakan untuk mencegah deteksi yang mudah. Salah satunya adalah bahwa semua sistem yang terinfeksi malware dikomunikasikan dengan server command and control (C&C) botnet melalui protokol DNS-over-HTTPS (DoH) yang baru. Malware berkemampuan DoH sangat jarang, karena rumit untuk disiapkan.

Selengkapnya: ZDNet

Bug yang sudah berusia puluhan tahun di sudo Linux dapat disalahgunakan oleh semua pengguna yang login untuk mendapatkan hak akses root

by

Peneliti keamanan dari Qualys telah mengidentifikasi kerentanan heap buffer overflow di sudo yang dapat dimanfaatkan oleh pengguna nakal untuk mengambil alih sistem host.

Sudo adalah utilitas baris perintah open source yang banyak digunakan di Linux dan sistem operasi Unix lainnya. Ini dirancang untuk memberikan kontrol administratif pengguna yang dipilih dan tepercaya saat diperlukan.

Bug (CVE-2021-3156) yang ditemukan oleh Qualys, memungkinkan setiap pengguna lokal untuk mendapatkan akses level root pada host yang rentan dalam konfigurasi defaultnya.

Versi sudo yang terpengaruh adalah: 1.8.2 hingga 1.8.31p2 dan 1.9.0 hingga 1.9.5p1. Qualys mengembangkan eksploitasi untuk beberapa distribusi Linux, termasuk Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27), dan Fedora 33 (Sudo 1.9.2), dan biz keamanan percaya bahwa distribusi lain juga rentan.

Ubuntu dan Red Hat telah menerbitkan tambalan, dan distro Anda mungkin juga memilikinya, jadi tambalah segera.

Dalam artikelnya, peneliti Qualys menjelaskan, “set_cmnd() rentan terhadap buffer overflow berbasis heap, karena karakter out-of-bounds yang disalin ke buffer ‘user_args’ tidak disertakan dalam ukurannya.”

Dalam sebuah pernyataan, Mehul Revankar, VP manajemen produk dan teknik di Qualys, mengatakan kerentanan “mungkin merupakan kerentanan sudo paling signifikan dalam memori baru-baru ini (baik dalam hal cakupan dan dampak) dan telah bersembunyi di depan mata selama hampir 10 tahun.”

Sumber: The Register

Peretas membocorkan data 2,28 juta pengguna situs kencan

by

Seorang peretas terkenal minggu ini membocorkan rincian lebih dari 2,28 juta pengguna yang terdaftar di MeetMindful.com, sebuah situs kencan yang didirikan pada tahun 2014.

Data situs kencan telah dibagikan sebagai unduhan gratis di forum peretasan yang dapat diakses publik yang dikenal karena perdagangannya dalam database yang diretas.

Data yang bocor, file 1,2 GB, tampaknya merupakan dump dari database pengguna situs.

Konten file ini mencakup banyak informasi yang diberikan pengguna saat mereka menyiapkan profil di situs MeetMindful dan aplikasi seluler.

Beberapa poin data paling sensitif yang disertakan dalam file tersebut meliputi:

  • Nama asli
  • Alamat email
  • Detail kota, negara bagian, dan kode pos
  • Detail tubuh
  • Preferensi kencan
  • Status pernikahan
  • Tanggal lahir
  • Lintang dan bujur
  • Alamat IP
  • Kata sandi akun dengan hash Bcrypt
  • ID pengguna Facebook
  • Token otentikasi Facebook
Sumber: ZDNet

Meskipun tidak semua akun yang bocor menyertakan detail lengkapnya, bagi banyak pengguna MeetMindful, data yang diberikan dapat digunakan untuk melacak profil kencan mereka kembali ke identitas dunia nyata mereka.

Data situs dirilis oleh pelaku ancaman yang dikenal sebagai ShinyHunters, yang awal pekan ini juga membocorkan detail jutaan pengguna yang terdaftar di Teespring, sebuah portal web yang memungkinkan pengguna membuat dan menjual pakaian yang dicetak khusus.

Sumber: ZDNet

Laptop yang diberikan ke sekolah-sekolah Inggris sudah ditanami dengan worm remote-access

by

Sebuah pengiriman laptop yang dipasok ke sekolah-sekolah Inggris oleh Departemen Pendidikan untuk membantu anak-anak belajar karena lockdown telah ditanami dengan malware, The Register mengungkapkan.

Laptop yang terpengaruh, didistribusikan ke sekolah-sekolah di bawah skema Get Help With Technology (GHWT) pemerintah Inggris, yang dimulai tahun lalu, dibundel dengan Gamarue – worm remote-access lama dari tahun 2010-an. Perangkat lunak jahat ini tidak hanya menyebar dari komputer ke komputer, tetapi juga mencoba untuk terhubung ke server luar untuk instruksi yang harus dilakukan.

Register melaporkan bahwa sekumpulan 23.000 komputer, GeoBook 1E yang menjalankan Windows 10, yang dibuat oleh Tactus Group yang bermarkas di Shenzhen, berisi unit yang dimuat dengan malware. 77.000 unit Geo telah dikirim sejauh ini di bawah GHWT, dengan beberapa ribu tersisa untuk dikirimkan.

The Register telah diperlihatkan email yang dikirim ke dan dari Departemen Pendidikan (DfE), yang mengawasi skema GHWT, menandai kekhawatiran tentang laptop. Tampaknya setidaknya satu sekolah memformat dan menginstal ulang laptop dari awal yang diketahui sebagai akibat infeksi sebelum memberikannya kepada siswa.

Sumber: The Register

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

by

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet

Intel mengatakan peretas memperoleh informasi finansial yang sensitif

by

Intel mengatakan mereka adalah korban peretas yang mencuri informasi finansial yang sensitif dari situs web perusahaannya pada hari Kamis, mendorong perusahaan untuk merilis laporan pendapatannya lebih cepat dari jadwal.

Pembuat chip komputer AS yakin penyerang telah memperoleh rincian lanjutan tentang laporan pendapatan yang kuat yang akan dipublikasikan setelah pasar saham ditutup, kata George Davis, kepala keuangan intel.

Dia tidak memberikan rincian lebih lanjut, tetapi mengatakan bahwa kebocoran tersebut adalah hasil dari tindakan terlarang yang tidak melibatkan pengungkapan yang tidak disengaja oleh perusahaan itu sendiri.

Seorang juru bicara Intel menambahkan: “Kami diberitahu bahwa infografik kami beredar di luar perusahaan. Saya tidak percaya itu diterbitkan. Kami terus menyelidiki masalah ini.”

Selengkapnya: Financial Times

sLoad geng malware kembali: Microsoft mendeteksi dengan cepat versi 2.0 yang dirubah

by

Raksasa teknologi Microsoft telah mendeteksi aktivitas berbahaya pada bulan Desember oleh geng malware, yang dikenal sebagai sLoad.

Namun pada awal bulan ini perusahaan mengungkapkan bahwa sLoad malware telah kembali dengan versi 2.0, yang disebut Starslord. Meskipun versi baru tidak menunjukkan perubahan besar-besaran, kecepatan peluncuran versi malware baru menunjukkan seberapa cepat geng tersebut beroperasi.

Malware sLoad ini telah ada selama bertahun-tahun. Ini adalah apa yang seseorang sebut sebagai “malware downloader” atau “malware dropper” yang memiliki empat tujuan utama untuk dipenuhi yaitu:

  • Menginfeksi sistem Windows,
  • Mengumpulkan informasi tentang sistem yang terinfeksi
  • Mengirim semua informasi ke server perintah dan kontrol (C&C)
  • Menunggu instruksi untuk mengunduh dan memasang muatan malware kedua

Microsoft mengatakan bahwa sLoad adalah salah satu dari sedikit malware downloader yang ada karena tingkat kecanggihan yang tidak diperlukan dan penggunaan teknik yang tidak standar.

Setelah sebelumnya tertangkap oleh Microsoft, geng sLoad mengubah kode mereka dan mengubah beberapa hal, mengeluarkan versi baru 2.0 tahun ini.

SLoad v2.0 masih berfungsi sebagai malware downloader untuk kelompok kriminal lainnya, kata Microsoft. Tapi ada satu hal yang telah diubah oleh aktor ancaman. Sekarang alih-alih menggunakan skrip VB selama proses infeksi, versi baru menggunakan skrip WSF.

Sumber: IBTimes