Security

Bot Telegram Menjual Info Pengguna Facebook yang Dicuri seharga $ 20 per Pop

January 28, 2021 by Winnie the Pooh

Nomor telepon (dan ID situs terkait) dari sekitar 500 juta pengguna Facebook sekarang tampaknya dijual di forum kejahatan siber.

Penjahat atau sekelompok penjahat yang bertanggung jawab telah membangun bot Telegram untuk bertindak sebagai fungsi pencarian data.

Calon pembeli kini dapat menggunakan bot untuk menyaring data guna menemukan nomor telepon yang sesuai dengan ID pengguna — atau sebaliknya — dengan informasi lengkap dibuka kuncinya setelah membayar kueri “kredit”. Kredit tersebut mulai dari $20 untuk satu pencarian dan menjadi lebih murah jika dibeli dalam jumlah besar.

Aktivitas tersebut ditemukan oleh Alon Gal, salah satu pendiri dan CTO perusahaan keamanan siber Hudson Rock, yang memposting tentang skema tersebut di akun Twitter-nya, dan dilaporkan oleh Joseph Cox, di Motherboard.

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

Sumber: Gizmodo

NAT Slipstreaming v2.0: Varian Serangan Baru Dapat Memaparkan Semua Perangkat Jaringan Internal ke Internet

January 27, 2021 by Winnie the Pooh

Peneliti Armis Ben Seri dan Gregory Vishnepolsky telah menemukan varian baru untuk teknik bypass NAT yang dikenal sebagai NAT Slipstreaming, dan telah bekerja dengan peneliti keamanan Samy Kamkar (yang awalnya mengungkapkan teknik tersebut pada 31 Oktober 2020) untuk lebih memahami serangan tersebut, dan memitigasi serangan tersebut.

Penemuan baru ini mencakup metode untuk melewati NAT dan firewall untuk menjangkau perangkat apa pun di jaringan internal. Sementara serangan asli sebagian dimitigasi oleh tambalan dari browser, varian baru memperkenalkan teknik primitif tambahan yang melewati mitigasi ini.

Dampak serangan terhadap perangkat yang tidak dikelola dapat menjadi parah, mulai dari gangguan hingga serangan ransomware yang sangat parah.

NATs/firewall tingkat perusahaan dari Fortinet, Cisco, dan HPE dipastikan terpengaruh, sementara yang lain kemungkinan juga terpengaruh.

Kolaborasi tersebut menghasilkan pengungkapan keamanan dengan vendor browser untuk mengurangi serangan tersebut. Google, Apple, Mozilla dan Microsoft telah merilis tambalan untuk Chrome, Safari, Firefox dan Edge, yang memitigasi varian baru ini.

Selama sebulan terakhir, semua browser yang disebutkan di atas telah merilis versi yang berisi mitigasi terhadap serangan ini (Chrome v87.0.4280.141, Firefox v85.0, Safari v14.0.3). Browser Microsoft Edge sekarang juga ditambal, karena bergantung pada kode sumber Chromium. Chromium melacak varian baru melalui CVE-2020-16043, sementara Firefox melacaknya melalui CVE-2021-23961.

Selengkapnya: Armis

Penjahat siber menggunakan akun staf yang telah meninggal untuk menyebarkan ransomware Nemty

January 27, 2021 by Winnie the Pooh

Dalam studi kasus yang didokumentasikan oleh kelompok cyberforensik Sophos, Rapid Response pada hari Selasa, sebuah organisasi menghubungi setelah terinfeksi oleh ransomware Nemty.

Menurut Sophos, ransomware – juga dikenal sebagai Nefilim – memengaruhi lebih dari 100 sistem, mengenkripsi file berharga dan menuntut pembayaran dengan imbalan kunci dekripsi.

Selama penyelidikan terhadap sumber infeksi, Sophos mempersempit intrusi jaringan asli ke akun administrator tingkat tinggi. Selama sebulan, para pelaku ancaman diam-diam menjelajahi sumber daya perusahaan, mendapatkan kredensial akun admin domain, dan mengeksfiltrasi data senilai ratusan gigabyte.

Setelah penyerang siber menyelesaikan pengintaian mereka dan mengambil semua yang berharga, Nemty dikerahkan.

Tim keamanan siber menanyakan siapa pemilik akun dengan hak istimewa tinggi. Perusahaan korban mengatakan bahwa akun itu milik mantan anggota staf yang meninggal sekitar tiga bulan sebelum gangguan siber tersebut.

Alih-alih mencabut akses dan menutup akun ‘hantu’, perusahaan memilih untuk tetap mengaktifkan dan terbuka “karena ada layanan yang digunakan untuk itu.”

Sophos menyarankan bahwa setiap akun hantu yang diizinkan untuk tetap terhubung ke sumber daya perusahaan setelah pengguna tidak membutuhkannya harus menonaktifkan login interaktif, atau jika akun tersebut benar-benar diperlukan, akun layanan harus dibuat sebagai gantinya.

Sumber: ZDNet

Firefox 85 menghapus Flash dan menambahkan perlindungan terhadap supercookies

January 27, 2021 by Winnie the Pooh

Mozilla telah merilis Firefox 85, versi baru dari peramban kesayangannya yang menghilangkan dukungan untuk plugin Adobe Flash Player tetapi juga meningkatkan perlindungan privasi dengan menambahkan pertahanan yang lebih komprehensif terhadap “supercookies.”

Firefox sekarang bergabung dengan Chrome dan Edge, yang keduanya menghapus dukungan untuk Flash awal bulan ini dengan dirilisnya Chrome 88 dan Edge 88.

Tetapi meskipun Firefox 85 adalah versi pertama yang dikirimkan tanpa plugin Flash yang banyak disalahgunakan, fitur yang lebih besar dalam rilis ini adalah “partisi jaringan”.

Pertama kali dilaporkan oleh ZDNet bulan lalu, fitur partisi jaringan berfungsi dengan memisahkan cache browser Firefox per situs web, solusi teknis yang mencegah situs web melacak pengguna saat mereka berpindah ke seluruh web.

Dalam posting blog, Mozilla mengatakan fitur baru ini secara efektif memblokir penggunaan supercookies di dalam Firefox di masa mendatang.

Fitur lain yang dikirimkan dengan Firefox 85 adalah perubahan cara bookmark disimpan di dalam Firefox.

Dimulai dengan versi ini, Firefox sekarang mengingat di mana pengguna menyimpan bookmark terakhir mereka dan menyimpan semua bookmark lainnya ke lokasi yang sama.

Perubahan lainnya dirinci dalam log perubahan Firefox 85 di sini, sementara pembaruan keamanan tercantum di sini.

Sumber: ZDNet

Pembuat derek terkemuka Palfinger terkena serangan siber global

January 27, 2021 by Winnie the Pooh

Produsen derek dan pengangkat terkemuka Palfinger menjadi sasaran serangan siber yang sedang berlangsung yang telah mengganggu sistem TI dan operasi bisnis.

Palfinger adalah pembuat solusi derek dan pengangkatan terkemuka yang biasa digunakan untuk konstruksi, serta solusi pengangkatan, pemuatan, dan penanganan darat dan laut.

Palfinger adalah perusahaan Austria dengan lebih dari 11.000 karyawan di 35 lokasi dan menghasilkan pendapatan €1,75 miliar untuk 2019.

Situs Palfinger saat ini menampilkan peringatan yang memperingatkan bahwa perusahaan mengalami serangan siber yang telah menghapus email mereka dan mengganggu operasi bisnis.

Pemberitahuan keamanan berjudul ‘Serangan siber di PALFINGER Group’ juga menyatakan bahwa sistem perencanaan sumber daya Perusahaan (ERP) mereka mati dan bahwa “sebagian besar lokasi grup di seluruh dunia terpengaruh.”

Palfinger juga meminta mitra untuk tidak membuat pesanan pembelian lebih lanjut untuk saat ini.

Tidak diketahui apa yang menyebabkan serangan siber tersebut, tetapi kemungkinan itu adalah serangan ransomware.

Sumber: Bleeping Computer

Bug Cisco DNA Center Membuka Perusahaan untuk Serangan Jarak Jauh

January 27, 2021 by Winnie the Pooh

Kerentanan cross-site request forgery (CSRF) di Cisco Digital Network Architecture (DNA) Center dapat membuka peluang bagi pengguna perusahaan untuk diserang dan diambil alih dari jarak jauh.

Cacat tersebut, dilacak sebagai CVE-2021-1257, ada di antarmuka manajemen berbasis web dari Cisco DNA Center, yang merupakan platform manajemen dan orkestrasi jaringan terpusat untuk Cisco DNA. Ini membawa skor kerentanan-keparahan CVSS 7,1, menjadikannya tingkat keparahan tinggi.

Antarmuka manajemen berbasis web yang digunakan untuk mengakses dan menggunakan Cisco DNA Center memiliki perlindungan CSRF yang tidak memadai dalam versi perangkat lunak sebelum 2.1.1.0. Patch yang dikeluarkan pada 25 Januari mengatasi masalah tersebut.

Penyerang dapat mengeksploitasi kerentanan dengan merekayasa sosial pengguna manajemen berbasis web agar mengikuti tautan yang dibuat khusus, misalnya melalui email phishing atau obrolan. Jika pengguna mengklik link tersebut, penyerang dapat melakukan tindakan sewenang-wenang pada perangkat dengan hak istimewa pengguna yang diautentikasi.

Tindakan ini termasuk memodifikasi konfigurasi perangkat, memutuskan sesi pengguna dan menjalankan perintah Command Runner, catat Cisco.

Kerentanan ini diperbaiki di Cisco DNA Center Software rilis 2.1.1.0, 2.1.2.0, 2.1.2.3 dan 2.1.2.4, dan yang lebih baru.

Sumber: Threat Post

Botnet DreamBus menargetkan aplikasi perusahaan yang berjalan di server Linux

January 27, 2021 by Winnie the Pooh

Kemungkinannya adalah jika Anda menggunakan server Linux secara online akhir-akhir ini dan Anda membiarkan kelemahan terkecil sekalipun, grup kejahatan siber akan menjeratnya sebagai bagian dari botnetnya. Ancaman terbaru ini bernama DreamBus.

Analisis dalam laporan yang diterbitkan minggu lalu oleh firma keamanan Zscaler, perusahaan tersebut mengatakan ancaman baru ini adalah varian dari botnet lama bernama SystemdMiner, yang pertama kali terlihat pada awal 2019.

Tapi versi DreamBus saat ini telah menerima beberapa perbaikan dibandingkan dengan penampakan SystemdMiner awal.

Saat ini, botnet menargetkan aplikasi tingkat perusahaan yang berjalan di sistem Linux. Target mencakup banyak koleksi aplikasi, seperti PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, dan layanan SSH.

Beberapa dari aplikasi ini ditargetkan dengan serangan brute force terhadap nama pengguna administrator default mereka, yang lain dengan perintah jahat yang dikirim ke endpoint API yang terbuka, atau melalui eksploitasi untuk kerentanan yang lebih lama.

Idenya adalah untuk memberi geng DreamBus pijakan di server Linux di mana mereka nantinya dapat mengunduh dan menginstal aplikasi sumber terbuka yang menambang cryptocurrency Monero (XMR) untuk menghasilkan keuntungan bagi para penyerang.

Zscaler juga mengatakan bahwa DreamBus menggunakan beberapa tindakan untuk mencegah deteksi yang mudah. Salah satunya adalah bahwa semua sistem yang terinfeksi malware dikomunikasikan dengan server command and control (C&C) botnet melalui protokol DNS-over-HTTPS (DoH) yang baru. Malware berkemampuan DoH sangat jarang, karena rumit untuk disiapkan.

Selengkapnya: ZDNet

Bug yang sudah berusia puluhan tahun di sudo Linux dapat disalahgunakan oleh semua pengguna yang login untuk mendapatkan hak akses root

January 27, 2021 by Winnie the Pooh

Peneliti keamanan dari Qualys telah mengidentifikasi kerentanan heap buffer overflow di sudo yang dapat dimanfaatkan oleh pengguna nakal untuk mengambil alih sistem host.

Sudo adalah utilitas baris perintah open source yang banyak digunakan di Linux dan sistem operasi Unix lainnya. Ini dirancang untuk memberikan kontrol administratif pengguna yang dipilih dan tepercaya saat diperlukan.

Bug (CVE-2021-3156) yang ditemukan oleh Qualys, memungkinkan setiap pengguna lokal untuk mendapatkan akses level root pada host yang rentan dalam konfigurasi defaultnya.

Versi sudo yang terpengaruh adalah: 1.8.2 hingga 1.8.31p2 dan 1.9.0 hingga 1.9.5p1. Qualys mengembangkan eksploitasi untuk beberapa distribusi Linux, termasuk Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27), dan Fedora 33 (Sudo 1.9.2), dan biz keamanan percaya bahwa distribusi lain juga rentan.

Ubuntu dan Red Hat telah menerbitkan tambalan, dan distro Anda mungkin juga memilikinya, jadi tambalah segera.

Dalam artikelnya, peneliti Qualys menjelaskan, “set_cmnd() rentan terhadap buffer overflow berbasis heap, karena karakter out-of-bounds yang disalin ke buffer ‘user_args’ tidak disertakan dalam ukurannya.”

Dalam sebuah pernyataan, Mehul Revankar, VP manajemen produk dan teknik di Qualys, mengatakan kerentanan “mungkin merupakan kerentanan sudo paling signifikan dalam memori baru-baru ini (baik dalam hal cakupan dan dampak) dan telah bersembunyi di depan mata selama hampir 10 tahun.”

Sumber: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security

Cookies Settings