Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Perangkat FiberHome Memiliki Backdoor, Memungkinkan untuk Membuat Botnet Baru

by

FiberHome, pembuat ONT FTTH Cina mengalami beberapa kerentanan dalam dua model perangkat mereka.

Perangkat ini banyak digunakan di Asia Tenggara dan Amerika Selatan untuk konektivitas internet. Selain kerentanan umum, ada sekitar 28 backdoor yang ditemukan di perangkat, yang dapat membantu peretas menambahkannya menjadi botnet.

Minggu lalu, seorang peneliti keamanan bernama Pierre Kim telah menunjukkan beberapa kerentanan, termasuk 28 backdoor di FiberHome HG6245D dan model FiberHome RP2602 dari FiberHome ONT.

Semua ini di-hardcode ke dalam firmware perangkat, membuatnya sulit untuk dihapus dengan mudah dan menyalahkan si pembuat karena sengaja menanamnya.

Selain itu, laporan keseimbangan peneliti mengatakan bahwa, bagus bahwa FiberHome telah menonaktifkan fitur manajemen Telnet secara default dan menutup panel manajemen melalui antarmuka eksternal IPv4.

Ini adalah jalur utama yang digunakan oleh peretas untuk masuk ke perangkat dan menambahkannya ke jaringan botnet mereka. Namun, pada saat yang sama, dia mengatakan bahwa FiberHome tidak memblokir akses ke panel manajemen ini melalui antarmuka IPv6, yang memungkinkan peretas melewati panel web hanya dengan mengetahui alamat IPv6 perangkat!

Dia melaporkan hal ini pada Januari tahun lalu ke FiberHome dan tidak tahu apakah OEM telah memperbaiki salah satu kerentanan ini atau belum, karena dia tidak memeriksa versi terbaru dari model tersebut. Tapi, dia menulis daftar semua kerentanan yang ditemukan di blognya

Sumber: Techdator

Bug Windows 10 dapat merusak hard drive Anda saat melihat ikon file ini

by

Zero-day yang belum ditambal di Microsoft Windows 10 memungkinkan penyerang merusak hard drive berformat NTFS dengan perintah satu baris.

Dalam beberapa pengujian oleh BleepingComputer, perintah satu baris ini dapat dikirimkan secara tersembunyi di dalam file shortcut Windows, arsip ZIP, file batch, atau berbagai vektor lainnya untuk memicu kesalahan hard drive yang merusak indeks sistem file secara instan.

Peneliti infosec Jonas L menarik perhatian mengenai adanya kerentanan NTFS yang memengaruhi Windows 10 yang belum diperbaiki.

Ketika dieksploitasi, kerentanan ini dapat dipicu oleh satu baris perintah untuk langsung merusak hard drive berformat NTFS, dengan Windows meminta pengguna untuk me-restart komputer mereka untuk memperbaiki record disk yang rusak.

Peneliti memberi tahu BleepingComputer bahwa cacat tersebut dapat dieksploitasi mulai sekitar Windows 10 build 1803, Pembaruan Windows 10 April 2018, dan terus berfungsi di versi terbaru.

Yang lebih buruk adalah, kerentanan ini dapat dipicu oleh akun pengguna standar dan dengan hak istimewa rendah pada sistem Windows 10.

Drive dapat rusak hanya dengan mencoba mengakses atribut $i30 NTFS pada folder dengan cara tertentu.

Tidak jelas mengapa mengakses atribut ini merusak drive, dan Jonas memberi tahu BleepingComputer bahwa kunci Registry yang akan membantu mendiagnosis masalah tidak berfungsi.

Satu temuan mencolok yang dibagikan oleh Jonas kepada BleepingComputer adalah bahwa file pintasan Windows buatan (.url) yang lokasi ikonnya disetel ke C:\:$i30:$ bitmap akan memicu kerentanan bahkan jika pengguna tidak pernah membuka file!

Segera setelah file pintasan ini diunduh pada PC Windows 10, dan pengguna melihat foldernya, Windows Explorer akan mencoba menampilkan ikon file.

Untuk melakukan ini, Windows Explorer akan mencoba mengakses jalur ikon yang dibuat di dalam file di latar belakang, sehingga merusak hard drive NTFS dalam prosesnya.

Video demonstrasi dan artikel lebih lengkapnya dapat diakses melalui tautan berikut:

Sumber: Bleeping Computer

Cisco mengatakan mereka tidak akan menambal 74 bug keamanan di router RV lama yang mencapai EOL

by

Vendor peralatan jaringan, Cisco, kemarin, mengatakan tidak akan merilis pembaruan firmware untuk memperbaiki 74 kerentanan yang telah dilaporkan di lini router RV, yang telah mencapai akhir masa pakainya (EOL).

Perangkat yang terpengaruh termasuk sistem Cisco Small Business RV110W, RV130, RV130W, dan RV215W, yang dapat digunakan sebagai router, firewall, dan VPN.

Keempatnya mencapai EOL pada 2017 dan 2018 dan juga baru-baru ini keluar dari masa pemeliharaan terakhir mereka sebagai bagian dari kontrak dukungan berbayar pada 1 Desember 2020.

Perusahaan menyarankan agar pelanggan memindahkan pengoperasian ke perangkat yang lebih baru, seperti model RV132W, RV160, atau RV160W, yang menyediakan fitur yang sama dan masih didukung secara aktif.

Beberapa pelanggan perusahaan mungkin tidak menyukai keputusan Cisco, tetapi kabar baiknya adalah tidak ada bug yang diungkapkan hari ini yang dapat dieksploitasi dengan mudah.

Cisco mengatakan bahwa semua kerentanan mengharuskan penyerang memiliki kredensial untuk perangkat tersebut, yang mengurangi risiko jaringan diserang dalam beberapa minggu atau bulan mendatang, memberikan administrator kesempatan untuk merencanakan dan menyiapkan rencana migrasi ke peralatan yang lebih baru, atau setidaknya menerapkan countermeasures mereka sendiri.

Sumber: ZDNet

Apple menghapus fitur yang memungkinkan aplikasinya melewati firewall dan VPN macOS

by

Apple telah menghapus fitur kontroversial dari sistem operasi macOS yang memungkinkan 53 aplikasi milik Apple melewati firewall pihak ketiga, alat keamanan, dan aplikasi VPN yang dipasang oleh pengguna untuk perlindungan mereka.

Dikenal sebagai ContentFilterExclusionList, daftar tersebut disertakan dalam versi macOS 11, juga dikenal sebagai Big Sur.

Daftar pengecualian menyertakan beberapa aplikasi terbesar Apple, seperti App Store, Maps, dan iCloud, dan secara fisik terletak di disk di: /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist.

Kehadirannya ditemukan Oktober lalu oleh beberapa peneliti keamanan dan pembuat aplikasi yang menyadari bahwa alat keamanan mereka tidak dapat menyaring atau memeriksa lalu lintas untuk beberapa aplikasi Apple.

Peneliti keamanan seperti Patrick Wardle, dan lainnya, dengan cepat menunjukkan bahwa risiko pengecualian ini adalah mimpi buruk keamanan siber yang menunggu untuk terjadi. Mereka berpendapat bahwa malware dapat menempel ke aplikasi Apple yang sah yang termasuk dalam daftar pengecualian dan kemudian melewati firewall dan perangkat lunak keamanan.

Selain profesional keamanan, daftar pengecualian telah disaring secara luas oleh para ahli privasi, karena pengguna macOS juga berisiko mengekspos alamat IP asli dan lokasi mereka saat menggunakan aplikasi Apple, karena produk VPN tidak akan dapat menutupi lokasi pengguna.

Sumber: ZDNet

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

Operasi Scam-as-a-Service menghasilkan lebih dari $6,5 juta pada tahun 2020

by

Operasi kejahatan siber berbasis di Rusia yang baru ditemukan telah membantu ads scammers rahasia mencuri lebih dari $6,5 juta dari pembeli di seluruh AS, Eropa, dan bekas negara Soviet.

Dalam sebuah laporan, perusahaan keamanan siber Group-IB telah menyelidiki operasi ini, yang oleh perusahaan digambarkan sebagai Scam-as-a-Service dan dinamai Classiscam. Menurut laporan tersebut, skema Classiscam dimulai pada awal 2019 dan awalnya hanya menargetkan pembeli yang aktif di marketplace online Rusia dan portal iklan rahasia.

Saat ini, Classiscam aktif di lebih dari selusin negara dan di marketplace luar negeri serta layanan kurir seperti Leboncoin, Allegro, OLX, FAN Courier, Sbazar, DHL dan lainnya.

Namun terlepas dari penargetan yang luas, modus operandi Classiscam mengikuti pola yang sama — diadaptasi untuk setiap situs — dan berkisar pada penerbitan iklan untuk produk yang tidak ada di marketplace online.

Setelah pengguna tertarik dan menghubungi vendor (scammer), operator Classiscam akan meminta pembeli memberikan detail untuk mengatur pengiriman produk.

Penipu kemudian akan menggunakan bot Telegram untuk menghasilkan halaman phishing yang meniru marketplace asli tetapi dihosting di domain yang mirip. Penipu akan mengirimkan tautan tersebut ke pembeli, yang kemudian pembeli akan mengisinya dengan detail pembayaran mereka.

Setelah korban memberikan rincian pembayaran, para penipu akan mengambil data pembayaran tersebut dan mencoba menggunakannya di tempat lain untuk membeli produk lain.

Group-IB mengatakan bahwa seluruh operasi ini diatur dengan sangat baik, dengan “admin” di bagian paling atas, diikuti oleh “pekerja”, dan “penelepon”.

Sumber: Group-IB

Sumber: ZDNet

Cyberspies Iran di balik kampanye spear-phishing SMS Natal

by

Sebuah kelompok spionase siber Iran yang dikenal sebagai Charming Kitten (APT35 atau Phosphorus) telah menggunakan liburan musim dingin baru-baru ini untuk menyerang target dari seluruh dunia menggunakan kampanye spear-phishing yang sangat canggih yang tidak hanya melibatkan serangan email tetapi juga pesan SMS.

CERTFA, organisasi keamanan siber yang khusus melacak operasi Iran, mengatakan mereka mendeteksi serangan yang menargetkan anggota lembaga think tank, pusat penelitian politik, profesor universitas, jurnalis, dan aktivis lingkungan.

Para korban berada di negara-negara sekitar Teluk Persia, Eropa, dan AS.

Peneliti CERTFA mengatakan bahwa kampanye khusus ini menunjukkan tingkat kompleksitas yang tinggi. Korban menerima pesan spear-phishing dari penyerang tidak hanya melalui email tetapi juga melalui SMS, saluran yang tidak banyak digunakan oleh pelaku ancaman.

Sementara pesan SMS berperan sebagai peringatan keamanan Google, email tersebut memanfaatkan akun yang sebelumnya diretas dan menggunakan umpan terkait liburan.

Persamaan yang umum di kedua kampanye tersebut adalah bahwa operator Charming Kitten berhasil menyembunyikan serangan mereka di balik URL Google yang sah https://www.google[.]com/url?q=https://script.google.com/xxxx, yang akan menipu bahkan penerima yang paling paham teknologi.

Sumber: CERTFA
Sumber: CERTFA

Namun ternyata, CERTFA mengatakan bahwa URL Google yang sah pada akhirnya akan mengarahkan pengguna melalui situs web yang berbeda dan akhirnya membawanya ke halaman phishing, di mana mereka akan dimintai kredensial masuk untuk layanan email pribadi seperti Gmail, Yahoo, dan Outlook, tetapi juga email bisnis.

Sumber: ZDNet

Aplikasi pelacak kesuburan, Flo Health, menyelesaikan tuduhan FTC mengenai data yang tidak seharusnya dibagikan

by

Aplikasi pelacak kesuburan, Flo Health, telah menyelesaikan tuduhan Komisi Perdagangan Federal (FTC) bahwa mereka membagikan data pengguna dengan pihak ketiga, meskipun mereka berjanji sebaliknya.

Sebagai bagian dari penyelesaian yang diusulkan, pengembang aplikasi pelacakan period dan kesuburan, yang menurut FTC digunakan oleh lebih dari 100 juta konsumen, diwajibkan untuk mendapatkan tinjauan independen atas praktik privasinya dan mendapatkan persetujuan pengguna aplikasi sebelum membagikan informasi kesehatan mereka.

Dalam keluhannya, FTC menuduh bahwa Flo berjanji untuk merahasiakan data kesehatan pengguna dan hanya menggunakannya untuk menyediakan layanan aplikasi kepada pengguna.

Menurut keluhan tersebut, Flo mengungkapkan data kesehatan dari jutaan pengguna aplikasi Flo Period & Ovulation Tracker-nya kepada pihak ketiga yang menyediakan layanan pemasaran dan analitik untuk aplikasi, termasuk divisi analitik Facebook, divisi analitik Google, layanan Fabric Google, AppsFlyer, dan Flurry.

Keluhan tersebut menuduh Flo tidak membatasi bagaimana pihak ketiga dapat menggunakan data kesehatan ini.

Flo tidak berhenti mengungkapkan data sensitif ini sampai praktiknya terungkap dalam artikel berita pada Februari 2019, yang memicu ratusan keluhan dari pengguna aplikasi, kata FTC.

Seorang Juru Bicara Flo memberi tahu ZDNet bahwa prioritas tertinggi perusahaan adalah melindungi data penggunanya.

“Itulah sebabnya kami telah bekerja sama sepenuhnya selama tinjauan FTC terhadap kebijakan dan prosedur privasi kami,” kata mereka.

Sumber: ZDNet