Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Ponsel Android lama tidak akan mendukung banyak situs web aman mulai awal September 2021

by

Menurut Android Police, Otoritas Sertifikat Let’s Encrypt memperingatkan bahwa ponsel yang menjalankan versi Android sebelum 7.1.1 Nougat tidak akan mempercayai sertifikat akarnya mulai tahun 2021, menguncinya dari banyak situs web aman.

Organisasi tersebut akan menghentikan penandatanganan silang default untuk sertifikat yang mengaktifkan fungsi ini pada 11 Januari 2021, dan akan menghentikan sepenuhnya kemitraan penandatanganan silang pada 1 September di tahun yang sama.

Solusi parsial tersedia dengan memasang Firefox (Mozilla adalah mitra di Let’s Encrypt) dan menggunakan penyimpanan sertifikatnya sendiri, tetapi itu tidak akan membantu dengan klien saingan atau fungsionalitas di luar browser.

Let’s Encrypt mencatat bahwa sekitar 33,8 persen pengguna Android di Google Play masih menjalankan versi yang lebih lama dari 7.1, dan beberapa vendor perangkat keras menghentikan dukungan lebih awal. Tidak jarang vendor Android menawarkan pembaruan yang relatif sedikit di tahun-tahun sebelumnya, dan beberapa perangkat (biasanya ponsel hemat) bahkan akan terjebak dengan OS awal mereka. Anda mungkin telah membeli telepon pada tahun 2016 atau bahkan 2017 yang dapat tiba-tiba kehilangan akses ke beberapa situs web, setidaknya tanpa solusi.

Situasinya membaik. Samsung dan pembuat Android lainnya berkomitmen untuk tiga tahun pembaruan OS. Namun, hal itu tidak akan mengubah kenyataan bagi banyak orang dengan perangkat keras lama, dan mungkin hanya ada sedikit cara lain jika Anda tidak dapat atau tidak ingin menggunakan Firefox.

Meskipun banyak situs lain akan tetap berfungsi, dukungan yang tidak konsisten dapat menjadi gangguan paling kecil dan paling buruk menjadi kendala utama.

Sumber: Endgadget

Kampanye Malspam Memanfaatkan Ketidakpastian Pemilihan

by

Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,

Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”

Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.

Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.

Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.

Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.

Source : Threatpost

Apple memperbaiki tiga zero-day iOS yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan hari ini untuk iOS untuk menambal tiga kerentanan zero-day yang ditemukan sedang disalahgunakan dalam serangan terhadap penggunanya.

Menurut Shane Huntley, Direktur Grup Analisis Ancaman Google, tiga zero-day iOS memiliki kaitan dengan tiga zero-day Chrome [1, 2, 3] dan hari nol Windows yang sebelumnya telah diungkapkan Google selama dua minggu terakhir.

Meskipun tidak diketahui apakah zero-days telah digunakan terhadap target yang dipilih atau secara massal, pengguna iOS disarankan untuk memperbarui ke iOS 14.2, hanya untuk berjaga-jaga.

Bug keamanan yang sama juga telah diperbaiki di iPadOS 14.2 dan watchOS 5.3.8, 6.2.9, dan 7.1, dan juga untuk iPhone generasi lama melalui iOS 12.4.9, juga dirilis hari ini.

Menurut ketua tim Google Project Zero Ben Hawkes, yang timnya telah menemukan dan melaporkan serangan tersebut ke Apple, tiga zero-day iOS tersebut adalah:

  1. CVE-2020-27930 – masalah eksekusi kode jarak jauh di komponen iOS FontParser yang memungkinkan penyerang menjalankan kode dari jarak jauh pada perangkat iOS.
  2. CVE-2020-27932 – kerentanan eskalasi hak istimewa di kernel iOS yang memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa tingkat kernel.
  3. CVE-2020-27950 – kebocoran memori di kernel iOS yang memungkinkan penyerang untuk mengambil konten dari memori kernel perangkat iOS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cisco mengungkapkan zero-day VPN AnyConnect

by

Cisco telah mengungkapkan kerentanan zero-day dalam perangkat lunak Cisco AnyConnect Secure Mobility Client dengan kode eksploitasi proof-of-concept yang tersedia untuk umum.

Meskipun pembaruan keamanan belum tersedia untuk kerentanan eksekusi kode arbitrary ini, Cisco sedang berupaya mengatasi zero-day, dengan perbaikan yang akan datang di rilis klien AnyConnect mendatang.

Namun, kelemahan keamanan Cisco AnyConnect Secure Mobility Client belum dieksploitasi di dunia nyata menurut Cisco Product Security Incident Response Team (PSIRT).

Kerentanan dengan tingkat keparahan tinggi yang dilacak sebagai CVE-2020-3556 ada di saluran komunikasi antarproses (IPC) dari Cisco AnyConnect Client dan dapat memungkinkan penyerang lokal dan terotentikasi untuk mengeksekusi skrip berbahaya melalui pengguna yang ditargetkan.

Ini memengaruhi semua versi klien AnyConnect untuk Windows, Linux, dan macOS dengan konfigurasi yang rentan – klien iOS dan Android seluler tidak terpengaruh oleh kerentanan ini.

Meskipun tidak ada solusi yang tersedia untuk mengatasi CVE-2020-3556, ini dapat dikurangi dengan menonaktifkan fitur Pembaruan Otomatis.

Permukaan serangan juga dapat dikurangi secara drastis dengan mematikan pengaturan konfigurasi Enable Scripting pada perangkat yang mengaktifkannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Setelah dua zero-day di Chrome versi desktop, Google kini menambal zero-day ketiga di versi Android

by

Google telah merilis pembaruan keamanan untuk browser Chrome versi Android guna memperbaiki kerentanan zero-day yang saat ini dieksploitasi di alam liar.

Chrome untuk Android versi 86.0.4240.185 dirilis dengan perbaikan untuk CVE-2020-16010, kerentanan heap buffer overflow di komponen antarmuka pengguna (UI) Chrome untuk Android.

Google mengatakan bug itu dieksploitasi untuk memungkinkan penyerang melewati dan melarikan diri dari sandbox keamanan Chrome di perangkat Android dan menjalankan kode pada OS yang mendasarinya.

Detail tentang serangan tersebut tidak dipublikasikan untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lainnya mengembangkan eksploitasi untuk zero-day yang sama.

Ini menandai zero-day Chrome ketiga yang ditemukan oleh tim TAG (Threat Analysis Group) Google dalam dua minggu terakhir.

Dua zero-day pertama hanya memengaruhi Chrome untuk versi desktop. Yang pertama ditambal pada 20 Oktober, dilacak sebagai CVE-2020-15999, dan memengaruhi library rendering font FreeType Chrome.

Selain itu, Google juga menambal zero-day kedua kemarin. Dilacak sebagai CVE-2020-16009, zero-day ini dideskripsikan sebagai eksekusi kode jarak jauh di mesin JavaScript Chrome V8.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Marriott didenda £18,4 juta oleh pengawas Inggris atas pelanggaran data pelanggan

by

Kantor Komisaris Informasi (ICO) telah mendenda Marriott sebesar £18,4 juta atas pelanggaran data pada tahun 2014, yang hukumannya telah dikurangi karena adanya COVID-19.

Grup hotel Marriott menjadi sasaran pelanggaran data tahun 2014 yang berdampak pada Starwood resort chain, yang diakuisisi oleh Marriott pada tahun 2015.

Pada saat itu, pelaku ancaman dapat menyusup ke sistem Starwood dan mengeksekusi malware melalui web shell, termasuk alat akses jarak jauh dan perangkat lunak pemanen kredensial.

Para penyerang kemudian dapat memasukkan database yang digunakan untuk menyimpan data reservasi tamu termasuk nama, alamat email, nomor telepon, nomor paspor, detail perjalanan, dan informasi program loyalitas.

Serangan berlanjut hingga 2018, dan selama empat tahun, informasi milik sekitar 339 juta tamu dicuri. Secara total, tujuh juta catatan yang berkaitan dengan tamu Inggris terungkap.

Namun, pengawas tersebut mengakui bahwa “Marriott melakukan tindakan secepat mungkin untuk menghubungi pelanggan dan ICO” setelah insiden keamanan siber terungkap, dan “bertindak cepat untuk mengurangi risiko kerusakan yang diderita pelanggan.”

“Jutaan data orang terpengaruh oleh kegagalan Marriott; ribuan orang menghubungi saluran bantuan dan orang lain mungkin harus mengambil tindakan untuk melindungi data pribadi mereka karena perusahaan yang mereka percayai tidak melakukannya,” komentar Elizabeth Denham, Komisaris Informasi Inggris. “Ketika sebuah bisnis gagal menjaga data pelanggan, dampaknya bukan hanya kemungkinan denda, yang paling penting adalah publik yang datanya harus mereka lindungi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Anda menggunakan pembaca sidik jari Android Anda dengan cara yang salah

by

Pembaca sidik jari menawarkan cara yang cepat dan nyaman untuk membuka kunci smartphone Android.

Ketika itu berhasil.

Jika Anda bekerja dengan tangan Anda, Anda mungkin telah menyadari bahwa pembaca sidik jari bisa jadi agak tidak bisa diandalkan, membutuhkan beberapa percobaan agar ini bekerja. Hanya membutuhkan satu detik tambahan atau lebih, tetapi ini menjadi speed bump ketika harus membuka kunci.

Jadi apa masalahnya?

Masalahnya adalah sidik jari menjadi usang dan berubah saat Anda bekerja dengan tangan. Perubahan ini tidak cukup banyak untuk memungkinkan Anda lolos dari sebuah kejahatan, tetapi kerusakan dan lecet serta bekas luka sudah cukup untuk menipu pemindai sidik jari.

Adrian Kingsley-Hughes, kontributor di ZDNet telah membagikan tips bagaimana Anda dapat membuka smartphone menggunakan pemindai sidik jari dengan cepat.

# 1: BERIKAN ANDROID JARI TENGAH

Gunakan sidik jari di jari tengah Anda. Tentu, ini membutuhkan sedikit waktu untuk membiasakan diri, tetapi Hughes (dan beberapa orang lainnya) telah menemukan bahwa sidik jari di jari tengah tidak banyak mendapatkan luka daripada jari lainnya. Ini sangat berguna untuk smartphone Android yang memiliki pembaca sidik jari di bagian belakang.

# 2: GUNAKAN SISI JARI (ATAU IBU JARI)

Daripada menggunakan ujung jari, gunakan bagian samping, terutama ibu jari. Sekali lagi, ini adalah tempat yang kerusakannya lebih sedikit. Ini berfungsi dengan baik untuk smartphone dengan pembaca sidik jari yang dipasang di samping.

# 3: PERMAINAN SISTEM

Trik lain yang menurut Hughes berfungsi dengan baik adalah dengan mendaftarkan jari yang sama dengan pembaca sidik jari beberapa kali selama periode waktu tertentu. Dengan cara ini, ia belajar membaca sidik jari Anda melalui lecet dan bekas luka random selama periode waktu tertentu. Trik ini berguna bagi mereka yang tidak ingin mengubah jari yang mereka gunakan untuk membuka kunci smartphone mereka.

Sumber: ZDNet

Paket npm berbahaya membuka backdoor di komputer programmer

by

Tim keamanan npm telah menghapus library JavaScript berbahaya dari situs web npm yang berisi kode berbahaya untuk membuka backdoor di komputer programmer.

Library JavaScript diberi nama “twilio-npm,” dan perilakunya yang berbahaya ditemukan pada akhir pekan lalu oleh Sonatype, sebuah perusahaan yang memantau repositori paket publik sebagai bagian dari layanan operasi keamanan pengembang (DevSecOps).

Dalam sebuah laporan, Sonatype mengatakan library tersebut pertama kali diterbitkan di situs web npm pada hari Jumat, ditemukan pada hari yang sama, dan dihapus pada 2 November setelah tim keamanan npm memasukkan paket tersebut ke daftar hitam.

Meskipun portal npm berumur pendek, library tersebut telah diunduh lebih dari 370 kali dan secara otomatis disertakan dalam proyek JavaScript yang dibangun dan dikelola melalui utilitas baris perintah npm (Node Package Manager).

Ax Sharma, peneliti keamanan Sonatype yang menemukan dan menganalisis library tersebut, mengatakan kode berbahaya yang ditemukan di library Twilio palsu membuka shell reverse TCP di semua komputer tempat library diunduh dan diimpor di dalam proyek JavaScript/npm/Node.js.

Reverse shell membuka koneksi ke “4.tcp.ngrok[.]Io:11425” dimana ia menunggu untuk menerima perintah baru untuk dijalankan di komputer pengguna yang terinfeksi.

Sharma mengatakan shell terbalik hanya bekerja pada sistem operasi berbasis UNIX.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet