Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

by

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

DigiCert Mencabut 50.000 Sertifikat Keamanan Web

by

DigiCert mengeluarkan pemberitahuan mendesak, memperingatkan administrator situs web bahwa mereka memiliki waktu hingga 11 Juli 2020 untuk mengganti sertifikat EV (extended validation) mereka dengan yang baru dan valid.

Meskipun tidak ada ancaman keamanan yang telah diidentifikasi saat ini, sertifikat ini dicabut karena proses audit yang buruk yang dipakai oleh beberapa perantara CA DigiCert. Termasuk sertifikat yang ditandatangani oleh GeoTrust, Thawte, CertCentral, dan Symantec.

Untuk alasan skala, CA biasanya tidak menandatangani sertifikat situs web secara langsung, tetapi menandatanganinya menggunakan sertifikat perantara (intermediate certificate) yang ditandatangani oleh sertifikat root (root certificate) yang memang dimiliki langsung oleh CA itu sendiri.

Sertifikat situs web umumnya dikenal sebagai leaf certificates, karena sertifikat itu ada di akhir rantai signature, urutan rantai kepercayaannya seperti ini:

  • Leaf certificate dijamin oleh intermediate certificate yang dimiliki CA atau mitra bisnis resmi.
  • Intermediate certificate dijamin oleh root certificate, yang dimiliki langsung oleh CA.
  • Root certificate ditandatangani sendiri, tetapi browser Anda memercayainya karena itu merupakan bagian dari daftar kecil, root certificate yang disetujui yang dibangun di browser Anda atau dipegang oleh sistem operasi Anda.

Digicert menjelaskan masalahnya sebagai berikut:

DigiCert telah mengidentifikasi masalah di mana beberapa intermediate CA (ICA) kami tidak terdaftar sebagai bagian dari audit EV WebTrust terbaru kami.

Penjelasan: sebagai bagian dari proses audit komunitas reguler, CA seharusnya menyerahkan daftar anak perusahaan dan mitra bisnis yang berwenang untuk menandatangani extended validation certificates (EV) sebagai perantara atas nama CA.

Dengan kata lain, jika ada perusahaan X yang memiliki sertifikat EV yang dijamin oleh perusahaan perantara Y yang selanjutnya dijamin oleh sertifikat CA root tepercaya dari perusahaan Z, maka Z harus memastikan perusahaan Y terdaftar kapan pun ia mengajukan dokumen audit validasi yang diperpanjang – demi kepentingan transparansi yang dapat dipahami.

Karena masalah proses audit ini, DigiCert harus mencabut 50.000 sertifikat EV.

ICA yang terkena dampak:

  • DigiCert Global CA G2
  • GeoTrust TLS RSA CA G1
  • Thawte TLS RSA CA G1
  • Secure Site CA
  • NCC Group Secure Server CA G2
  • TERENA SSL High Assurance CA 3

Keenam nama CA di atas tidak akan digunakan untuk menandatangani sertifikat lagi, jadi jika Anda memiliki sertifikat EV yang dicabut yang perlu diterbitkan kembali, itu akan berasal dari salah satu perantara baru ini sebagai gantinya:

  • DigiCert EV RSA CA G2
  • GeoTrust EV RSA CA G2
  • Thawte EV RSA CA G2

Cara memperbarui dan mengganti sertifikat yang dicabut dijelaskan dalam link ini.

 

Berita selengkapnya:
Source: Sophos | Technadu

Lebih Dari 8.200 Database Perusahaan Keamanan Amerika Dicuri Peretas

by

Seorang peretas mengklaim telah melanggar server backend milik perusahaan keamanan cyber Amerika dan mencuri informasi dari layanan “deteksi kebocoran data” perusahaan.

Peretas mengatakan data yang dicuri mencakup lebih dari 8.200 database yang berisi informasi miliaran pengguna yang bocor dari perusahaan lain selama pelanggaran keamanan di masa lalu.

Database telah dikumpulkan di dalam DataViper, layanan pemantauan kebocoran data yang dikelola oleh Vinny Troia, peneliti keamanan di belakang Night Lion Security, sebuah perusahaan keamanan cyber yang berbasis di Amerika.

Hari Senin kemarin, seorang peretas dengan nama NightLion (nama perusahaan Troia), mengirim email ke puluhan reporter keamanan cyber. Email itu berisi tautan ke portal dark web tempat mereka mempublikasikan informasi tentang peretasan ini.

Sumber: ZDNet

Situs ini berisi e-zine (majalah elektronik) yang merinci intrusi ke server backend DataViper. Peretas mengklaim telah menghabiskan waktu tiga bulan di dalam server DataViper selagi mengeksfloitasi database yang telah diindeks Troia untuk layanan pemantauan kebocoran data DataViper.

Peretas juga memposting daftar lengkap 8.225 database yang berhasil diindeks Troia di dalam layanan DataViper, daftar 482 file JSON yang dapat diunduh yang berisi sampel dari data yang mereka klaim telah dicuri dari server DataViper, dan bukti bahwa mereka memiliki akses ke DataViper backend.

Saat dimintai penjelasan mengenai peretasan ini, Troia mengakui bahwa peretas memperoleh akses ke salah satu server DataViper; Namun, pendiri Night Lion Security mengatakan bahwa server itu hanyalah server uji coba.

Troia mengatakan kepada ZDNet bahwa ia percaya peretas sebenarnya menjual database mereka sendiri, daripada informasi apa pun yang mereka curi dari servernya. Ia juga mengatakan kepada ZDNet bahwa ia percaya peretas memiliki hubungan dengan beberapa kelompok peretasan seperti TheDarkOverlord, ShinyHunters, dan GnosticPlayers.

Semua kelompok tersebut memiliki riwayat peretasan yang produktif, bertanggung jawab atas ratusan pelanggaran data, beberapa di antaranya diindeks Troia dalam database DataViper-nya.

 

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Akun Backdoor Ditemukan Di 29 Perangkat FTTH Dari Vendor Cina C-Data

by

Dua peneliti keamanan mengatakan bahwa mereka menemukan kerentanan yang parah dan apa yang tampaknya menjadi backdoor yang disengaja dalam firmware dari 29 perangkat FTTH OLT dari vendor populer C-Data.

FTTH adalah singkatan dari Fiber-To-The-Home, sementara OLT adalah singkatan dari Optical Line Termination.

Istilah FTTH OLT mengacu pada peralatan jaringan yang memungkinkan penyedia layanan internet untuk membawa kabel fiber optik sedekat mungkin dengan pengguna (end-user).

Dalam sebuah laporan yang diterbitkan minggu lalu, peneliti keamanan Pierre Kim dan Alexandre Torres mengatakan mereka menemukan tujuh kerentanan dalam firmware perangkat OLTH FTT yang diproduksi oleh vendor China C-Data.

Kim dan Torres mengatakan mereka mengkonfirmasi kerentanan dengan menganalisis firmware terbaru yang berjalan pada dua perangkat, tetapi mereka percaya bahwa kerentanan yang sama berdampak pada 27 model OLT FTTH lainnya, karena mereka menjalankan firmware yang sama.

Kerentanan yang terburuk dan paling mengganggu dari ketujuh kerentanan adalah keberadaan akun backdoor Telnet yang di-hardcode dalam firmware.

Akun tersebut memungkinkan penyerang untuk terhubung ke perangkat melalui server Telnet yang berjalan pada antarmuka WAN (sisi internet) perangkat. Kim dan Torres mengatakan bahwa akun tersebut memberikan akses penuh CLI administrator kepada penyerang.

Kedua peneliti mengatakan mereka menemukan empat kombinasi username-password yang disembunyikan di dalam firmware C-Data, dengan akun backdoor berbeda per perangkat, berdasarkan pada model perangkat dan versi firmware.

suma123/panger123
debug/debug124
root/root126
guest/[empty]

Namun akses CLI backdoor awal ini kemudian dapat digunakan untuk mengeksploitasi kerentanan lain. Sebagai contoh, Kim dan Torres mengatakan seorang penyerang juga dapat mengeksploitasi bug kedua untuk mendapatkan daftar kredensial dalam cleartext di Telnet CLI untuk semua administrator perangkat lainnya; kredensial yang dapat digunakan di kemudian hari jika akun backdoor dihapus.

Di bawah ini adalah daftar model C-Data FTTH OLT yang rentan:

  • 72408A
  • 9008A
  • 9016A
  • 92408A
  • 92416A
  • 9288
  • 97016
  • 97024P
  • 97028P
  • 97042P
  • 97084P
  • 97168P
  • FD1002S
  • FD1104
  • FD1104B
  • FD1104S
  • FD1104SN
  • FD1108S
  • FD1108SN
  • FD1204S-R2
  • FD1204SN
  • FD1204SN-R2
  • FD1208S-R2
  • FD1216S-R1
  • FD1608GS
  • FD1608SN
  • FD1616GS
  • FD1616SN
  • FD8000

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kerentanan Keamanan Baru Pada Zoom Memungkinkan Peretas Menargetkan PC Windows 7

by

Celah baru telah ditemukan pada perangkat lunak konferensi video Zoom yang membuat pengguna Windows 7 dalam bahaya.

Para peneliti di perusahaan cybersecurity Slovenia, ACROS Security, telah mengungkapkan kerentanan yang sebelumnya tidak diketahui pada perangkat lunak Zoom. Kerentanan ini memungkinkan seorang penyerang untuk, dari jarak jauh, mengambil alih komputer korban yang menjalankan versi lama dari sistem operasi Microsoft Windows.

Kerentanan “zero-day” ini mempengaruhi perangkat lunak Zoom yang berjalan pada Windows 7, atau bahkan sistem operasi yang lebih lama.

ACROS Security mencatat bahwa siapa pun yang berhasil mengeksploitasi kerentanan ini dapat mengakses file di komputer yang rentan, dan bahkan mengambil alih seluruh perangkat.

Microsoft telah berusaha meyakinkan pengguna Windows 7 untuk meningkatkan ke versi perangkat lunak yang lebih baru dalam beberapa tahun terakhir, namun hanya sedikit yang mau melakukan peningkatan versi – meskipun mereka telah menawarkan upgrade gratis ke Windows 10.

Mereka juga mengungkapkan akan mengakhiri dukungan teknis untuk Windows 7 pada 15 Januari 2020 yang lalu, yang berarti tidak akan ada lagi patch dan pembaruan keamanan untuk Windows 7.

“Zoom menganggap serius semua laporan kerentanan keamanan yang potensial,” kata juru bicara Zoom dalam sebuah pernyataan. “Pagi ini kami menerima laporan tentang masalah yang berdampak pada pengguna yang menjalankan Windows 7 dan versi yang lebih lama. Kami telah mengkonfirmasi masalah ini dan saat ini sedang mengerjakan patch untuk menyelesaikan masalah ini dengan cepat.”

Masalah ini adalah yang terbaru dalam sejumlah kekhawatiran keamanan pada platform Zoom, yang telah meledak dalam popularitas pada tahun 2020 berkat booming kerja jarak jauh yang disebabkan oleh pandemi global.

Zoom telah merilis tambalan untuk klien Windows-nya untuk mengatasi kerentanan zero-day yang dijelaskan oleh ARCOS Security. Pembaruan dapat diunduh dari halaman pengunduhan klien Zoom. Versi yang ditambal adalah Zoom untuk Windows v5.1.3.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Radar

Microsoft Mengungkapkan Perlindungan Terbaru Di Windows 10

by

Microsoft siap untuk membawa fitur keamanan baru yang kuat ke Windows 10 yang mungkin menjadi game-changer.

Microsoft telah mengungkapkan bahwa fitur baru telah diluncurkan dalam Windows 10 Insider Build terbaru. Fitur itu adalah Kernel Data Protection (KDP).

Pada technical deep dive 8 Juli oleh Andrea Allievi dari Tim Security Kernel Core, Microsoft memperkenalkan apa yang disebutnya sebagai teknologi keamanan platform baru untuk mencegah adanya data yang rusak (corruption). KDP beroperasi dengan memungkinkan para pengembang untuk mengamankan bagian-bagian tertentu dari kernel dan driver Windows dalam mode read-only, melalui serangkaian antarmuka pemrograman aplikasi (API) dan dengan demikian menghentikan peretas dari memodifikasi memori yang dilindungi.

Intinya adalah bahwa ini akan memblokir para aktor ancaman yang biasanya mengandalkan metodologi data corruption untuk memfasilitasi serangan mereka. Serangan yang mungkin berusaha untuk meningkatkan hak istimewa, menginstal driver dan perangkat lunak berbahaya yang tidak ditandatangani (unsigned), dan banyak lagi. Peretas, aktor ancaman, mereka yang memiliki niat jahat; apa pun sebutan Anda untuk mereka, mereka telah bergerak menuju data corruption sebagai metode serangan favorit mereka baru-baru ini. Microsoft berusaha untuk menghentikan itu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

15 Miliar Password Dijual di Dark Web

by

Sebuah studi baru mengungkapkan bahwa ada lebih dari 15 miliar kredensial akun curian yang beredar di forum-forum kriminal di dark web.

Peneliti di perusahaan keamanan siber Digital Shadows menemukan nama pengguna, kata sandi, dan informasi lainnya yang berkaitan rekening bank online, hingga layanan streaming musik dan video.

Mayoritas kredensial yang terekspos adalah milik para konsumen dan bukan perusahaan yang dihasilkan dari ratusan ribu pelanggaran data.

Tidak mengherankan, kredensial paling mahal yang dijual adalah kredensial bank dan jasa keuangan. Daftar rata-rata untuk ini adalah £56 atau sekitar Rp 918.002 di dark web – bagian dari internet yang terkenal karena aktivitas kriminal yang hanya dapat diakses menggunakan perangkat lunak khusus.

Rick Holland, CISO di Digital Shadows mengatakan bahwa perusahaannya telah memperingatkan pelanggannya akan sekitar 27 juta kredensial selama satu setengah tahun terakhir yang secara langsung dapat mempengaruhi mereka.

Di antara kredensial yang dijual adalah kredensial yang memberikan akses ke akun di dalam suatu organisasi, dengan nama pengguna yang mengandung kata “faktur” atau “faktur” di antara daftar paling populer.

Pakar keamanan menyarankan pengguna internet untuk menggunakan kata sandi individual untuk setiap layanan online yang mereka gunakan, dan juga menerapkan langkah-langkah tambahan seperti otentikasi dua faktor jika memungkinkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Independent.co.uk

Lebih Dari 100 Router Wi-Fi Gagal Dalam Tes Keamanan Utama – Ini Yang Harus Anda Lakukan

by

Hampir semua router Wi-Fi rumahan yang diuji dalam studi massal oleh Fraunhofer Institute yang terkenal di Jerman memiliki kerentanan keamanan serius yang dapat dengan mudah diperbaiki oleh pembuat router, sebuah laporan baru-baru ini dirilis.

Menggunakan perangkat lunak analitiknya sendiri, institut ini menguji firmware terbaru yang tersedia untuk 117 model Wi-Fi rumahan yang saat ini dijual di Eropa, termasuk router dari ASUS, D-Link, Linksys, Netgear, TP-Link, Zyxel dan AVM merek Jerman. Model-model itu sendiri tidak diuji secara fisik.

Daftar lengkap model dan firmware yang diuji ada di GitHub. Lembaga ini tidak dapat memeriksa 10 model firmware lagi, kebanyakan dari Linksys. Laporan mencatat bahwa banyak pembaruan firmware dikeluarkan tanpa memperbaiki kekurangan yang diketahui.

Sejauh ini AVM menjadi yang terbaik di antara tujuh merek router yang diperiksa, meskipun bukan tanpa cacat. ASUS dan Netgear tidak membuat hasil yang baik, tetapi mereka tidak separah D-Link, Linksys, TP-Link dan Zyxel.

Kelemahan yang diteliti termasuk firmware yang tidak terbaru (D-Link DSL-321B Z belum diperbarui sejak 2014); Kernel Linux yang kedaluwarsa (Linksys WRT54GL menggunakan kernel dari tahun 2002); kegagalan untuk menerapkan teknik keamanan umum (di sini AVM jauh lebih baik daripada yang lain); kunci pribadi (private keys) rahasia yang tertanam dalam firmware sehingga siapa pun dapat menemukannya (Netgear R6800 memiliki 13); dan nama pengguna & kata sandi administratif hard-coded yang memungkinkan pengambil-alihan perangkat secara penuh (hanya ASUS yang tidak memilikinya).

Linksys WRT54GL terakhir memiliki firmware yang diperbarui pada Januari 2016, salah satu firmware tertua dalam penelitian ini. Linksys WRT54GL pertama kali dirilis pada tahun 2005 dan masih dijual hingga hari ini, meskipun hanya menangani protokol Wi-Fi hingga 802.11g.

Apa Yang Harus Anda Lakukan?

Anda dapat memastikan bahwa router berikutnya yang Anda beli dapat menginstal pembaruan firmware secara otomatis. Anda dapat memeriksa untuk melihat apakah router Anda saat ini melakukannya, atau membuatnya cukup mudah untuk menginstal pembaruan firmware secara manual.

Anda juga harus memastikan bahwa kata sandi administratif untuk router Anda telah diubah dari kata sandi default. (Periksa daftar kata sandi default di https://www.routerpasswords.com.) Anda juga harus memeriksa antarmuka administratif untuk memastikan bahwa UPnP dan akses jarak jauh dinonaktifkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tom’s Guide