Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Server

Server

Acer Mengonfirmasi Pembobolsn di Salah Satu Servernya

by

Acer telah mengkonfirmasi seseorang membobol salah satu servernya setelah penjahat menjual database 160GB dari apa yang diklaim sebagai informasi rahasia pembuat PC Taiwan itu.

Kernelware mengklaim barang yang dicuri termasuk slide dan presentasi rahasia, manual teknis staf, file Format Pencitraan Windows, biner, data infrastruktur backend, dokumen produk rahasia, Kunci Produk Digital Pengganti, file ISO, file Gambar Penyebaran Sistem Windows, komponen BIOS, dan file ROM .

Pencuri mengatakan bahwa mereka hanya akan menerima cryptocurrency Monero sebagai pembayaran untuk tangkapan tersebut, dan hanya akan menjual melalui perantara. Tidak ada harga yang diminta – meskipun ada catatan yang memberi tahu calon pembeli untuk mengirim pesan pribadi dengan penawaran.

Acer tidak menanggapi pertanyaan Daftar tentang sifat data yang dicuri, atau apakah telah memverifikasi informasi yang bocor.

Bahkan jika penjahat tidak mencuri informasi pelanggan, data dump masih bisa menyebabkan kerusakan pembuat komputer, menurut Erich Kron, advokat kesadaran keamanan di KnowBe4.

“Tidak semua pelanggaran data harus mengandung informasi pribadi tentang pelanggan atau karyawan, atau informasi keuangan seperti kartu kredit, untuk menjadi perhatian,” kata Kron kepada The Register. “Dalam hal ini Acer berpotensi merilis beberapa kekayaan intelektualnya dan dokumen perusahaan yang berpotensi sensitif.”

Jenis informasi kepemilikan dan teknis tentang prosedur dan produk perusahaan ini dapat menjadi keuntungan bagi pesaing dan penjahat, tambahnya. “Dalam dunia elektronik dan teknologi yang sangat kompetitif, informasi ini bisa sangat berharga bagi pesaing, dan informasi teknis mungkin sangat berharga bagi pelaku kejahatan yang ingin melakukan eksploitasi yang menargetkan produk korban.”

Pelanggaran terbaru mengikuti beberapa snafus keamanan pada tahun 2021. Pada bulan Maret, raksasa PC itu adalah salah satu korban REvil dan geng ransomware terkenal menuntut $50 juta.

selengkapnya : theregister

Malware Zerobot Sekarang Menyebar dengan Mengeksploitasi Kerentanan Apache

by

Botnet Zerobot telah ditingkatkan untuk menginfeksi perangkat baru dengan mengeksploitasi kerentanan keamanan yang memengaruhi server Apache yang terbuka dan tidak terhubung ke Internet.

Tim peneliti Pertahanan Microsoft untuk IoT juga mengamati bahwa versi terbaru ini menambahkan kemampuan penolakan layanan terdistribusi (DDoS) baru.

Pembaruan yang terlihat oleh Microsoft menambahkan eksploit yang lebih baru ke toolkit malware, memungkinkannya untuk menargetkan tujuh jenis perangkat dan perangkat lunak baru, termasuk server Apache dan Apache Spark yang belum ditambal.

Daftar lengkap modul yang ditambahkan ke Zerobot 1.1 meliputi:

  • CVE-2017-17105: Zivif PR115-204-P-RS
  • CVE-2019-10655: Grandstream
  • CVE-2020-25223: WebAdmin of Sophos SG UTM
  • CVE-2021-42013: Apache
  • CVE-2022-31137: Roxy-WI
  • CVE-2022-33891: Apache Spark
  • ZSL-2022-5717: MiniDVBLinux

Terakhir tapi tidak kalah penting, malware yang diperbarui kini hadir dengan tujuh kemampuan DDoS baru, termasuk metode serangan TCP_XMAS.

Zerobot menyebar melalui serangan brute force terhadap perangkat yang tidak aman dengan kredensial default atau lemah dan mengekploitasi kerantanan di perangkat Internet of Things (IoT) dan aplikasi web.

Setelah menginfeksi sistem, ia mengunduh skrip bernama “nol” yang memungkinkannya menyebar sendiri ke perangkat yang lebih rentan yang terpapar secara online.

Botnet mendapatkan kegigihan dari perangkat yang dikompromikan, dan digunakan untuk meluncurkan serangan DDoS melalui berbagai protokol, tetapi juga dapat memberi operatornya akses awal ke jaringan korban.

sumber : bleeping computer

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

by

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

Microsoft memperbaiki kegagalan handshake Windows TLS dalam pembaruan out-of-band

by

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk mengatasi masalah yang disebabkan oleh pembaruan keamanan Windows Oktober 2022 yang memicu kegagalan handshake SSL/TLS pada platform klien dan server.

Pada perangkat yang terpengaruh, pengguna akan melihat kesalahan SEC_E_ILLEGAL_MESSAGE dalam aplikasi saat koneksi ke server mengalami masalah.

“Kami mengatasi masalah yang mungkin memengaruhi beberapa jenis koneksi Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Koneksi ini mungkin mengalami kegagalan handshake,” Microsoft menjelaskan.

“Untuk pengembang, koneksi yang terpengaruh cenderung menerima satu atau lebih catatan diikuti oleh sebagian catatan dengan ukuran kurang dari 5 byte dalam buffer input tunggal.”

Masalah umum yang dibahas dalam pembaruan OOB hari ini memengaruhi beberapa rilis dan edisi Windows, termasuk:

  • Klien: Windows 11, versi 22H2; Windows 11, versi 21H2; Windows 10, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10 Perusahaan LTSC 2019; Windows 10 Perusahaan LTSC 2016; Windows 10 Perusahaan 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; WindowsServer 2019; WindowsServer 2016; Windows Server 2012 R2; WindowsServer 2012; Windows Server 2008 R2 SP1

Pembaruan tidak dapat disebarkan melalui Pembaruan Windows, untuk menginstalnya Anda dapat mengunduh dari Katalog Pembaruan Microsoft dan mengimpornya secara manual ke WSUS dan Microsoft Endpoint Configuration Manager.
Microsoft telah merilis paket mandiri dan pembaruan kumulatif:

Pembaruan kumulatif:
Windows 11, versi 21H2: KB5020387
Windows Server 2022: KB5020436
Windows 10, versi 20H2; Windows 10, versi 21H1; Windows 10, versi 22H1; Windows 10 Enterprise LTSC 2021: KB5020435
Windows 10 Perusahaan LTSC 2019; Windows Server 2019: KB5020438
Pembaruan Mandiri:
Windows 8.1; Windows Server 2012 R2: KB5020447
Windows Server 2012: KB5020449
Windows 7 SP1; Windows Server 2008 R2 SP1: KB5020448

Perusahaan masih mengerjakan perbaikan untuk Windows 10 2016 LTSB, Windows Server 2016, dan Windows 10 2015 LTSB.

Setelah menyebarkan pembaruan, Layanan Cluster mungkin gagal untuk memulai karena Pengandar Jaringan Cluster tidak ditemukan karena pembaruan untuk pengandar kelas PnP yang digunakan oleh layanan.

Bulan lalu, Microsoft mengatakan bahwa mereka secara tidak sengaja mencantumkan pembaruan pratinjau Windows September di Layanan Pembaruan Server Windows (WSUS).

Redmond menambahkan bahwa hingga pembaruan dihapus dari WSUS, itu masih dapat menyebabkan masalah pemasangan pembaruan keamanan di beberapa lingkungan terkelola.

Selengkapnya: Bleeping Computer

Lebih dari 9.000 Server VNC Terbuka Secara Online Tanpa Kata Sandi

by

Para peneliti telah menemukan setidaknya 9.000 titik akhir VNC (komputasi jaringan virtual) terbuka yang dapat diakses dan digunakan tanpa otentikasi, yang memungkinkan pelaku ancaman akses mudah ke jaringan internal.

VNC (komputasi jaringan virtual) adalah sistem platform-independen dimaksudkan untuk membantu pengguna terhubung ke sistem yang memerlukan pemantauan dan penyesuaian, menawarkan kontrol komputer jarak jauh melalui RFB (protokol penyangga bingkai jarak jauh) melalui koneksi jaringan.

Jika titik akhir ini tidak diamankan dengan benar dengan kata sandi, yang sering kali merupakan akibat dari kelalaian, kesalahan, atau keputusan yang diambil untuk kenyamanan, titik akhir ini dapat berfungsi sebagai titik masuk bagi pengguna yang tidak sah, termasuk pelaku ancaman dengan niat jahat.

Temuan yang mengkhawatirkan

Pemburu kelemahan keamanan di Cyble memindai web untuk mencari instans VNC yang terhubung ke internet tanpa kata sandi dan menemukan lebih dari 9.000 server yang dapat diakses.

Lebih buruk lagi, Cybcle menemukan beberapa contoh VNC yang terbuka ini untuk sistem kontrol industri, yang tidak boleh diekspos ke Internet.

Untuk melihat seberapa sering penyerang menargetkan server VNC, Cyble menggunakan alat intelijen sibernya untuk memantau serangan pada port 5900, port default untuk VNC. Cyble menemukan bahwa ada lebih dari enam juta permintaan selama satu bulan.

Sebagian besar upaya untuk mengakses server VNC berasal dari Belanda, Rusia, dan Amerika Serikat.

Permintaan untuk akses VNC

Permintaan untuk mengakses jaringan kritis melalui VNC yang terbuka atau retak sangat tinggi di forum peretas, karena jenis akses ini, dalam keadaan tertentu, dapat digunakan untuk penyusupan jaringan yang lebih dalam.

“Musuh dapat menyalahgunakan VNC untuk melakukan tindakan jahat sebagai pengguna yang masuk seperti membuka dokumen, mengunduh file, dan menjalankan perintah sewenang-wenang,” kata seorang peneliti Cyble kepada Bleeping Computer selama diskusi pribadi.

“Seorang musuh dapat menggunakan VNC untuk mengontrol dan memantau sistem dari jarak jauh guna mengumpulkan data dan informasi untuk beralih ke sistem lain di dalam jaringan.”

Sumber: BleepingComputer

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

by

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Server Microsoft Exchange di Seluruh Dunia Di-backdoor dengan Malware Baru

by Leave a Comment

Penyerang menggunakan malware yang baru ditemukan untuk mem-backdoor server Microsoft Exchange milik pemerintah dan organisasi militer dari Eropa, Timur Tengah, Asia, dan Afrika.

Malware, yang dijuluki SessionManager oleh peneliti keamanan di Kaspersky, yang pertama kali terlihat pada awal 2022 adalah modul kode asli berbahaya untuk perangkat lunak server web Internet Information Services (IIS) Microsoft.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” Kaspersky mengungkapkan pada hari Kamis.

“Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

Kemampuan SessionManager mencakup, di antara fitur-fitur lainnya:

  • menjatuhkan dan mengelola file arbitrer di server yang disusupi
  • eksekusi perintah jarak jauh pada perangkat pintu belakang
  • menghubungkan ke titik akhir dalam jaringan lokal korban dan memanipulasi lalu lintas jaringan

Setelah penyebaran, modul IIS yang berbahaya memungkinkan operatornya untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan muatan tambahan (seperti pemuat reflektif Mimikatz berbasis PowerSploit, Mimikatz SSP, ProcDump, dan alat pembuangan memori Avast yang sah).

Tautan grup APT Gelsemium

Berdasarkan viktimologi serupa dan penggunaan varian pintu belakang tipe server HTTP yang disebut OwlProxy, pakar keamanan Kaspersky percaya bahwa pintu belakang SessionManager IIS dimanfaatkan dalam serangan ini oleh aktor ancaman Gelsemium sebagai bagian dari operasi spionase di seluruh dunia.

Grup peretasan ini telah aktif setidaknya sejak 2014 dan dikenal menargetkan pemerintah, produsen elektronik, dan universitas dari Asia Timur dan Timur Tengah dan sebagian besar terbang di bawah radar.
“Eksploitasi kerentanan server pertukaran telah menjadi favorit penjahat dunia maya yang ingin masuk ke infrastruktur yang ditargetkan sejak Q1 2021. SessionManager yang baru ditemukan tidak terdeteksi dengan baik selama satu tahun dan masih digunakan di alam liar,” tambah Pierre Delcher, Peneliti Keamanan Senior di GREAT Kaspersky.

Sumber: BleepingComputer

Microsoft: Pembaruan Windows Server Juni dapat menyebabkan masalah pencadangan

by

Microsoft mengatakan bahwa beberapa aplikasi mungkin gagal untuk mencadangkan data menggunakan Volume Shadow Copy Service (VSS) setelah menerapkan pembaruan Windows Patch Tuesday Juni 2022.

Masalah ini terjadi karena penegakan keamanan yang diperkenalkan untuk mengatasi peningkatan kerentanan hak istimewa (CVE-2022-30154) di Microsoft File Server Shadow Copy Agent Service (RVSS).

“Setelah Anda menginstal pembaruan Windows 14 Juni 2022 atau yang lebih baru, operasi yang terkait dengan salinan bayangan (pembuatan atau penghapusan) pada Server Aplikasi yang menjalankan Aplikasi Server sadar VSS yang menyimpan data pada berbagi file SMB 3.0 jarak jauh atau yang lebih baru mungkin gagal untuk berbagi SMB dihosting di File Server,” Microsoft menjelaskan.

Pada sistem yang mengalami masalah yang diketahui ini, aplikasi pencadangan Windows mungkin menerima kesalahan E_ACCESSDENIED selama operasi pembuatan salinan bayangan dan “FileShareShadowCopyAgent Event 1013” akan dicatat di File Server.

Karena RVSS adalah komponen opsional, sistem yang menjalankan Windows Server tidak rentan secara default. Selain itu, edisi Klien Windows tidak rentan terhadap serangan menggunakan eksploitasi CVE-2022-30154 dalam upaya eskalasi hak istimewa.

Daftar lengkap versi Windows yang terpengaruh dan pembaruan Windows yang menyebabkan masalah ini meliputi:

  • Windows Server 2022 (KB5014678)
  • Windows 10, versi 20H2 (KB5014699)
  • Windows Server 2019 (KB5014692)
  • Windows Server 2016 (KB5014702)
  • Windows Server 2012 R2 (KB5014746)
  • Windows Server 2012 (KB5014747)

Untuk mengatasi masalah ini, instal pemutakhiran Windows yang dirilis pada 14 Juni dan yang lebih baru di Server Aplikasi dan Server Berkas.

“Server aplikasi menjalankan aplikasi sadar Volume Shadow Copy Service (VSS) yang menyimpan data di server jarak jauh Server Message Block 3.0 (atau lebih tinggi) yang dibagikan di server file,” tambah Microsoft.

“Server file menghosting file yang dibagikan. Jika Anda tidak menginstal pembaruan pada kedua peran mesin, operasi pencadangan yang dilakukan oleh aplikasi, yang sebelumnya berfungsi, mungkin gagal.”

Masalah yang diketahui ini juga diketahui terjadi jika akun yang digunakan untuk melakukan operasi penyalinan bayangan adalah akun lokal dengan hak Administrator atau Operator Cadangan di File Server—dalam hal ini, Microsoft merekomendasikan untuk beralih ke akun domain.

Microsft juga mengatakan bahwa pencadangan mungkin gagal jika akun yang digunakan untuk melakukan operasi penyalinan tidak sesuai dengan persyaratan hak istimewa untuk Administrator atau Operator Cadangan. Untuk memperbaiki masalah ini, Anda harus beralih ke bagian akun domain dari grup Administrator Lokal atau Operator Cadangan di Server File.

Sumber: Bleeping Computer