SSH

GitHub.com merotasi kunci SSH pribadinya yang terbuka

March 25, 2023 by Søren

GitHub telah merotasi kunci SSH pribadinya untuk GitHub.com setelah rahasia tersebut secara tidak sengaja dipublikasikan di repositori GitHub publik.

Layanan pengembangan perangkat lunak dan kontrol versi mengatakan, kunci RSA pribadi hanya “diekspos secara singkat”, tetapi mengambil tindakan karena “kehati-hatian yang melimpah”.

Dalam posting blog singkat yang diterbitkan hari ini, GitHub mengakui menemukan minggu ini bahwa RSA SSH private key untuk GitHub.com telah diekspos secara singkat di repositori GitHub publik.

“Kami segera bertindak untuk menahan paparan dan mulai menyelidiki untuk memahami akar penyebab dan dampaknya,” tulis Mike Hanley, Chief Security Officer dan SVP of Engineering GitHub.

“Kami sekarang telah menyelesaikan penggantian kunci, dan pengguna akan melihat perubahan menyebar selama tiga puluh menit berikutnya. Beberapa pengguna mungkin telah memperhatikan bahwa kunci baru hadir secara singkat mulai sekitar pukul 02:30 UTC selama persiapan untuk perubahan ini.”

Waktu penemuannya menarik—hanya beberapa minggu setelah GitHub meluncurkan pemindaian rahasia untuk semua repo publik.

Sidik jari kunci publik terbaru GitHub.com ditunjukkan di bawah ini. Ini dapat digunakan untuk memvalidasi bahwa koneksi SSH Anda ke server GitHub memang aman.

Seperti yang mungkin diketahui beberapa orang, hanya kunci RSA SSH GitHub.com yang terpengaruh dan diganti. Tidak diperlukan perubahan untuk pengguna ECDSA atau Ed25519.

Selengkapnya: Bleeping Computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

November 15, 2022 by Eevee

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

August 9, 2022 by Eevee

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

December 2, 2021 by Eevee

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Cisco memperbaiki kredensial hard-code dan masalah kunci SSH default

November 5, 2021 by Eevee

Cisco telah merilis pembaruan keamanan untuk mengatasi kelemahan keamanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk masuk menggunakan kredensial hard-code atau kunci SSH default untuk mengambil alih perangkat yang belum ditambal.

CISA juga mendorong pengguna dan administrator hari ini untuk meninjau saran Cisco dan menerapkan semua pembaruan yang diperlukan untuk memblokir upaya untuk mengambil alih sistem yang terkena dampak.

Catalyst PON Switch kredensial hard-coded

Yang pertama dari dua kelemahan yang ditambal pada hari Rabu (dilacak sebagai CVE-2021-34795) hadir dengan skor CVSS 10/10 yang sempurna dan ditemukan di Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT).

“Kerentanan dalam layanan Telnet Cisco Catalyst PON Series Switches ONT dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi masuk ke perangkat yang terpengaruh dengan menggunakan akun debugging yang memiliki kata sandi default dan statis,” perusahaan menjelaskan dalam sebuah nasihat yang diterbitkan kemarin. .

Untungnya, kerentanan ini hanya dapat dieksploitasi dengan membuat sesi Telnet ke perangkat yang rentan dan masuk dengan kredensial hard-coded.

Karena Telnet tidak diaktifkan secara default pada perangkat yang terpengaruh, ini secara drastis membatasi jumlah target yang dapat diserang oleh aktor ancaman.

Daftar perangkat yang terpengaruh termasuk sakelar CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC, dan CGP-ONT-4TVCW Catalyst PON.

Cisco mengkonfirmasi bahwa CVE-2021-34795 tidak berdampak pada Catalyst PON Switch CGP-OLT-8T dan Catalyst PON Switch CGP-OLT-16T.
Kunci SSH default di Cisco Policy Suite

Cacat keamanan kritis kedua yang ditambal kemarin dilacak sebagai CVE-2021-40119 dan disebabkan oleh penggunaan kembali kunci SSH statis di seluruh instalasi Cisco Policy Suite.

“Kerentanan dalam mekanisme otentikasi SSH berbasis kunci dari Cisco Policy Suite dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke sistem yang terpengaruh sebagai pengguna root,” jelas Cisco.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengekstrak kunci dari sistem di bawah kendali mereka.”

Perangkat lunak Cisco Policy Suite merilis 21.2.0 dan yang lebih baru akan secara otomatis membuat kunci SSH baru selama proses instalasi tetapi tidak selama peningkatan.

Untuk menghasilkan kunci SSH baru dan menyebarkannya ke semua mesin, Anda dapat menggunakan langkah-langkah yang dirinci di bagian Rilis Tetap dari saran Cisco.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa tidak ada kode eksploitasi konsep publik yang tersedia secara online untuk kedua kerentanan ini dan menambahkan bahwa mereka tidak mengetahui adanya eksploitasi yang sedang berlangsung di alam liar.

SUMBER : Bleeping Computer

Botnet HEH baru dapat menghapus router dan perangkat IoT

October 7, 2020 by Winnie the Pooh

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

SSH

Cookies Settings