Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for VPN

VPN

Alamt IP Pengguna VPN terekspos oleh kerentanan zero-day di router Virgin Media

by

Kerentanan zero-day di router Virgin Media Super Hub 3 memungkinkan penyerang membuka kedok alamat IP pengguna VPN yang sebenarnya, ungkap peneliti keamanan.

Fidus Information Security, konsultan penetration testing Inggris, telah menerbitkan rincian kerentanan keamanan hampir dua tahun setelah pertama kali memperingatkan Virgin Media, sebuah perusahaan telekomunikasi Inggris, yang merujuk Fidus ke Liberty Global, perusahaan induknya.

Tim R&D Fidus mengatakan awalnya menunda pengungkapan selama 12 bulan atas permintaan vendor, tetapi upaya selanjutnya untuk menghubungi Virgin Media dan Liberty Global kemudian gagal mendapatkan tanggapan.

Namun, Virgin Media telah mengatakan kepada The Daily Swig bahwa saat ini sedang mengerjakan “perbaikan teknis” untuk “masalah edge-case, yang berpotensi berdampak hanya pada sebagian kecil pelanggan” yang menggunakan VPN.

Para peneliti dapat memasang serangan rebinding DNS yang mengungkapkan alamat IP pengguna VPN “dengan hanya [pengguna] mengunjungi halaman web [berbahaya] selama beberapa detik”, tulis posting blog yang dirancang oleh Fidus pada bulan Maret tetapi akhirnya diterbitkan minggu lalu.

Serangan rebinding DNS menyalahgunakan browser korban dengan menjadikannya sebagai proxy untuk menyerang jaringan pribadi.

Para peneliti berhasil menghilangkan anonimitas perangkat yang alamat IP-nya ditutupi oleh sebagian besar “VPN terkemuka di pasar”, kata tim R&D Fidus kepada The Daily Swig.

Namun, beberapa penyedia VPN menangkis serangan tersebut dengan memblokir akses ke alamat IP lokal secara default.

Selengkapnya: Portswigger

Pulse Secure memperbaiki VPN zero-day yang digunakan untuk meretas target bernilai tinggi

by

Pulse Secure telah memperbaiki kerentanan zero-day dalam perangkat SSL VPN Pulse Connect Secure (PCS) yang secara aktif dieksploitasi untuk membahayakan jaringan internal perusahaan pertahanan dan lembaga pemerintah.

Minggu lalu, firma keamanan siber FireEye mengungkapkan bahwa pelaku ancaman secara aktif mengeksploitasi kerentanan zero-day, dilacak sebagai CVE-2021-22893, untuk menyebarkan malware pada perangkat Pulse Secure untuk mencuri kredensial dan menyediakan akses pintu belakang ke jaringan yang disusupi.

Sehari kemudian, Cybersecurity and Infrastructure Security Agency (CISA) AS mengeluarkan arahan darurat yang memerintahkan lembaga federal untuk mengurangi kerentanan dalam dua hari dengan menonaktifkan fitur Windows File Share Browser dan Pulse Secure Collaboration.

Pulse Secure juga merilis Pulse Connect Secure Integrity Tool untuk memeriksa apakah peretas mengubah file apa pun pada peralatan Pulse Secure mereka.

Hari ini, Pulse Secure telah merilis pembaruan keamanan untuk kerentanan CVE-2021-22893 dan merekomendasikan semua pengguna untuk segera menginstal tambalan.

Organisasi yang menjalankan Pulse Connect Secure 9.0RX & 9.1RX harus segera memperbarui ke Pulse Connect Secure 9.1R11.4.

Sebelum menginstal pembaruan, disarankan agar organisasi menjalankan Pulse Secure Integrity Tool terlebih dahulu untuk menentukan apakah perangkat mereka dilanggar dan untuk menanggapinya.

Sumber: Bleeping Computer

Peretasan VPN Adalah Bencana Dalam Mode Slow-Motion

by

Tahun ini tidak pernah ada kekurangan peretasan blockbuster, mulai dari kehancuran rantai pasokan SolarWinds hingga serangan kilat China terhadap server Microsoft Exchange. Contoh terbaru dari kehancuran VPN — yang kita bicarakan adalah koneksi perusahaan, bukan pengaturan pribadi Anda — adalah yang paling dramatis.

Perusahaan keamanan FireEye minggu ini mengungkapkan bahwa mereka telah menemukan selusin keluarga malware, tersebar di beberapa grup peretasan, berpesta dengan kerentanan di Pulse Secure VPN.

Para korban tersebar di seluruh dunia dan menjangkau target bernilai tinggi: kontraktor pertahanan, lembaga keuangan, dan pemerintah. Para penyerang menggunakan tempat bertengger mereka untuk mencuri kredensial yang sah, meningkatkan peluang mereka untuk mendapatkan akses yang mendalam dan berkelanjutan.

Namun, tambalan untuk memperbaiki kerentanan di jantung serangan tidak akan tersedia hingga bulan depan. Dan bahkan kemudian, itu mungkin tidak memberikan banyak penawar. Perusahaan sering kali lambat dalam memperbarui VPN mereka, sebagian karena waktu henti berarti karyawan tidak dapat menyelesaikan pekerjaannya secara efektif.

Perangkat lunak dari semua jalur memiliki kerentanan, tetapi karena VPN menurut definisi bertindak sebagai saluran informasi yang dimaksudkan untuk menjadi pribadi, bug mereka memiliki implikasi yang serius.

Lebih banyak kekurangan berarti lebih banyak peluang bagi penyerang. Lebih banyak pengguna pada VPN tertentu juga membuatnya semakin sulit untuk menemukan orang jahat, terutama untuk perusahaan multinasional yang besar.

Selengkapnya: Wired

Sekarang peretas menargetkan kelemahan pada perangkat VPN ini. Inilah yang perlu Anda lakukan

by

Peretas secara aktif mengeksploitasi kelemahan yang baru ditemukan dalam produk VPN Aman dari Pulse Connect, bersama dengan beberapa kekurangan lama yang belum ditambal oleh beberapa pelanggan.

Firma keamanan siber FireEye melaporkan telah menyelidiki beberapa insiden penyusupan perangkat yang menggunakan bug yang dilacak sebagai CVE-2021-22893 yang ditemukan pada bulan April. Ini adalah kerentanan yang signifikan dengan skor keparahan 10 dari kemungkinan 10 dan malware yang digunakan dirancang untuk melewati otentikasi dua faktor.

Kerentanan tersebut mencakup bypass otentikasi yang dapat “memungkinkan pengguna yang tidak diautentikasi untuk melakukan eksekusi file arbitrer jarak jauh pada gateway Pulse Connect Secure,” menurut nasihat Pulse Secure.

Unit respons insiden FireEye, Mandiant, mengatakan sedang melacak 12 keluarga malware yang terkait dengan serangan pada peralatan VPN Pulse Secure yang menggunakan bug ini bersama dengan bug lama yang memengaruhi perangkat lunak.

FireEye mengaitkan aktivitas tersebut dengan grup yang dilabeli UNC2630, grup peretas yang diduga disponsori negara China yang diduga menargetkan industri Pertahanan AS dan organisasi Eropa.

selengkapnya : www.zdnet.com

Data 21 juta pengguna dari 3 VPN Android dijual secara online

by

Seorang pengguna di forum peretas populer menjual tiga basis data yang diduga berisi kredensial pengguna dan data perangkat yang dicuri dari tiga layanan VPN Android yang berbeda – SuperVPN, GeckoVPN, dan ChatVPN – dengan total 21 juta catatan pengguna yang terjual.

Sumber: The Cybernews

Layanan VPN yang datanya diduga telah dieksploitasi oleh peretas adalah SuperVPN, yang dianggap sebagai salah satu VPN paling populer (dan berbahaya) di Google Play dengan 100.000.000+ pemasangan di Play store, serta GeckoVPN (1.000.000+ pemasangan) dan ChatVPN (50.000+ pemasangan).

Penulis postingan forum tersebut menjual tiga arsip, dua di antaranya diduga berisi berbagai data yang tampaknya dikumpulkan oleh penyedia dari lebih dari 21.000.000 pengguna SuperVPN, GeckoVPN, dan ChatVPN, termasuk:

  • Alamat email
  • Nama pengguna
  • Nama lengkap
  • Nama negara
  • String kata sandi yang dibuat secara acak
  • Data terkait pembayaran
  • Status anggota premium dan tanggal kedaluwarsa

String kata sandi acak mungkin menunjukkan bahwa akun pengguna VPN dapat ditautkan dengan akun Google Play Store tempat pengguna mengunduh aplikasi VPN mereka.

Secara teori, salah satu poin utama penggunaan VPN adalah untuk mengenkripsi lalu lintas internet Anda dan melindungi privasi Anda dari mata-mata pihak ketiga, seperti ISP, pemerintah yang represif, atau pelaku ancaman.

Inilah sebabnya, ketika memilih VPN, pengguna harus selalu memastikan bahwa VPN yang dimaksud tidak mencatat aktivitas online mereka atau mengumpulkan data lain apa pun tentang mereka. Jika tidak, data yang dicuri dari VPN yang mencatat informasi penggunanya dapat digunakan untuk melawan pengguna tersebut oleh pelaku ancaman.

Sumber: Cyber News

Mengapa Ahli Keamanan Siber Membenci TeamViewer, Perangkat Lunak yang Digunakan untuk Mengutak-atik Pasokan Air Florida

by

Otoritas penegak hukum di Florida mengumumkan pada hari Senin bahwa seorang peretas telah mencoba untuk meningkatkan kadar natrium hidroksida dalam upaya untuk meracuni pasokan air.

Peretas, yang masih belum teridentifikasi, memperoleh akses ke panel kontrol yang dilindungi kata sandi tetapi dapat diakses menggunakan TeamViewer, perangkat lunak kendali jarak jauh, menurut otoritas setempat.

TeamViewer adalah perangkat lunak populer yang memungkinkan pengguna untuk terhubung ke komputer lain dan menggunakannya dari jarak jauh.

Ini sangat mudah digunakan, tetapi para ahli keamanan mengatakan itu juga berpotensi menjadi mimpi buruk khususnya karena seberapa banyak akses yang dimilikinya ke komputer yang mendasarinya. Dengan kata lain, ini mungkin bukan perangkat lunak yang Anda inginkan jika Anda mengelola infrastruktur penting.

“TeamViewer hampir ada di mana-mana di lingkungan industri, terutama sejak pandemi dimulai,” kata Lesley Carhart, analis ancaman utama di perusahaan keamanan sistem kontrol industri Dragos.

Carhart mengatakan bahwa untuknya, idealnya adalah tidak menggunakan TeamViewer dan sebagai gantinya menyiapkan VPN aman ke jaringan internal organisasi, lalu secure login dengan otentikasi multi-faktor wajib ke host perantara, dan kemudian secure login aman lainnya di dalam jaringan yang mengontrol infrastruktur kritis.

Sumber: Vice

Peretas memposting eksploit untuk lebih dari 49.000 VPN Fortinet yang rentan

by

Seorang peretas telah memposting daftar eksploit satu baris untuk mencuri kredensial VPN dari hampir 50.000 perangkat Fortinet VPN.

Yang ada dalam daftar target rentan adalah domain milik bank dan organisasi pemerintah dari seluruh dunia.

Kerentanan yang dirujuk di sini adalah CVE-2018-13379, kelemahan jalur traversal yang memengaruhi sejumlah besar perangkat VPN Fortinet FortiOS SSL yang belum ditambal.

Dengan memanfaatkan kerentanan ini, penyerang jarak jauh yang tidak diautentikasi dapat mengakses file sistem melalui permintaan HTTP yang dibuat secara khusus.

Eksploit yang diposting oleh peretas memungkinkan penyerang mengakses file sslvpn_websession dari Fortinet VPN untuk mencuri kredensial login. Kredensial yang dicuri ini kemudian dapat digunakan untuk menyusupi jaringan dan menyebarkan ransomware.

Minggu ini, analis intelijen ancaman Bank_Security menemukan utas forum peretas di mana aktor ancaman berbagi 49.577 daftar perangkat dari target yang dapat dieksploitasi.

Setelah menganalisis daftar tersebut, ditemukan bahwa target yang rentan termasuk domain pemerintah dari seluruh dunia, dan yang dimiliki oleh bank dan perusahaan pembiayaan ternama.

Fortinet telah mengeluarkan pernyataan sehubungan dengan kerentanan ini:

“Keamanan pelanggan kami adalah prioritas pertama kami. Pada Mei 2019 Fortinet mengeluarkan peringatan PSIRT mengenai kerentanan SSL yang telah diatasi, dan juga telah berkomunikasi langsung dengan pelanggan dan lagi melalui posting blog perusahaan pada Agustus 2019 dan Juli 2020 sangat merekomendasikan upgrade,” kata juru bicara Fortinet kepada BleepingComputer.

“Dalam seminggu terakhir, kami telah berkomunikasi dengan semua pelanggan dan memberi tahu mereka lagi tentang kerentanan dan langkah-langkah untuk memitigasi. Meskipun kami tidak dapat memastikan bahwa vektor serangan untuk grup ini terjadi melalui kerentanan ini, kami terus mendorong pelanggan untuk menerapkan upgrade dan mitigasi. Untuk mendapatkan informasi lebih lanjut, silakan kunjungi blog kami yang telah diperbarui dan segera merujuk ke penasihat [PSIRT] Mei 2019,” tutup Fortinet.

Sumber: Bleeping Computer

Jangan pakai “Auto Connect Wi-Fi” pada handphone anda, ini alasannya

by

Saat Anda menyambungkan ke Wi-Fi publik, Anda mengandalkan pengidentifikasi kumpulan layanan jaringan, SSID-nya, untuk memilih koneksi. Ini sering kali menjadi nama hotel, kedai kopi, atau bar, yang dimaksudkan untuk menjaga kesederhanaan. IPhone Anda kemudian akan secara otomatis terhubung ke Wi-Fi itu lagi dan lagi, setiap kali Anda kembali ke lokasi, dimaksudkan untuk kenyamanan. Tetapi kenyamanan sederhana itu adalah risiko keamanan signifikan yang harus Anda atasi.

Penjahat dapat melakukan ‘Evil Twin Attack’ dengan membuat jaringan jahat mereka sendiri dengan nama yang mirip dengan jaringan hotel

“Sebagian besar perangkat dikonfigurasi untuk secara otomatis terhubung ke hotspot yang dikenal,” periset keamanan Sean Wright memperingatkan. “Korban tidak perlu melakukan apa pun untuk terhubung. Mereka hanya perlu berada dalam jangkauan. Ada solusi Wi-Fi perusahaan yang menggunakan sertifikat untuk membantu memberikan keaslian, tetapi saya belum melihat salah satu hotspot ini menggunakannya. ”

Penyerang dapat menyiapkan hotspot Wi-Fi mereka sendiri dengan SSID yang sama — semudah itu. Dan ponsel Anda akan dengan senang hati terhubung saat berada dalam jangkauan, jika Anda telah terhubung ke jaringan yang sah dengan SSID itu sebelumnya.

Memakai VPN

Seruan untuk menggunakan VPN jika Anda harus menggunakan hotspot digaungkan oleh Nicola Whiting, Chief Strategy Officer di Titania. “Jika Anda menghubungkannya, lindungi. Jika Anda bersedia membelanjakan $ 10 atau lebih untuk makan dan minum di luar, dan Anda tahu Anda akan menggunakan Wi-Fi publik — meskipun itu berisiko, banyak dari kita melakukannya — maka luangkan waktu dan uang untuk memastikan Anda memiliki perlindungan bawaan. ”

Tetapi jika Anda mendapatkan VPN, pastikan VPN itu berbayar dan memiliki reputasi baik. VPN gratis, bahkan yang disponsori oleh iklan, seringkali lebih buruk daripada tidak ada VPN sama sekali. Hanya karena suatu aplikasi mengatakan itu adalah VPN yang aman tidak berarti apa-apa. VPN yang bagus juga akan memungkinkan Anda untuk mengidentifikasi jaringan Wi-Fi tepercaya, seperti rumah dan kantor, dan semua lainnya secara otomatis akan memicu pemuatan VPN. Ini ideal.

Setting pada iPhone
Meskipun demikian, Anda tidak boleh bergabung dengan hotpot publik secara otomatis. Di setelan iPhone Anda, buka “Wi-Fi”, dan pastikan “Ask to Join” disetel ke “Ask”, dan “Auto Join Hotspot” disetel ke “Ask to join.” Ini akan menghentikan iPhone Anda terhubung ke jaringan baru atau yang dikenal atau hotspot pribadi tanpa Anda sadari, memberi Anda kesempatan untuk berhati-hati sebelum mengeklik “Ya”.

Lebih penting lagi, Anda harus mengeklik “i” yang dilingkari biru di sebelah jaringan publik mana pun yang Anda sambungkan, dan nonaktifkan opsi “Gabung Otomatis”. Anda tidak perlu mengeklik “Lupakan Jaringan Ini”, tetapi Anda dapat melakukannya jika Anda tidak mungkin kembali. Dengan cara ini Anda mengontrol di mana dan kapan iPhone Anda terhubung.

Jangan pilih gabung otomatis untuk jaringan publik mana pun yang Anda sambungkan dan gunakan VPN yang memiliki reputasi baik saat Anda harus menggunakan Wi-Fi publik, maka Anda akan mengambil tindakan yang bijaksana untuk menjaga perangkat Anda tetap terlindungi. Meskipun demikian, saran keamanan yang bijaksana adalah menghindari Wi-Fi publik sama sekali. Namun, jika Anda melakukannya, FBI memperingatkan, “pastikan untuk mengonfirmasi nama jaringan dan prosedur login yang tepat. Tujuan Anda adalah untuk menghindari secara tidak sengaja terhubung ke Wi-Fi penipu yang mereka coba buat terlihat sah. “