Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Web Server

Web Server

Peretas Dapat Menggunakan GitHub Codespaces untuk Menghosting dan Mengirimkan Malware

by

Para peneliti telah mendemonstrasikan bagaimana pelaku ancaman dapat menyalahgunakan fitur ‘penerusan port’ GitHub Codespaces untuk menghosting dan mendistribusikan malware dan skrip berbahaya.

GitHub Codespaces memungkinkan pengembang menerapkan platform IDE yang dihosting cloud dalam wadah virtual untuk menulis, mengedit, dan menjalankan kode langsung di dalam browser web.

Menggunakan GitHub Codespaces sebagai Server Malware
Dalam laporan terbaru Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi sebagai server web, mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Penyerang dapat menjalankan server web Python sederhana, mengunggah skrip berbahaya atau malware ke Codespace mereka, membuka port server web di VM mereka, dan menetapkan visibilitas publik.

Pengaturan visibilitas port pada Codespaces (Trend Micro)

URL yang dihasilkan dapat digunakan untuk mengakses file yang dihosting, baik untuk kampanye phishing atau untuk menghosting executable berbahaya yang diunduh oleh malware lain.

Karena GitHub adalah ruang terpercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Diagram serangan penyalahgunaan ruang kode (Trend Micro)

Melanjutkan Serangan
Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien. Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform bebas penggunaan yang juga dipercaya oleh produk keamanan.

Selengkapnya: BleepingComputer

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

by

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Port visibility setting on Codespaces

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

Pembaruan darurat Apache memperbaiki tambalan yang tidak lengkap untuk bug yang dieksploitasi

by

Apache Software Foundation telah merilis HTTP Web Server 2.4.51 setelah peneliti menemukan bahwa pembaruan keamanan sebelumnya tidak memperbaiki kerentanan yang dieksploitasi secara aktif dengan benar.

Apache HTTP Server adalah open-source, server web lintas platform yang mendukung sekitar 25% situs web di seluruh dunia.

Pada hari Selasa (5/10/2021), Apache merilis Apache HTTP 2.4.50 untuk memperbaiki kerentanan traversal jalur yang dieksploitasi secara aktif di versi 2.4.49 (dilacak sebagai CVE-2021-41773). Kerentanan ini memungkinkan pelaku ancaman untuk melihat konten file yang disimpan di server yang rentan.

Sesaat setelah pembaruan dirilis, peneliti keamanan menganalisis dan mengungkapkan eksploitasi yang berfungsi untuk kerentanan. Lebih buruk lagi, para peneliti juga menemukan bahwa kerentanan dapat digunakan untuk eksekusi kode jarak jauh jika modul mod_cgi dimuat dan opsi default “require all denied” tidak ada.

Kemudian pada Kamis (7/10/2021), Apache merilis versi 2.4.51 setelah menemukan bahwa perbaikan sebelumnya untuk kerentanan CVE-2021-41773 yang dieksploitasi secara aktif tidak lengkap.

“Ditemukan bahwa perbaikan untuk CVE-2021-41773 di Apache HTTP Server 2.4.50 tidak mencukupi. Penyerang dapat menggunakan serangan traversal jalur untuk memetakan URL ke file di luar direktori yang dikonfigurasi oleh arahan mirip Alias,” ungkap Apache dalam nasihat pembaharuan.

“Jika file di luar direktori ini tidak dilindungi oleh konfigurasi default biasa “memerlukan semua ditolak”, permintaan ini dapat berhasil. Jika skrip CGI juga diaktifkan untuk jalur alias ini, ini dapat memungkinkan eksekusi kode jarak jauh.”

Oleh karena itu, sangat disarankan agar admin segera mengupgrade server mereka ke Apache HTTP 2.4.51 untuk menghapus vektor serangan yang tersisa setelah patch sebelumnya.

Selengkapnya: Bleeping Computer

Gallium Group Is Targeting Web Servers

by

Source: ZDNet

 

Microsoft telah mengungkapkan rincian kelompok peretas yang bernama Gallium yang memiliki infrastruktur malware di China dan Hong Kong dan yang telah menargetkan perusahaan telekomunikasi. Microsoft tidak menyebutkan bahwa grup tersebut adalah aktor ancaman persisten tingkat tinggi, tetapi teknik cepat dan kotor yang mereka gunakan terbukti efektif.

 

Para penyerang memindai server web yang terlihat di internet dan rentan, seperti WildFly yang dikembangkan Red Hat (alias JBoss), dan kemudian menggunakan eksploit yang sudah diketahui publik untuk menyerang mereka.

 

Buka link di atas untuk membaca artikel yang sudah ditulis oleh ZDNet.