Kami menyebutkan kisah LastPass sebagai penutup beberapa minggu yang lalu, tetapi detailnya masih sedikit. Harapannya adalah LastPass akan merilis informasi yang lebih transparan tentang apa yang terjadi, dan berapa banyak akun yang diakses. Sayangnya sepertinya hanya rilis berita 22 Desember yang akan kami dapatkan. Untuk pengguna LastPass, saatnya membuat beberapa keputusan.
Singkatnya, penyerang menggunakan informasi dari pelanggaran Agustus 2022 untuk menargetkan Karyawan LastPass dengan taktik rekayasa sosial. Ini berhasil, dan penyerang berhasil mengakses cadangan LastPass, khususnya database akun pelanggan dan brankas pelanggan. Belum ada keterangan resmi berapa banyak data pengguna yang dimasukkan, namun indikasinya adalah keseluruhan dataset. Dan yang lebih buruk lagi, brankas terenkripsi hanya dienkripsi sebagian. URL yang disimpan diekspos sebagai teks biasa ke penyerang, meskipun nama pengguna dan kata sandi masih dienkripsi menggunakan kata sandi utama Anda.
Jadi apa yang harus dilakukan pengguna LastPass sekarang? Tergantung. Kita dapat berasumsi bahwa siapa pun yang memiliki data lemari besi LastPass saat ini membuang setiap daftar kata sandi yang tersedia di dalamnya. Jika Anda menggunakan kata sandi yang lemah — berasal dari kata-kata dalam bahasa apa pun atau sebelumnya disusupi — maka inilah saatnya untuk mengubah semua kata sandi Anda yang ada di lemari besi. Mereka dibakar.
Apakah Anda tetap menggunakan LastPass atau beralih ke solusi lain, hanya masalah waktu sampai lemari besi Anda diretas. Lebih buruk lagi, beberapa akun Lastpass lama hanya menggunakan 5,000 putaran hashing PBKDF2 (Fungsi Penurunan Kunci Berbasis Kata Sandi). Akun baru disetel untuk menggunakan lebih dari 100,000 iterasi, tetapi beberapa akun lama masih dapat menggunakan setelan lama. Hasilnya adalah serangan terhadap brankas terenkripsi berjalan lebih cepat. Jumlah iterasi hampir pasti ada pada data yang dicuri, jadi kemungkinan besar akun ini akan diuji terlebih dahulu. Jika Anda adalah pengguna lama, ubah semua kata sandi yang disimpan di lemari besi.
Ada beberapa kabar baik. Vault menggunakan garam untuk memasukkan kata sandi - data tambahan yang dilipat ke dalam fungsi PBKDF2. Artinya prosedur cracking password harus dilakukan secara individual per user. Jika Anda hanyalah pengguna yang tidak menarik, Anda mungkin tidak akan pernah menjadi sasaran cracking. Namun jika Anda mungkin menarik, atau memiliki URL yang terlihat menarik, kemungkinan besar Anda akan menjadi target. Dan sayangnya, ini adalah teks biasa.
Jadi bagaimana matematika menumpuk? Beruntung bagi kami, [Wladimir Palant] menjalankan nomor untuk kita. Kata sandi kompleksitas minimum, menggunakan aturan 2018 untuk kata sandi LastPass, menghasilkan 4.8×10^18 kemungkinan kombinasi kata sandi. RTX 4090 dapat bertahan di rata-rata 1.7 juta tebakan per detik pada akun yang hanya menggunakan 5,000 iterasi PBKDF2, atau 88,000 tebakan per detik pada akun yang diamankan dengan benar. Itu 44,800 tahun, dan 860,000 tahun untuk membuka lemari besi, dengan asumsi satu RTX4090 bekerja di dalamnya. Beberapa matematika yang sangat kasar ukuran pusat data agensi tiga huruf akan menyarankan bahwa mengabdikan keseluruhan dari salah satu pusat data ini untuk tugas tersebut akan memecahkan brankas yang kurang aman dalam waktu kurang dari 4 bulan. Dengan akun yang menggunakan pengaturan keamanan penuh, ini meningkat menjadi hampir enam tahun. Perlu diingat, pendekatan ini adalah skenario kasus terbaik bagi penyerang, dan mewakili mencurahkan pusat data senilai $1.5 miliar untuk tugas tersebut dalam jangka waktu yang lama. Tetapi itu juga mengasumsikan Anda memilih kata sandi secara acak.
Tapi inilah masalahnya: Jika risikonya cukup untuk mendorong Anda bertindak, itu tidak cukup untuk mengubah kata sandi LastPass Anda. Apakah Anda tetap menggunakan LastPass atau pindah ke solusi lain, Anda harus mengubah kata sandi utama terlebih dahulu, lalu melalui proses yang melelahkan untuk mengubah setiap kata sandi di lemari besi LastPass Anda. Seluruh kekacauan ini tentu saja merupakan kegagalan dari pihak LastPass, dan pelaporan pasca-insiden mereka tentu saja menyisakan transparansi yang diinginkan. Sayangnya, URL tidak terenkripsi yang terkait dengan setiap kata sandi yang disimpan. Tetapi prinsip utamanya, bahwa LastPass pun tidak dapat mengakses kata sandi yang Anda simpan, tampaknya telah bertahan.
Peretas Bitcoin Diretas
Luke Dashjr adalah pengembang Bitcoin Core, penandatangan utama perangkat lunak Bitcoin Knots, dan telah mengalami pelanggaran keamanan besar. Ini mungkin merupakan insiden lanjutan dari serangan fisik November, di mana seseorang berhasil me-reboot server yang terletak bersama dari flash drive, dan memasang pintu belakang. Yang itu tertangkap, dan malware itu tampaknya telah dihapus. Luke kehilangan total sekitar 200 bitcoin, baik dari dompet aktif (panas) maupun offline (dingin). Dia memperlakukan ini sebagai kompromi total, dan telah memperingatkan bahwa kunci PGP-nya juga harus dicurigai. Itu berarti rilis Bitcoin Knots baru-baru ini juga harus dicurigai.
Ada beberapa teori yang beredar, mulai dari "kecelakaan berperahu" untuk menghindari kewajiban pajak, hingga masalah yang diketahui dengan pembuatan nomor acak pada sistem Talos yang dia gunakan (CVE-2019-15847). Tak satu pun dari ini tampaknya cukup mungkin sebagai gagasan bahwa ini adalah rootkit yang terlewatkan di server yang disusupi, dan perpindahan lateral kembali ke jaringan rumah [Luke]. Either way, ini adalah kekacauan yang mengerikan, dan mudah-mudahan kami menantikan resolusi positif.
Kompromi PyTorch Nightly
Paket PyTorch-nightly adalah dipukul dengan serangan kebingungan ketergantungan, aktif antara 25 Desember dan 30 Desember. Masalahnya di sini adalah bahwa PyTorch menghosting a torchtriton
paket sebagai bagian dari repo malamnya, dan nama paket itu tidak diklaim di PyPi. Jadi, yang harus dilakukan seseorang hanyalah datang dan mengunggah paket dengan nama itu, dan presto, instalasi pip baru apa pun dari PyTorch-nightly mengambil versi PyPi. Paket berbahaya menyedot data sistem, seperti server nama saat ini, nama host, nama pengguna, direktori kerja, dan variabel lingkungan, dan mengirimkannya ke h4ck[dot]cfd (Tautan arsip). Bagian itu tidak terlalu buruk, meskipun variabel lingkungan pasti menyertakan token autentikasi. Tendangannya adalah sejarah bash itu, /etc/hosts
, /etc/passwd
, ~/.gitconfig
, ~/.ssh
, dan 1000 file pertama di direktori home semuanya dikemas dan diunggah juga. Pada sistem modern, the passwd
file sebenarnya tidak mengandung hash kata sandi apa pun, tetapi file .ssh
folder mungkin berisi kunci SSH pribadi. Astaga.
Sekarang, pengembang di balik paket palsu ini telah ditemukan, dan mengklaim bahwa ini dimaksudkan sebagai penelitian keamanan, dan berjanji bahwa semua data akan dihapus. Data yang dicuri diklaim untuk mengidentifikasi korban secara positif, mungkin untuk tujuan mengumpulkan hadiah bug. Ini memiliki beberapa elemen kepercayaan, tetapi sebenarnya tidak masalah, karena rahasia apa pun yang bocor dalam insiden ini bagaimanapun juga harus dicabut. Hikmahnya adalah bahwa tidak ada kode berbahaya yang dijalankan hanya dengan menginstal paket, tetapi skrip Python perlu melakukan eksplisit import triton
untuk memicu muatan. Proyek PyTorch telah mengganti nama paket menjadi pytorch-triton
, dan mencadangkan nama proyek itu di PyPi untuk menghindari insiden berulang.
Memetakan Instalasi Citrix yang Rentan
Ada beberapa kerentanan kritis yang diperbaiki baru-baru ini di Citrix ADC dan Citrix Gateway, salah satunya mendorong pemberitahuan dari NSA bahwa APT (Advanced Persistent Threat) secara aktif mengkompromikan sistem dengan bug tersebut. Nomor versi tetap diketahui, dan itu membuat para peneliti di Fox It, bagian dari NCC Group, bertanya-tanya. Apakah ada cara untuk menentukan versi rilis perangkat Citrix dari respons HTTP pra-otentikasi? Spoiler: Ada. Itu /vpn/index.html
titik akhir berisi hash yang tampaknya bervariasi di antara versi rilis. Satu-satunya trik yang tersisa adalah menemukan cara cepat untuk memetakan hash kembali ke versinya.
Masuk ke Cloud Marketplace Google, yang memiliki opsi sekali klik untuk menjalankan mesin virtual Citrix baru. Satu sesi SSH kemudian mengonfirmasi versi dan hash yang sesuai. Satu telah gugur. Juga bagian dari layanan Google adalah file zip yang berisi informasi tentang versi lama, termasuk nama gambar yang dapat digunakan untuk mengunduh versi sebelumnya sebagai qcow2
image disk virtual — cukup mudah untuk mengambil hash dan nomor versi dari sana. Di antara gambar-gambar ini dan halaman unduhan Citrix, cukup banyak hash yang diketahui teridentifikasi, tetapi anehnya, ada beberapa hash yang diamati di alam liar yang tampaknya tidak sejalan dengan rilis yang diketahui. Dengan menemukan file read-only tertentu yang juga dapat diakses dari jarak jauh, dimungkinkan untuk mendapatkan stempel waktu yang akurat saat firmware tertentu dibuat. Itu mengisi celah pada nomor versi yang diketahui, dan biarkan mereka memetakan dengan tepat versi apa yang muncul di alam liar.
Karena hash adalah bagian dari data yang dikumpulkan oleh layanan pemindaian seperti Shodan, dimungkinkan untuk melihat riwayat versi yang diinstal, serta status saat ini. Ada perubahan yang sangat mencolok dalam versi yang diterapkan, sesuai dengan peringatan NSA. Bahkan pada saat itu, ada banyak server Citrix yang dikerahkan yang tampaknya masih menjalankan firmware yang rentan, meskipun detail penerapannya mungkin berarti mereka tidak dalam bahaya. Sangat menarik melihat bagaimana kita berakhir dengan statistik seperti ini.
Bit dan Byte
Server VPN Synology memiliki kerentanan kritis, CVE-2022-43931, yang memberi skor CVSS 10, dan memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah arbitrer. Rilis yang ditambal tersedia. Cacat itu sendiri adalah tulisan di luar batas dalam layanan Desktop Jarak Jauh, sehingga ada harapan bahwa layanan yang rentan ini tidak terpapar secara luas ke Internet terbuka.
Inilah eksploit yang Anda tidak tahu Anda butuhkan, keluar dari juru bahasa Lua untuk mendapatkan kode shell eksekusi. Triknya di sini adalah untuk menyandikan shellcode sebagai angka, lalu mengelabui runtime menjadi akses yang tidak selaras, yang melompati eksekusi program ke dalam data. Trik menyenangkan lainnya adalah bahwa juru bahasa target Lua akan membiarkan Anda menjalankan bytecode Lua dan memercayainya seperti kode Lua biasa. Jadi apa tujuan dari semua ini? Terkadang kesenangan ada dalam perjalanan.
Apa yang Anda dapatkan ketika peneliti keamanan yang bosan memutuskan untuk membuka aplikasi seluler untuk skuter listrik? Banyak skuter yang membunyikan klakson dan berkedip secara misterius. Dan ketika para peneliti yang sama itu mencoba membuat mobil membunyikan klakson? Daftar kerentanan jarak jauh yang benar-benar mengesankan pada kendaraan semua merek. Dari pelacakan GPS langsung, hingga menyalakan lampu, membuka kunci pintu, dan bahkan menyalakan kendaraan dari jarak jauh, [Sam Curry] dan kelompok peretasnya yang ceria mewujudkannya. Untuk penghargaan dari banyak vendor yang terpengaruh, hampir setiap kerentanan diakhiri dengan "mereka segera memperbaikinya".
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://hackaday.com/2023/01/06/this-week-in-security-lastpass-takeaway-bitcoin-loss-and-pytorch/
- 000
- 1
- 10
- 100
- 2018
- 2022
- 4090
- 7
- a
- Tentang Kami
- mengakses
- diakses
- dapat diakses
- Akun
- Akun
- tepat
- Tindakan
- aktif
- aktif
- sebenarnya
- Tambahan
- maju
- ancaman persisten tingkat lanjut
- terhadap
- Semua
- memungkinkan
- dan
- Lain
- aplikasi
- muncul
- pendekatan
- APT
- terkait
- menyerang
- Agustus
- Auth
- tersedia
- kembali
- pintu belakang
- backup
- Buruk
- PITA
- menampar
- di belakang
- makhluk
- antara
- Milyar
- Bit
- Bitcoin
- inti bitcoin
- Simpul Bitcoin
- BleepingComputer
- Bosan
- bounties
- merek
- pelanggaran
- Istirahat
- Bug
- karunia bug
- dibangun di
- mobil
- tertangkap
- pusat
- Pasti
- kesempatan
- perubahan
- mengubah
- Grafik
- diklaim
- klaim
- penutupan
- awan
- kode
- Mengumpulkan
- kombinasi
- bagaimana
- kompleksitas
- kompromi
- Dikompromikan
- kompromi
- DIKONFIRMASI
- kebingungan
- mengandung
- Core
- pengembang inti
- Sesuai
- bisa
- sepasang
- retak
- kredit
- kritis
- terbaru
- Kondisi saat ini
- Sekarang
- pelanggan
- BAHAYA
- data
- Basis Data
- Datacenter
- Desember
- keputusan
- Ketergantungan
- tergantung
- dikerahkan
- penyebaran
- Berasal
- Desktop
- rincian
- Menentukan
- Pengembang
- alat
- Tidak
- pintu
- DOT
- turun
- Download
- mendorong
- setiap
- antara
- Listrik
- Karyawan
- terenkripsi
- Titik akhir
- berakhir
- Teknik
- cukup
- Seluruh
- keseluruhan
- Lingkungan Hidup
- Bahkan
- pERNAH
- segala sesuatu
- persis
- menjalankan
- eksekusi
- Mengeksploitasi
- terkena
- lebih cepat
- beberapa
- File
- File
- Menemukan
- temuan
- Pertama
- tetap
- flash
- berkedip
- cacat
- Depan
- dari
- penuh
- kesenangan
- fungsi
- pintu gerbang
- generasi
- mendapatkan
- GitHub
- diberikan
- Go
- akan
- baik
- gps
- merebut
- Kelompok
- hacker
- hacker
- terjadi
- terjadi
- hash
- hashing
- Dimiliki
- di sini
- lebih tinggi
- sejarah
- Beranda
- berharap
- Mudah-mudahan
- PANAS
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTML
- HTTPS
- ide
- diidentifikasi
- gambar
- gambar
- impresif
- in
- insiden
- memasukkan
- termasuk
- Termasuk
- indikasi
- Secara individual
- informasi
- install
- Instalasi
- menarik
- Internet
- isu
- IT
- iterasi
- Diri
- perjalanan
- melompat
- Menjaga
- kunci
- kunci-kunci
- Tahu
- dikenal
- bahasa
- LastPass
- kewajiban
- Mungkin
- baris
- Daftar
- hidup
- melihat
- mencari
- TERLIHAT
- lepas
- mesin
- terbuat
- utama
- membuat
- Membuat
- malware
- berhasil
- banyak
- peta
- pasar
- menguasai
- matematika
- hal
- Hal-hal
- max-width
- cara
- tersebut
- Riang
- mungkin
- juta
- keberatan
- minimum
- mobil
- aplikasi ponsel
- modern
- bulan
- lebih
- pindah
- gerakan
- nama
- nama
- hampir
- Perlu
- dibutuhkan
- jaringan
- New
- berita
- rilis berita
- November
- jumlah
- nomor
- resmi
- Pengunjung
- Tua
- ONE
- Buka
- pilihan
- urutan
- paket
- bagian
- Kata Sandi
- password
- PBKDF2
- periode
- fisik
- Polos
- plato
- Kecerdasan Data Plato
- Data Plato
- Menyodok
- positif
- mungkin
- cukup
- sebelumnya
- sebelumnya
- primer
- swasta
- Masalah
- proses
- program
- proyek
- menjanjikan
- tepat
- tujuan
- Dorong
- Ular sanca
- pytorch
- Cepat
- acak
- rekap
- baru
- baru-baru ini
- Bagaimanapun juga
- reguler
- melepaskan
- Pers
- terpencil
- Dihapus
- ulangi
- Pelaporan
- merupakan
- penelitian
- peneliti
- dilindungi
- Resolusi
- tanggapan
- mengakibatkan
- Hasil
- Bangkit
- Risiko
- putaran
- RTX
- aturan
- Run
- berjalan
- garam
- Universitas
- sama
- pemindaian
- Langka
- Kedua
- aman
- Dijamin
- keamanan
- peneliti keamanan
- tampaknya
- layanan
- Layanan
- Sidang
- set
- pengaturan
- pengaturan
- beberapa
- harus
- Silver
- hanya
- ENAM
- Ukuran
- So
- Sosial
- Rekayasa Sosial
- Perangkat lunak
- larutan
- beberapa
- Seseorang
- tertentu
- Secara khusus
- Berputar
- tumpukan
- Mulai
- Negara
- statistika
- tinggal
- Tongkat
- Masih
- dicuri
- tersimpan
- Cerita
- sistem
- sistem
- Talos
- target
- ditargetkan
- tugas
- pajak
- Grafik
- The Vault
- mereka
- Sana.
- minggu ini
- ancaman
- Melalui
- Pelemparan
- waktu
- timestamp
- untuk
- Token
- terlalu
- Total
- Pelacakan
- Transparansi
- jelas
- mengobati
- memicu
- Trust
- Putar
- bawah
- malang
- unlocking
- upload
- us
- menggunakan
- Pengguna
- Pengguna
- Vacuums
- Kubah
- kubah
- Kendaraan
- vendor
- versi
- Korban
- maya
- mesin virtual
- VPN
- Kerentanan
- kerentanan
- Rentan
- Wallet
- peringatan
- webp
- minggu
- minggu
- Apa
- apakah
- yang
- siapapun
- sangat
- Liar
- akan
- Word
- kata
- kerja
- akan
- menulis
- tahun
- Anda
- zephyrnet.dll
- Zip