Kami menyebutkan kisah LastPass sebagai penutup beberapa minggu yang lalu, tetapi detailnya masih sedikit. Harapannya adalah LastPass akan merilis informasi yang lebih transparan tentang apa yang terjadi, dan berapa banyak akun yang diakses. Sayangnya sepertinya hanya rilis berita 22 Desember yang akan kami dapatkan. Untuk pengguna LastPass, saatnya membuat beberapa keputusan.
Singkatnya, penyerang menggunakan informasi dari pelanggaran Agustus 2022 untuk menargetkan Karyawan LastPass dengan taktik rekayasa sosial. Ini berhasil, dan penyerang berhasil mengakses cadangan LastPass, khususnya database akun pelanggan dan brankas pelanggan. Belum ada keterangan resmi berapa banyak data pengguna yang dimasukkan, namun indikasinya adalah keseluruhan dataset. Dan yang lebih buruk lagi, brankas terenkripsi hanya dienkripsi sebagian. URL yang disimpan diekspos sebagai teks biasa ke penyerang, meskipun nama pengguna dan kata sandi masih dienkripsi menggunakan kata sandi utama Anda.
Jadi apa yang harus dilakukan pengguna LastPass sekarang? Tergantung. Kita dapat berasumsi bahwa siapa pun yang memiliki data lemari besi LastPass saat ini membuang setiap daftar kata sandi yang tersedia di dalamnya. Jika Anda menggunakan kata sandi yang lemah — berasal dari kata-kata dalam bahasa apa pun atau sebelumnya disusupi — maka inilah saatnya untuk mengubah semua kata sandi Anda yang ada di lemari besi. Mereka dibakar.
Apakah Anda tetap menggunakan LastPass atau beralih ke solusi lain, hanya masalah waktu sampai lemari besi Anda diretas. Lebih buruk lagi, beberapa akun Lastpass lama hanya menggunakan 5.000 putaran hashing PBKDF2 (Fungsi Penurunan Kunci Berbasis Kata Sandi). Akun baru disetel untuk menggunakan lebih dari 100.000 iterasi, tetapi beberapa akun lama masih dapat menggunakan setelan lama. Hasilnya adalah serangan terhadap brankas terenkripsi berjalan lebih cepat. Jumlah iterasi hampir pasti ada pada data yang dicuri, jadi kemungkinan besar akun ini akan diuji terlebih dahulu. Jika Anda adalah pengguna lama, ubah semua kata sandi yang disimpan di lemari besi.
Ada beberapa kabar baik. Vault menggunakan garam untuk memasukkan kata sandi – data tambahan yang dilipat ke dalam fungsi PBKDF2. Artinya prosedur cracking password harus dilakukan secara individual per user. Jika Anda hanyalah pengguna yang tidak menarik, Anda mungkin tidak akan pernah menjadi sasaran cracking. Namun jika Anda mungkin menarik, atau memiliki URL yang terlihat menarik, kemungkinan besar Anda akan menjadi target. Dan sayangnya, ini adalah teks biasa.
Jadi bagaimana matematika menumpuk? Beruntung bagi kita, [Wladimir Palant] menjalankan nomor untuk kita. Kata sandi kompleksitas minimum, menggunakan aturan 2018 untuk kata sandi LastPass, menghasilkan 4,8×10^18 kemungkinan kombinasi kata sandi. RTX 4090 dapat bertahan di rata-rata 1,7 juta tebakan per detik pada akun yang hanya menggunakan 5.000 iterasi PBKDF2, atau 88.000 tebakan per detik pada akun yang diamankan dengan benar. Itu 44.800 tahun, dan 860.000 tahun untuk membuka lemari besi, dengan asumsi satu RTX4090 bekerja di dalamnya. Beberapa matematika yang sangat kasar tentang ukuran pusat data agensi tiga huruf akan menunjukkan bahwa mengabdikan keseluruhan salah satu pusat data ini untuk tugas tersebut akan memecahkan brankas yang kurang aman dalam waktu kurang dari 4 bulan. Dengan akun yang menggunakan pengaturan keamanan penuh, ini meningkat menjadi hampir enam tahun. Perlu diingat, pendekatan ini adalah skenario kasus terbaik bagi penyerang, dan mewakili mencurahkan pusat data senilai $1,5 miliar untuk tugas tersebut dalam jangka waktu yang lama. Tetapi itu juga mengasumsikan Anda memilih kata sandi secara acak.
Tapi inilah masalahnya: Jika risikonya cukup untuk mendorong Anda bertindak, itu tidak cukup untuk mengubah kata sandi LastPass Anda. Apakah Anda tetap menggunakan LastPass atau pindah ke solusi lain, Anda harus mengubah kata sandi utama terlebih dahulu, lalu melalui proses yang melelahkan untuk mengubah setiap kata sandi di lemari besi LastPass Anda. Seluruh kekacauan ini tentu saja merupakan kegagalan dari pihak LastPass, dan pelaporan pasca-insiden mereka tentu saja meninggalkan transparansi yang diinginkan. Sayangnya, URL tidak terenkripsi yang terkait dengan setiap kata sandi yang disimpan. Tetapi prinsip utamanya, bahwa LastPass pun tidak dapat mengakses kata sandi yang Anda simpan, tampaknya telah bertahan.
Table of Contents
Peretas Bitcoin Diretas
Luke Dashjr adalah pengembang Bitcoin Core, penandatangan utama perangkat lunak Bitcoin Knots, dan telah mengalami pelanggaran keamanan besar. Ini mungkin merupakan insiden lanjutan dari serangan fisik bulan November, di mana seseorang berhasil me-reboot server yang terletak di lokasi yang sama dari flash drive, dan memasang pintu belakang. Yang itu tertangkap, dan malware itu tampaknya telah dihapus. Luke kehilangan total sekitar 200 bitcoin, baik dari dompet aktif (panas) maupun offline (dingin). Dia memperlakukan ini sebagai kompromi total, dan telah memperingatkan bahwa kunci PGP-nya juga harus dicurigai. Itu berarti rilis Bitcoin Knots baru-baru ini juga harus dicurigai.
Ada beberapa teori yang beredar, mulai dari “kecelakaan berperahu” untuk menghindari kewajiban pajak, hingga masalah yang diketahui dengan pembuatan nomor acak pada sistem Talos yang dia gunakan (CVE-2019-15847). Tak satu pun dari ini tampaknya cukup mungkin sebagai gagasan bahwa ini adalah rootkit yang terlewatkan di server yang disusupi, dan gerakan lateral kembali ke [Luke]jaringan rumah. Either way, ini adalah kekacauan yang mengerikan, dan mudah-mudahan kami menantikan resolusi positif.
Kompromi PyTorch Nightly
Paket PyTorch-nightly terkena serangan kebingungan ketergantungan, aktif antara 25 Desember dan 30 Desember. Masalahnya di sini adalah PyTorch menghosting paket torchtriton sebagai bagian dari repo malamnya, dan nama paket itu tidak diklaim di PyPi. Jadi, yang harus dilakukan seseorang hanyalah datang dan mengunggah paket dengan nama itu, dan presto, instalasi pip baru apa pun dari PyTorch-nightly mengambil versi PyPi. Paket berbahaya menyedot data sistem, seperti server nama saat ini, nama host, nama pengguna, direktori kerja, dan variabel lingkungan, dan mengirimkannya ke h4ck[dot]cfd (Tautan arsip). Bagian itu tidak terlalu buruk, meskipun variabel lingkungan pasti menyertakan token autentikasi. Penendangnya adalah bash history, /etc/hosts, /etc/passwd, ~/.gitconfig, ~/.ssh, dan 1000 file pertama di direktori home semuanya dikemas dan diunggah juga. Pada sistem modern, file passwd sebenarnya tidak berisi hash kata sandi, tetapi folder .ssh mungkin berisi kunci SSH pribadi. Astaga.
Sekarang, pengembang di balik paket palsu ini telah ditemukan, dan mengklaim bahwa ini dimaksudkan sebagai penelitian keamanan, dan berjanji bahwa semua data akan dihapus. Data yang dicuri diklaim untuk mengidentifikasi korban secara positif, mungkin untuk tujuan mengumpulkan hadiah bug. Ini memiliki beberapa elemen kepercayaan, tetapi sebenarnya tidak masalah, karena rahasia apa pun yang bocor dalam insiden ini bagaimanapun juga harus dicabut. Hikmahnya adalah bahwa tidak ada kode berbahaya yang dijalankan hanya dengan menginstal paket, tetapi skrip Python perlu melakukan import triton secara eksplisit untuk memicu muatan. Proyek PyTorch telah mengganti nama paket menjadi pytorch-triton, dan mencadangkan nama proyek itu di PyPi untuk menghindari insiden berulang.
Memetakan Instalasi Citrix yang Rentan
Ada beberapa kerentanan kritis yang diperbaiki baru-baru ini di Citrix ADC dan Citrix Gateway, salah satunya mendorong pemberitahuan dari NSA bahwa APT (Advanced Persistent Threat) secara aktif mengkompromikan sistem dengan bug tersebut. Nomor versi tetap diketahui, dan itu membuat para peneliti di Fox It, bagian dari NCC Group, bertanya-tanya. Apakah ada cara untuk menentukan versi rilis perangkat Citrix dari respons HTTP pra-otentikasi? Spoiler: Ada. Titik akhir /vpn/index.html berisi hash yang tampaknya bervariasi di antara versi rilis. Satu-satunya trik yang tersisa adalah menemukan cara cepat untuk memetakan hash kembali ke versinya.
Masuk ke Cloud Marketplace Google, yang memiliki opsi sekali klik untuk menjalankan mesin virtual Citrix baru. Satu sesi SSH kemudian mengonfirmasi versi dan hash yang sesuai. Satu telah gugur. Juga bagian dari layanan Google adalah file zip yang memiliki informasi tentang versi lama, termasuk nama gambar yang dapat digunakan untuk mengunduh versi sebelumnya sebagai gambar disk virtual qcow2 — cukup mudah untuk mengambil hash dan nomor versi dari sana. Di antara gambar-gambar ini dan halaman unduhan Citrix, cukup banyak hash yang diketahui teridentifikasi, tetapi anehnya, ada beberapa hash yang diamati di alam liar yang tampaknya tidak sejalan dengan rilis yang diketahui. Dengan menemukan file read-only tertentu yang juga dapat diakses dari jarak jauh, dimungkinkan untuk mendapatkan stempel waktu yang akurat saat firmware tertentu dibuat. Itu mengisi celah pada nomor versi yang diketahui, dan biarkan mereka memetakan dengan tepat versi apa yang muncul di alam liar.
Karena hash adalah bagian dari data yang dikumpulkan oleh layanan pemindaian seperti Shodan, dimungkinkan untuk melihat riwayat versi yang diinstal, serta status saat ini. Ada perubahan yang sangat mencolok dalam versi yang diterapkan, sesuai dengan peringatan NSA. Bahkan pada saat itu, ada banyak server Citrix yang dikerahkan yang tampaknya masih menjalankan firmware yang rentan, meskipun detail penerapannya mungkin berarti mereka tidak dalam bahaya. Sangat menarik melihat bagaimana kita berakhir dengan statistik seperti ini.
Bit dan Byte
Server VPN Synology memiliki kerentanan kritis, CVE-2022-43931, yang mendapat skor CVSS 10, dan memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah arbitrer. Rilis yang ditambal tersedia. Cacat itu sendiri adalah tulisan di luar batas dalam layanan Desktop Jarak Jauh, sehingga ada harapan bahwa layanan yang rentan ini tidak terpapar secara luas ke Internet terbuka.
Inilah exploit yang Anda tidak tahu Anda butuhkan, keluar dari juru bahasa Lua untuk mendapatkan eksekusi kode shell. Triknya di sini adalah untuk menyandikan shellcode sebagai angka, lalu mengelabui runtime menjadi akses yang tidak selaras, yang melompati eksekusi program ke dalam data. Trik menyenangkan lainnya adalah bahwa juru bahasa target Lua akan membiarkan Anda menjalankan bytecode Lua dan memercayainya seperti kode Lua biasa. Jadi apa tujuan dari semua ini? Terkadang kesenangan ada dalam perjalanan.
Apa yang Anda dapatkan ketika peneliti keamanan yang bosan memutuskan untuk membuka aplikasi seluler untuk skuter listrik? Banyak skuter yang membunyikan klakson dan berkedip secara misterius. Dan ketika para peneliti yang sama itu mencoba membuat mobil membunyikan klakson? Daftar kerentanan jarak jauh yang sangat mengesankan pada kendaraan dari semua merek. Dari pelacakan GPS langsung, hingga menyalakan lampu, membuka kunci pintu, dan bahkan menyalakan kendaraan dari jarak jauh, [Sam Curry] dan kelompok peretasnya yang ceria mewujudkannya. Untuk penghargaan dari banyak vendor yang terpengaruh, hampir setiap kerentanan diakhiri dengan “mereka segera memperbaikinya”.