RINGKASAN
- Eksploitasi PoC Palsu untuk CVE-2024-49113: Eksploitasi berbahaya, “LDAPNightmare,” menargetkan peneliti dengan menyamarkannya sebagai PoC untuk kerentanan Windows LDAP yang telah dipatch.
- Pencurian data: Malware mencuri informasi dari komputer dan jaringan dan mengirimkannya ke server penyerang.
- Serangan canggih: Repositori palsu meniru repositori asli dan menggunakan file serta skrip berbahaya untuk menyebarkan malware.
- Target profil tinggi: Penyerang bertujuan untuk mengkompromikan peneliti keamanan untuk mendapatkan informasi berharga.
- Tindakan pencegahan: Peneliti harus memverifikasi keaslian repositori, memprioritaskan sumber resmi, dan memeriksa aktivitas mencurigakan.
Menurut penelitian terbaru dari Trend Micro, itu palsu Bukti konsep (PoC) Eksploitasi telah diidentifikasi untuk CVE-2024-49113, kerentanan penolakan layanan (DoS) yang sebelumnya ditemukan di Protokol Akses Direktori Ringan (LDAP) Microsoft Windows. Kedua kerentanan tersebut pada awalnya diidentifikasi oleh Pelanggaran Aman.
Para penyerang telah membuat repositori berbahaya yang berisi PoC palsu, yang menyebabkan kebocoran informasi sensitif dari komputer dan jaringan. Serangan ini, yang dikenal sebagai LDAPNightmare, dirancang untuk memikat peneliti keamanan agar mengunduh dan mengeksekusi malware pencuri data.
Ketika peneliti yang tidak curiga mengunduh/mengeksekusi kode yang tampak tidak berbahaya ini, mereka secara tidak sengaja melepaskan malware yang mencuri informasi. Malware ini secara diam-diam mengumpulkan data sensitif dari mesin yang terinfeksi, termasuk informasi komputer, proses yang berjalan, detail jaringan, dan pembaruan yang diinstal. Kemudian mengirimkan data yang dicuri ini ke server jarak jauh yang dikendalikan oleh penyerang.
Para penyerang telah menggunakan teknik canggih untuk mendistribusikan malware. Repositori berbahaya tampaknya merupakan cabang sah dari repositori asli, sehingga sulit untuk segera diidentifikasi sebagai berbahaya.
File Python asli di gudang telah digantikan oleh executable berbahaya yang, ketika dijalankan, akan menghapus dan menjalankan skrip PowerShell. Skrip ini kemudian menetapkan tugas terjadwal yang mengunduh dan menjalankan skrip berbahaya lainnya tempel. Skrip terakhir ini mengumpulkan alamat IP publik korban dan membocorkan data yang dicuri ke server FTP eksternal.
Perlu dicatat bahwa kerentanan telah diatasi di Microsoft pada bulan Desember 2024. Rilis Patch Selasayang mengatasi dua kerentanan kritis lainnya di LDAP. Yang pertama, CVE-2024-49112, adalah bug eksekusi kode jarak jauh yang dapat dieksploitasi oleh penyerang dengan mengirimkan permintaan LDAP yang dibuat khusus. Yang kedua, CVE-2024-49113, adalah kerentanan DoS yang dapat dieksploitasi untuk memblokir layanan LDAP dan menyebabkan gangguan layanan.
FYI, eksploitasi PoC adalah serangan yang tidak berbahaya yang mengungkap kelemahan keamanan perangkat lunak, membantu perusahaan menambal kerentanan. Namun, jika digunakan secara tidak benar, PoC dapat memberikan template kepada penyerang untuk mengeksploitasi sistem sebelum pengguna dapat menginstal perbaikan, yang berpotensi menyebabkan kerusakan.
Metode serangan ini, menurut Trendmicro laporanMeskipun tidak sepenuhnya baru, hal ini mengancam komunitas keamanan siber karena, dengan mengeksploitasi kerentanan tingkat tinggi dan menyerang peneliti keamanan (individu yang seringkali sangat sadar akan ancaman keamanan), penyerang dapat memperoleh informasi berharga dan berpotensi membahayakan sistem keamanan penting.
Oleh karena itu, peneliti keamanan harus berhati-hati saat mengunduh dan menjalankan kode dari repositori online. Mereka harus memprioritaskan sumber resmi, memeriksa repositori untuk menemukan konten yang mencurigakan, dan memverifikasi keaslian pemilik atau organisasi repositori.
Selain itu, penting untuk mempertimbangkan masukan komunitas terhadap repositori dengan aktivitas minimal dan mencari tanda bahaya dalam repositori yang mungkin mengindikasikan potensi risiko keamanan. Hal ini akan membantu mereka tetap terlindungi dari potensi ancaman dan menjamin keselamatan mereka.
TOPIK TERKAIT
- Peretas menggunakan PoC palsu di GitHub untuk mencuri kunci AWS
- Peringatan: Repositori GitHub palsu mengirimkan malware seperti PoC
- Repositori GitHub Palsu Ditemukan Menjatuhkan Malware Seperti PoC LAGI!
- Bagaimana Melakukan Bukti Konsep Keamanan Siber dengan Vendor
- Kode eksploitasi 7-Zip palsu ditelusuri ke salah tafsir yang dihasilkan AI