Tag: berita peretasan

07 November 2025Ravie LakshmananSerangan Rantai Pasokan / Malware

Satu set sembilan paket NuGet berbahaya telah diidentifikasi mampu menjatuhkan muatan yang tertunda waktu untuk menyabotase operasi basis data dan merusak sistem kontrol industri.

Menurut perusahaan keamanan rantai pasokan perangkat lunak Socket, paket tersebut diterbitkan pada tahun 2023 dan 2024 oleh pengguna bernama “shanhai666” dan dirancang untuk menjalankan kode berbahaya setelah tanggal pemicu tertentu pada Agustus 2027 dan November 2028. Paket-paket tersebut diunduh secara kolektif sebanyak 9.488 kali.

“Paket yang paling berbahaya, Sharp7Extend, menargetkan PLC industri dengan mekanisme sabotase ganda: penghentian proses acak secara langsung dan kegagalan penulisan diam-diam yang dimulai 30-90 menit setelah instalasi, sehingga memengaruhi sistem yang sangat penting bagi keselamatan di lingkungan manufaktur,” kata peneliti keamanan Kush Pandya.

Daftar paket berbahaya ada di bawah –

• MyDbRepository (Terakhir diperbarui pada 13 Mei 2023)
• MCDbRepository (Terakhir diperbarui pada 5 Juni 2024)
• Sharp7Extend (Terakhir diperbarui pada 14 Agustus 2024)
• SqlDbRepository (Terakhir diperbarui pada 24 Oktober 2024)
• SqlRepository (Terakhir diperbarui pada 25 Oktober 2024)
• SqlUnicornCoreTest (Terakhir diperbarui pada 26 Oktober 2024)
• SqlUnicornCore (Terakhir diperbarui pada 26 Oktober 2024)
• SqlUnicorn.Core (Terakhir diperbarui pada 27 Oktober 2024)
• SqlLiteRepository (Terakhir diperbarui pada 28 Oktober 2024)

Socket mengatakan kesembilan paket jahat tersebut berfungsi seperti yang diiklankan, memungkinkan pelaku ancaman untuk membangun kepercayaan di antara pengembang hilir yang mungkin akhirnya mengunduhnya tanpa menyadari bahwa paket tersebut tertanam dengan bom logika di dalamnya yang dijadwalkan untuk meledak di masa depan.

Pelaku ancaman diketahui menerbitkan total 12 paket, dengan tiga paket sisanya berfungsi sebagaimana mestinya tanpa fungsi jahat apa pun. Semuanya telah dihapus dari NuGet. Sharp7Extend, tambah perusahaan, dirancang untuk menargetkan pengguna perpustakaan Sharp7 yang sah, implementasi .NET untuk berkomunikasi dengan pengontrol logika terprogram (PLC) Siemens S7.

Meskipun menggabungkan Sharp7 ke dalam paket NuGet memberikan rasa aman yang salah, hal ini memungkiri fakta bahwa perpustakaan secara diam-diam menyuntikkan kode berbahaya ketika aplikasi melakukan kueri database atau operasi PLC dengan mengeksploitasi metode ekstensi C#.

“Metode ekstensi memungkinkan pengembang untuk menambahkan metode baru ke tipe yang sudah ada tanpa mengubah kode asli – sebuah fitur C# yang kuat yang digunakan oleh pelaku ancaman untuk intersepsi,” jelas Pandya. “Setiap kali aplikasi menjalankan kueri database atau operasi PLC, metode ekstensi ini dijalankan secara otomatis, memeriksa tanggal saat ini terhadap tanggal pemicu (hardcode di sebagian besar paket, konfigurasi terenkripsi di Sharp7Extend).”

Setelah tanggal pemicu terlampaui, malware menghentikan seluruh proses aplikasi dengan probabilitas 20%. Dalam kasus Sharp7Extend, logika jahat diaktifkan segera setelah instalasi dan berlanjut hingga 6 Juni 2028, ketika mekanisme penghentian berhenti dengan sendirinya.

Paket ini juga mencakup fitur untuk menyabotase operasi penulisan ke PLC 80% dari waktu setelah penundaan acak antara 30 hingga 90 menit. Hal ini juga berarti bahwa kedua pemicu – penghentian proses secara acak dan kegagalan penulisan – akan beroperasi secara bersamaan setelah masa tenggang berlalu.

Sebaliknya, implementasi SQL Server, PostgreSQL, dan SQLite tertentu yang terkait dengan paket lain ditetapkan untuk dipicu pada 8 Agustus 2027 (MCDbRepository) dan 29 November 2028 (SqlUnicornCoreTest dan SqlUnicornCore).

“Pendekatan bertahap ini memberikan waktu yang lebih lama bagi pelaku ancaman untuk mengumpulkan korban sebelum malware yang aktivasinya tertunda terpicu, sekaligus mengganggu sistem kontrol industri,” kata Pandya.

Saat ini tidak diketahui siapa yang berada di balik serangan rantai pasokan, namun Socket mengatakan analisis kode sumber dan pilihan nama “shanhai666” menunjukkan bahwa serangan tersebut mungkin dilakukan oleh aktor ancaman, kemungkinan berasal dari Tiongkok.

“Kampanye ini menunjukkan teknik canggih yang jarang digabungkan dalam serangan rantai pasokan NuGet,” perusahaan itu menyimpulkan. “Pengembang yang menginstal paket pada tahun 2024 akan pindah ke proyek atau perusahaan lain pada tahun 2027-2028 ketika malware database terpicu, dan eksekusi probabilistik 20% menyamarkan serangan sistematis sebagai kerusakan acak atau kegagalan perangkat keras.”

“Hal ini membuat respons terhadap insiden dan penyelidikan forensik hampir tidak mungkin dilakukan, organisasi tidak dapat melacak malware kembali ke titik awal, mengidentifikasi siapa yang memasang ketergantungan yang disusupi, atau menetapkan garis waktu yang jelas untuk melakukan kompromi, sehingga secara efektif menghapus jejak serangan tersebut.”

06 November 2025Ravie LakshmananZero-Day / Kerentanan

Cisco pada hari Rabu mengungkapkan bahwa mereka mengetahui varian serangan baru yang dirancang untuk menargetkan perangkat yang menjalankan perangkat lunak Cisco Secure Firewall Adaptive Security Appliance (ASA) dan rilis Perangkat Lunak Cisco Secure Firewall Threat Defense (FTD) yang rentan terhadap CVE-2025-20333 dan CVE-2025-20362.

“Serangan ini dapat menyebabkan perangkat yang belum dipatch memuat ulang secara tiba-tiba, sehingga menyebabkan kondisi penolakan layanan (DoS),” kata perusahaan itu dalam peringatan terbarunya, dan mendesak pelanggan untuk menerapkan pembaruan sesegera mungkin.

Kedua kerentanan tersebut terungkap pada akhir September 2025, namun sebelumnya dieksploitasi sebagai kerentanan zero-day dalam serangan yang mengirimkan malware seperti RayInitiator dan LINE VIPER, menurut Pusat Keamanan Siber Nasional (NCSC) Inggris.

Meskipun eksploitasi CVE-2025-20333 yang berhasil memungkinkan penyerang mengeksekusi kode arbitrer sebagai root menggunakan permintaan HTTP yang dibuat, CVE-2025-20362 memungkinkan untuk mengakses URL terbatas tanpa autentikasi.

Pembaruan ini hadir ketika Cisco mengatasi dua kelemahan keamanan kritis dalam Unified Contact Center Express (Unified CCX) yang dapat mengizinkan penyerang jarak jauh yang tidak diautentikasi untuk mengunggah file sewenang-wenang, melewati otentikasi, menjalankan perintah sewenang-wenang, dan meningkatkan hak istimewa untuk melakukan root.

Peneliti keamanan utama peralatan jaringan memuji Jahmel Harris karena menemukan dan melaporkan kekurangan tersebut. Kerentanannya tercantum di bawah ini –

• CVE-2025-20354 (Skor CVSS: 9.8) – Kerentanan dalam proses Java Remote Method Invocation (RMI) dari Unified CCX yang memungkinkan penyerang mengunggah file arbitrer dan menjalankan perintah arbitrer dengan izin root pada sistem yang terpengaruh.
• CVE-2025-20358 (skor CVSS: 9.4) – Kerentanan dalam aplikasi Editor Contact Center Express (CCX) dari Unified CCX yang memungkinkan penyerang melewati autentikasi dan mendapatkan izin administratif untuk membuat skrip arbitrer pada sistem operasi yang mendasarinya dan mengeksekusinya.

Masalah tersebut telah diatasi dalam versi berikut –

• Cisco Unified CCX Rilis 12.5 SU3 dan sebelumnya (Diperbaiki pada 12.5 SU3 ES07)
• Cisco Unified CCX Rilis 15.0 (Diperbaiki pada 15.0 ES01)

Selain dua kerentanan tersebut, Cisco telah mengirimkan patch untuk bug DoS dengan tingkat keparahan tinggi (CVE-2025-20343, skor CVSS: 8.6) di Identity Services Engine (ISE) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi menyebabkan perangkat yang rentan melakukan boot ulang secara tidak terduga.

“Kerentanan ini disebabkan oleh kesalahan logika saat memproses permintaan akses RADIUS untuk alamat MAC yang sudah menjadi titik akhir yang ditolak,” katanya. “Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan urutan tertentu dari beberapa pesan permintaan akses RADIUS yang dibuat ke Cisco ISE.”

Meskipun tidak ada bukti bahwa salah satu dari tiga kelemahan keamanan tersebut telah dieksploitasi secara liar, penting bagi pengguna untuk menerapkan pembaruan sesegera mungkin untuk perlindungan optimal.