Connected Your World Closer

We provide any connection, Wireless,WAN,VPN,Etc.

Professional Network Engineer

Our personality have an high skill network engineer.

Social Network

Resolved any bussiness on world social media

Securing Network

We secure your privasi with secure firewall.

Smooth And Faster

Your Satisfaction Is Our Smile

Showing posts with label Firewall. Show all posts
Showing posts with label Firewall. Show all posts

Saturday, October 27, 2018

WARNING !!! Cryptojacking Attack Mikrotik Router

By No comments
WARNING !!! Cryptojacking Attack Mikrotik Router

Himbauan Terkait Kerentanan
CVE-2018-14847



TANGGAL PUBLIKASI CVE
02 Agustus 2018

DESKRIPSI
Kerentanan Winbox MikroTik RouterOS hingga versi 6.42 memungkinkan remote attacker untuk melakukan  bypass proses  otentikasi  dan membaca  file,  dengan  cara memodifikasi permintaan (Request) untuk mengubah 1 (satu) byte yang terkait dengan Session ID.
RINGKASAN
CVSS3 Base Score
Sedang dalam proses analisis
Hyperlink Proof of
Concept (PoC)
Serangan Terkait
Kerentanan
Cryptojacking / Crypto-loot pada router MikroTik yang terdampak



PENDAHULUAN
Dalam dunia router, MikroTik sudah sangat familiar bagi pengguna internet di Indonesia sebagai  sistem  operasi  dan  perangkat  lunak  yang  dapat  digunakan  untuk  menjadikan komputer biasa menjadi router network. Sebagai penyedia solusi murah untuk fungsi router, jumlah pengguna MikroTik di Indonesia sangat besar yaitu 127.096 (sumber : shodan.io)
Namun, pada awal tahun 2018, Czech Technology Forum melaporkan adanya indikasi serangan zero-day attack terhadap akses router MikroTik dengan sumber alamat serangan berasal dari IP 103.1.221.39 (berasal dari negara Taiwan). Serangan ini menargetkan Winbox pada Router MikroTik sebelum versi 6.42.
Serangan ini memungkinkan untuk dapat dilakukan remote attack   dan melakukan bypass proses otentikasi dan membaca file dengan cara memodifikasi permintaan (request) untuk mengubah 1 (satu) byte yang terkait dengan session ID pada Winbox MikroTik routerOS sehingga dapat mengambil alih akses router MikroTik.
Serangan yang dideteksi oleh Czech Technology Forum ini diindikasikan memiliki pola  yang serupa dimana terdapat dideteksi terdapat notifikasi dua kali kegagalan login Winbox dan dilanjutkan dengan notifikasi login yang berhasil. Kapersky Lab Security berhasil mengidentifikasi  payload  yang  digunakan  untuk  melakukan  serangan  terhadap  router.
MikroTik menggunakan Lua-based malware. Proof-of-Concept eksploitasi kerawanan Winbox, MikroTik pun telah dipublikasi secara publik. Kemudian cve.mitre.org menetapkan CVE-2018-14847 sebagai kerawanan Winbox MikroTik RouterOS hingga versi 6.42 yang memungkinkan untuk dapat dilakukan serangan secara remote untuk dapat melakukan bypass proses otentikasi dan melakukan privilege escalation pada tanggal 2 Agustus 2018.
Menindaklanjuti adanya kerawanan tersebut, pihak MikroTik segera melakukan pembaharuan sistem pada Winbox router MikroTik menjadi versi terbaru.
VERSI ROUTER MIKROTIK YANG TERDAMPAK
Semua  router  MikroTik  hingga  versi  6.42  (tanggal  rilis  2018/04/20)  rentan  terhadap kerawanan CVE-2018-11776.
DAMPAK
Kerentanan  CVE-2018-11776  memungkinkan  penyerang  untuk  dapat  melakukan  remote attack  dan melakukan bypass proses otentikasi dan membaca file dengan cara memodifikasi permintaan (request) untuk mengubah 1 (satu) byte yang terkait dengan session ID pada Winbox MikroTik routerOS sehingga dapat mengambil alih akses router MikroTik. Selanjutnya, dampak lain dari kerentanan ini adalah pihak penyerang dapat mengambil alih sistem  tersebut  dan  memanfaatkannya  pada  penggunaan  lain  seperti  digunakan  sebagai botnet, cryptojacking, dll, sehingga akan menghabiskan sumber daya seperti peningkatan bandwith, dan peningkatan konsumsi daya pada processor.
TIME LINE PENEMUAN CVE-2018-14847
  1. April 2018 - Czech technology forum melaporkan adanya indikasi serangan zero-day attack terhadap akses router MikroTik dengan sumber alamat serangan berasal dari IP 103.1.221.39 (berasal dari negara Taiwan).
  2. 23 April 2018 – MikroTik merilis versi 6.42.1 untuk memperbaiki kerawanan untuk bisa mendapatkan akses ke router MikroTik.
  3. 24 Juni  2018  –  Proof-of-Concept eksploitasi  kerawanan  Winbox,  MikroTik dipublish secara publik.
  4. 25 April 2018 – Kapersky Lab Security berhasil mengidentifikasi payload yang digunakan untuk melakukan serangan terhadap router MikroTik menggunakan Lua-based malware
  5. 2 Agustus 2018 - CVE-2018-14847 dan ditetapkan oleh cve.mitre.org sebagai kerawanan Winbox MikroTik RouterOS hingga 6.42 yang memungkinkan untuk dapat dilakukan serangan secara remote untuk dapat melakukan bypass proses otentikasi dan melakukan privilege escalation. 17 Agustus 2018 - MikroTik terus melakukan pembaharuan versi hingga 6.42.7 untuk mengatasi kerawanan lain seperti CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159.
APAKAH SAYA TERDAMPAK OLEH KERENTANAN INI ?

Kerentanan ini dimiliki oleh Semua router MikroTik versi 6.29 sampai dengan 6.42 yang menjalankan layanan Winbox. Serangan ini dapat terjadi karena MikroTik RouterOS dapat memungkinkan penyerang untuk melakukan bypass pembatasan keamanan, yang disebabkan oleh validasi yang tidak benar oleh session ID pada Winbox. Penyerang melakukan serangan dengan cara mengirimkan Session ID yang dibuat secara khusus agar penyerang dapat mengeksploitasi kerentanan  tersebut,  dan  mendapatkan  akses untuk  membaca  file  pada sistem.
Winbox sendiri memungkinkan penggunanya untuk mengkonfigurasi router MikroTik secara online, keberhasilan melakukan eksploitasi terahadap kerentanan CVE-2018-14847, memungkinkan penyerang untuk menggunakan perangkat agar dapat melakukan koneksi ke Winbox melaui port 8291 dan melakukan permintaaan akses ke system user database file.
Untuk  melakukan  pengecekan  apakah  sistem  yang  dikelola  terdampak  CVE-2018-14847 dapat memeriksanya pada link berikut:
https://tools.webguard.ir/index.php?url=[ip_publik_MikroTik]

SERANGAN TERKAIT CVE-2018-14847

Pada awal Agustus 2018 Symantec melakukan pelacakan aktifitas penambangan koin digital skala besar menggunakan Open Source Intelligence Shodan dan menemukan bahwa aktifitas penambangan tersebut dialkukan dengan cara menginfeksi sekitar 157.000 s.d 200.000 router MikroTik. Aktifitas penambangan tersebut awalnya terkonsentrasi di Brasil; Namun, mulai menyebar dan menginfeksi router di seluruh dunia. Setelah dilakukan investigasi lebih lanjut ditemukan bukti bahwa aktifitas penambangan koin digital ini memanfaatakan kerentanan CVE-2018-14847 untuk mendapatkan akses kedalam router  MikroTik yang akan  diinfeksi.  Setelah  mendapatkan  akses,  penyerang  melakukan inject script coinhive (Lihat Gambar 1) kedalam router, untuk melakukan penambangan koin digital, dengan cara memuat malicious error page, yang ditampilkan setiap kali pengguna mengakses internet melalui router menemui kesalahan HTTP. Setiap kali halaman kesalahan ditampilkan, korban tanpa sadar menambang Monero (XMR) untuk para peretas. Hal ini dapat terjadi karena masih banyak pengguna router MikroTik yang tidak melakukan patch/ update perangkatnya sehingga memiliki kerentanan CVE-2018-14847, dan dan membuka peluang peretas untuk melakukan eksploitasi celah keamanan tersebut.

Mengingat proses penambangan membutuhkan kinerja yang berat dan akan mengakibatkan meningkatnya lalu lintas jaringan karena aktifitas penambangan cryptocurrency tersebut, hal ini tentunya akan menimbulkan kecurigaan ISP, pengelola / pemilik router, maka penyerang menggunakan taktik hanya meng-inject error page yang di reload oleh router, untuk menyembunyikan profile serangan. Selain cryptojacking ancaman lain yang mengeksplotasi kerentanan ini adalah penyadapan / eavesdropping pada lalu lintas jaringan yang melewati router yang terinfeksi. Setelah mendapatkan akses masuk kedalam router penyerang secara diam –diam mengaktifkan port Socks4 atau TCP/4153 pada perangkat korban yang memungkinkan penyerang untuk melakukan control pada perangkat yang terinfeksi segera setelah perangkat tersebut di  – reboot (IP berubah) dan secara periodik akan mengirimkan data IP address terbaru ke URL penyerang. Serangan ini memungkinkan penyerang untuk melakukan capture packet pada router server korban dan meneruskannya pada Stream server tertentu yang di kontrol oleh
penyerang.
REKOMENDASI PROTEKSI DAN MITIGASI

Berikut ini merupakan langkah-langkah mitigasi yang perlu dilakukan oleh administrator atau pemilik Winbox MikroTik RouterOS hingga versi 6.42:
  1. Untuk  administrator/  pengelola  IT,  segera  lakukan  penambalan  celah  keamanan (patching)/ update pada perangkat MikroTik yang digunakan karena pihak vendor telah menyediakan  patching  untuk  kerentanan  tersebut.  Proses  updating  /  patching  dapat dilihat pada Gambar 1 berikut:


  2. Gunakan  perlindungan  untuk  seluruh  endpoint/server  tanpa  terkecuali,  hal  ini  dapat menangkal masalah lebih lanjut yang dapat terjadi bila sistem telah terinfeksi.
  3. Non aktifkan atau batasi akses plug-ins, extentions, atau komponen perangkat lunak lain yang telah usang, yang dapat dijadikan sebagai entry point penyerang untuk melakukan eksploitasi.
  4. Menerapkan mekanisme keamanan seperti penggunaan firewall, IDS atau IPS.
  5. Sebaiknya  terapkan  Filter  Rules  (ACL)  berikut  untuk  mencegah  akses  anonymous
    kedalam Router :
  6. Script Firewall :ip firewall filter add chain=input in-interface=wan protocol=tcp dst-port=8291 action=drop
  7. Sebaiknya  tidak  menggunakan  Winbox  untuk  MikroTik  RouterOS,  Karena  Winbox hanya berfungsi sebagai Graphical User Interface (GUI) saja. Namun jika memang penggunaan GUI pada Winbox sangat dibutuhkan pastikan lakukan whitelisting terhadap pengguna yang diperbolehkan mengakses layanan tersebut.
  8. Aktifkan fitur PUA (Potentially Unwanted Application) pada sistem perlindungan yang digunakan. Hal ini untuk mencegah berjalannya program-program yang tidak diinginkan yang  dapat  menyebabkan  penggunaan  resources  yang  tinggi  atau  gangguan  yang mungkin muncul saat sistem sedang sedang berjalan.
  9. Terapkan  solusi  pemantau  jaringan  atau  Network  Security  Analyst  System.  Dengan penerapan mekanisme ini Cryptojacking akan dapat dideteksi sedini mungkin, karena solusi ini mampu menganalisis data jaringan dan ancaman lainnya secara spesifik.
  10. Untuk   menghindari   eksploitasi   kerentanan   untuk   serangan   cryptojacking   yang memanfaatkan celah kerentanan CVE-2018-14847, langkah yang dapat dilakukan adalah menonaktifkan layanan berikut jika tidak dibutuhkan:
    a.  TELNET
    b.  SSH
    c.  FTP
    d.  WINBOX
  11. Jika Router MikroTik Anda telah terinfeksi cryptojacking coinhive dan atau Socks4
    proxy, langkah yang dapat dilakukan adalah :
    a.  Lakukan factory reset pada Router MikroTik yang didahului dengan membuat data cadangan konfigurasi sistem, lalu lakukan update RouterOS ke versi terbaru serta lakukan langkah pada poin 1. diatas.
    b.  Lakukan monitoring / pengecekan terhadap HTTP proxy, Socks4 proxy dan fungsi
    capture traffic jaringan, pastikan bahwa tidak ada lalu lintas jaringan yang dikrim terimakan ke alamat tertentu yang mencurigakan.
REFERENSI 

[1]https://autotekno.sindonews.com/read/1334444/133/MikroTik-di-indonesia-diserang- besar-besaran-cryptojacking-1535647099

[2] Common Vulnerability Exposure , http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-
2018-14847

[3] Winbox Exploit. https://github.com/BasuCert/WinboxPoC
 
[4] National Vulnerability Database.  https://nvd.nist.gov/vuln/detail/CVE-2018-14847
 
[5] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/over-
200-000-MikroTik-routers-compromised-in-cryptojacking-campaign
[6]https://www.symantec.com/blogs/threat-intelligence/hacked-MikroTik-router.
[7] https://thehackernews.com/2018/09/MikroTik-router-hacking.html.

Document dalam bentuk PDF silahkan download, DISINI
Share:  Facebook Twitter Whatsapp Linkedin
Read More

Thursday, May 17, 2018

New Feature MikroTik Kid Control On ROS 6.41, 6.42

By No comments

Fitur Baru Mikrotik Kid-Control




Baru - baru ini di ROS (Router Operating System) 6.41 dan 6.42 MikroTik menambahkan fitur Kid Control, Fitur ini adalah cara alternatif yang lebih mudah dalam membuat sebuah Firewall Parental Control, sebenarnya dalam pembuatan Firewall Parental Control kita dapat mengkombinasikan antara Script dan Scheduller, namun dengan fitur ini tentunya akan lebih mudah melakukan Parental Control.

Konfigurasi
Fitur ini dapat diaktifkan dengan cara mengakses tab /ip > kid-control dari terminal atau juga dapat di buka dengan winbox, contoh seperti gabar di bawah ini.


sources picture from www.mikrotik.co.id

Dalam feature Kid Control MikroTik ini  hak akses didasarkan pada sistem time-base, dengan sistem ini kita dapat dengan mudah untuk mengontrol aktifitas anak-anak kita dan menentukan kapan internet dapat diakses oleh anak-anak.


sources picture from www.mikrotik.co.id

Selanjutnya kita tentukan perangkat yang akan menggunakan pengaturan tersebut. Konfigurasinya kita lakukan di tab 'Devices'.


sources picture from www.mikrotik.co.id

Dengan pengaturan seperti pada gambar di atas maka fungsi management koneksi sudah berjalan, dimana nantinya dari pengaturan diatas akan langsung secara otomatis membuat firewall filter rule seperti gambar di bawah ini.

sources picture from www.mikrotik.co.id


Share:  Facebook Twitter Whatsapp Linkedin
Read More

Monday, May 7, 2018

Mengenal Gangguan Hacker Dalam Jaringan Internet

By No comments
Mengenal Gangguan Hacker Dalam Jaringan Internet




Sebagian besar orang tidak tahu banyak tentang gangguan dan bahaya yang sedang mengancam pada jaringan internet yang mereka punya, hal ini yang sering terjadi kepada para pekerja IT, pada umumnya orang diluar ruang lingkup pekerja IT akan melihat bawasannya kerja seorang pekerja IT hanyalah duduk mengotak atik laptop yang ada di depannya.
Dari hal ini pula sering seorang pekerja IT harus mengerjakan pekerjaan yang bukan scope kerjanya hanya karena tidak ingin dikatakan kerja hanya duduk-duduk saja. Padahal kerja seorang pekerja IT memiliki tanggung jawab yang tidaklah ringan, selain memastikan lancarnya jaringan internet yang mereka kelola, mereka pulalah yang bekerja melindungi data pribadi setiap user atau data perusahaan dimana semuanya dalam kondisi terhubung dengan jaringan internet.
Maka dari itu penulis akan memberikan gambaran tentang apa saja gangguan internet yang harus dihadapi seorang pekerja IT. Dalam hal ini kita akan mengenalkan tentang gangguan dari luar jaringan internal, seperti gangguan dari para hacker, penulis akan berikan contoh umum.

1. Penggunaan Hacker Tool Cain & Abel
    Cain & Abel adalah sebuah software tool yang dikelola oleh sebuah web pengelola open sources oxit.it, dimana tool ini berfungsi untuk merekam setiap aktifitas user yang terhubung di dalam sebuah jaringan, dan yang menakutkan lagi adalah tool ini dapat merekam account pribadi setiap user. Penulis disini bukan mengajari untuk melakukan teknik hacking, tapi memberikan gambaran bagaimana tool ini bekerja dan bahayanya. Tool ini juga akan membuat jaringan internet sebesar apapun akan melambat secara signifikan karena seluruh traffic akan dilewatkan melalui laptop pengguna tool ini. 




2. Penggunaan tool Hydra atau Brute Force tool

Hydra adalah tool yang digunakan untuk membobol user dan password admin router dengan menggunakan system dictionary, sistem dictionary adalah kumpulan kata yang ditulis dalam bentuk notepad dimana kata yang tertulis akan dicobakan satu per satu secara otomatis ke port user administrator router, dalam hal ini hydra akan membanjiri gateway router dengan packet icmp yang  berakibat naiknya cpu load router sehingga router akan mengalami keadaan kehabisan space ram dan jika digunakan untuk mebobol wifi password maka router akan kehabisan alokasi ip untuk user karena tool ini akan membuat seolah ada banyak user yang sedang mencoba terhubung dengan jaringan. Hal ini akan sangat memperlambat kinerja internet jaringan, dapat pula dikatakan perlambatan internet akan terjadi secara drastis.

Sumber : Hack Router/Wifi/Facebook Menggunakan Hydra - You Tube


 

3. Penggunaan tool NetCut

Netcut seperti namanya adalah tool untuk mencuri koneksi internet dari perangkat lain yang terhubung dengan internet, dengan jalan mengkloning mac address perangkat korban beserta ip addressnya menjadi milik pengguna netcut, dengan kata lain perangkat pengguna netcut seolah adalah perangkat korban yang telah terauthentifikasi oleh router, pertanyaannya bagaimana nasib perangkat korban, perangkat korban tidak akan memiliki koneksi ke internet walaupun secara nyatanya perangkat telah terhubung.

Sumber : Bagaimana Menggunakan Netcut - You Tube




Dari 3 contoh umum yang menyerang jaringan internet masih banyak lagi tool atau open source yang dapat digunakan untuk mengganggu sebuah jaringan internet.
Belu lagi gangguan dari dalam atau internal jaringan dari device yang mempunyai masalah koneksi, server trouble, CCTV error, database infected virus, bottle neck, print server error dan sebagainya, masihkah dapat dikatakan bawasannya seorang pekerja IT hanya duduk-duduk kerjanya?. Semua disiplin ilmu memiliki tingkat resiko yang beragam.

Sebagai penutup untuk mengatasi semua hal ini tanyakan dan pastikan jaringan internet anda dari para pekerja IT sudah terlindungi dan sudah dibuatkan firewall yang kuat sehingga jaminan data pribadi dan kecepatan perangkat anda dalam sebuah jaringan benar-benar aman, apalagi yang berhubungan dengan transaksi keuangan online, jangan-jangan rekening bank anda akan terkuras habis akibat pengelolaan jaringan yang menganggap firewall atau keamanan jaringan tidak penting.

Dan bagi para pekerja IT teruslah membaca dan belajar, update perkembangan teknologi terbaru, karena teknologi berkembang sangatlah pesat,sehingga skill dan kemampuan anda tetap mumpuni menghadapi perkembangan teknologi.

Untuk itu dari sebagian kecil contoh gangguan ini diharapkan semua orang mengerti betapa penting dan besarnya tanggung jawab seorang pekerja IT.  
Share:  Facebook Twitter Whatsapp Linkedin
Read More

Thursday, February 15, 2018

MikroTik Firewall Raw Feature

By No comments
Menggunakan MikroTik Firewall Raw Feature untuk melindungi Router dari DDOS dan berbagai macam aksi hacker.

Dari pengalaman menggunakan router mikrotik, sering sekali terjadi penetrasi gangguan, baik dari para pencuri password wifi, pencurian koneksi seperti via netcut, pencurian data pribadi melalui ARP Poisoning  atau orang yang sengaja mengganggu dengan mengirim paket flooding (DDOS).
Mungkin semua hal tersebut di atas dapat kita kurangi menggunakan feature mikrotik firewall filter, akan tetapi akan timbul permasalahan baru yaitu mengurangi space ram (semakin banyak firewall filter maka semakin berkurang  space ram router). 

Firewall filter mikrotik bekerja setelah masuk di zona routing table
Gambar saya peroleh dari literature MUM Presentation-3938147937282-milik Achmad Mardiansyah, untuk file pdf, silahkan download disini 
Lihat dan pelajari baik - baik gambar di bawah ini :











Saya tidak akan menjelaskan paket flow di atas, akan tetapi memperlihatkan bahwa firewall filter bekerja setelah melewati routing table, sehingga akan sangat mempengaruhi CPU Load dari router.
Kita akan bandingkan dengan Firewall filter raw, simak baik-baik gambar berikut :



Firewall filter raw bertugas memutus aliran paket sebelum masuk ke routing table, sehingga apabila teridentifikasi paket yang mencurigakan tidak akan di masukkan ke dalam routing table, atau di blok, tentunya dalam membuat Firewall filter raw kita harus mengetahui karakteristik  aksi penetrasi ke router, misalkan kita dapat memutus aksi dns mitigation dengan mengenali, port yang di pakai  jenis paket (udp/tcp) dan sebagainya.

Untuk  Router yang saya configurasi biasanya sudah saya pindahkan terlebih  dahulu  ip servicenya dan kemudian menggunakan firewall raw untuk bloking di port yang biasa di pakai untuk  melakukan aksi serangan. Dengan demikian firewall raw yang saya  buat selain menurunkan CPU load juga saya gunakan sebagai monitoring flow attacking packet.

Contoh firewall raw dapat anda lihat di  www.gregsowell.com/?p=5286
Maaf bukan saya tidak mau berbagi script firewall raw yang saya punya, akan tetapi hal ini saya lakukan agar  pembaca tidak sekedar copy paste saja akan tetapi mengetahui fungsi kerja firewall raw dengan jelas. 
Sekian gambaran firewall raw, mungkin artikel ini dapat bermanfaat. Terima kasih   








Share:  Facebook Twitter Whatsapp Linkedin
Read More