Tag: qFirewall

Perangkat FortiGate Ditargetkan oleh Login SSO Berbahaya Peneliti keamanan memperingatkan bahwa perangkat FortiGate sedang menjadi target aktivitas serangan melalui login Single Sign‑On (SSO) berbahaya. Insiden ini terjadi kurang dari seminggu setelah Fortinet mengumumkan kerentanan serius pada beberapa produknya.  Apa yang Terjadi Aktivitas ancaman pertama kali ditemukan oleh peneliti pada hari Jumat yang menargetkan perangkat Fortinet FortiGate menggunakan login SSO berbahaya. Penemuan ini diumumkan dalam blog dari perusahaan keamanan Arctic Wolf.  Latar Belakang Kerentanan Ini terjadi sekitar **seminggu setelah Fortinet mengumumkan dua kerentanan autentikasi bypass yang bersifat kritis di banyak produknya. Fortinet menjelaskan bahwa kerentanan ini awalnya ditemukan oleh dua anggota tim keamanan produknya sendiri. Kerentanan tersebut tercatat sebagai CVE‑2025‑59718 dan CVE‑2025‑59719, dan memungkinkan penyerang melewati autentikasi FortiCloud SSO dengan pesan SAML yang dibuat secara khusus jika fitur tersebut diaktifkan di perangkat.  Deteksi Serangan Arctic Wolf mendeteksi login berbahaya di jaringan yang mereka lindungi melalui layanan managed detection and response. Mereka awalnya memperingatkan pelanggan mereka tentang kerentanan ini melalui bulletin pada 10 Desember 2025. Sejak deteksi aktivitas berbahaya, mereka telah melihat puluhan intrusi yang memanfaatkan kelemahan itu. Para peneliti masih menyelidiki insiden ini dan belum mengetahui siapa yang berada di balik aktivitas tersebut. Mereka mencatat bahwa intrusi ini tampaknya bersifat oportunistik — bukan menarget perusahaan tertentu.  Tanggapan Fortinet Fortinet mengatakan bahwa fitur FortiCloud SSO tidak diaktifkan pada pengaturan pabrik. Namun, fitur ini bisa otomatis diaktifkan saat administrator registrasi perangkat melalui antarmuka grafis, kecuali jika administrator mematikan pengaturan toggle yang bertuliskan: “Allow administrative login using FortiCloud SSO.” Mereka menyarankan pengguna menonaktifkan sementara fitur login FortiCloud pada versi yang rentan sampai pembaruan diterapkan.  Saran Keamanan Cybersecurity and Infrastructure Security Agency (CISA) menambahkan cacat ini ke dalam Katalog Kerentanan yang Sudah Dieksploitasi Diketahui (Known Exploited Vulnerabilities). Arctic Wolf menyarankan bahwa jika pengguna mendeteksi aktivitas berbahaya, mereka harus mereset kredensial firewall dan membatasi akses ke antarmuka manajemen hanya dari jaringan internal yang terpercaya. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan  Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi Qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Ringkasan Inti Microsoft merilis 56 perbaikan keamanan pada Patch Tuesday Desember, yang mempengaruhi 10 keluarga produk Microsoft. Dua di antaranya dikategorikan Critical (kritis), namun kedua bug Critical ini berada di keluarga produk Office‑365, bukan pada Windows sendiri. Sophos News Selain itu: 8 CVE memiliki skor CVSS ≥ 8,0 (risiko tinggi). 1 kerentanan diketahui sudah dieksploitasi di dunia nyata.  Patch tersebut juga mencakup update untuk Microsoft Edge, ColdFusion, dan Adobe Reader. Sophos News Sophos menyertakan informasi apakah beberapa kerentanan tersebut sudah terdeteksi dan dilindungi oleh solusi keamanan Sophos seperti Intercept X dan XGS Firewall. Sophos News Angka‑Angka Utama Bulan Ini Total CVE: 56 Publicly disclosed (dipublikasikan): 2 Exploit detected (terdeteksi dieksploitasi): 1 Critical: 2 Important: 54 Sophos News Dampak patch termasuk: Elevation of Privilege – 28 CVE Remote Code Execution – 19 CVE Information Disclosure – 4 CVE Denial of Service – 3 CVE Spoofing – 2 CVE Sophos News Isu Penting yang Harus Diperhatikan Beberapa kerentanan yang menjadi sorotan termasuk: Sophos News Kerentanan Office/365 Remote Code Execution Serangkaian kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) di berbagai versi Microsoft Office dan 365 — termasuk Outlook, Word, Excel. Dua dari kerentanan ini digolongkan Critical. Sophos News PowerShell Remote Code Execution Bug yang memengaruhi PowerShell dengan potensi eksekusi kode jarak jauh, meskipun dengan tingkat risiko Important. Sophos News Microsoft Exchange Server Ada kerentanan Elevation of Privilege dan Spoofing pada Exchange Server 2016/2019 — yang still active jika kamu masih menggunakan versi lama tanpa dukungan ESU (Extended Security Update). Sophos News Kerentanan GitHub Copilot for Jetbrains Bug Remote Code Execution pada GitHub Copilot for Jetbrains — memengaruhi pengguna IDE AI yang dieksploitasi dengan menjalankan perintah tertentu. Sophos News Patch Lainnya & Update Ekstra Selain patch Microsoft, artikel ini juga mencatat: Sophos News 14 update Edge dari patch terkait Chromium. 12 patch ColdFusion dari Adobe. 4 patch Adobe Reader untuk versi Reader tertentu. Sophos News Sophos memberikan tabel yang menunjukkan kerentanan mana yang sudah terdeteksi dan diproteksi oleh produk keamanan mereka. Sophos News Tips untuk Admin & Pengguna Sophos mengingatkan bahwa: Sophos News  Pengguna yang tidak ingin menunggu Windows Update otomatis dapat mengunduh patch secara manual dari Windows Update Catalog.  Gunakan perintah winver.exe untuk melihat versi Windows yang sedang digunakan, lalu sesuaikan patch yang diunduh. Sophos News Langkah ini membantu memastikan sistem tetap terlindungi sebelum patch terdistribusi secara otomatis oleh Windows. Sophos News Kesimpulan Artikel ini menunjukkan Patch Tuesday terakhir di tahun 2025 adalah salah satu yang paling besar dan komprehensif sepanjang tahun, dengan banyak perbaikan penting — meskipun tidak banyak bug Critical di Windows — dan sejumlah kerentanan Office yang tetap perlu dicermati serta diupdate sesegera mungkin untuk menjaga keamanan sistem. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan  Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi Qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Fortinet bekerja sama dengan UC Berkeley Center for Long-Term Cybersecurity (CLTC), Berkeley Risk and Security Lab (BRSL), serta mitra dari sektor publik dan swasta dalam inisiatif AI-Enabled Cybercrime. Melalui latihan tabletop global (tabletop exercises / TTX), riset, dan analisis kebijakan, upaya ini bertujuan memahami bagaimana AI membentuk kejahatan siber dan bagaimana para pembela dapat tetap unggul. Fortinet Bagaimana AI Mengubah Kejahatan Siber Saat Ini Fortinet dan CLTC mengamati pola-pola yang berkembang di mana AI memperkuat kemampuan penyerang dan mengubah lanskap ancaman: Fortinet 1) AI Mempercepat Ancaman yang Sudah Ada (Belum Menciptakan yang Baru) AI belum menciptakan motif baru bagi pelaku kejahatan, tetapi mengubah cara mereka menyerang: Fortinet Phishing & rekayasa sosial lebih efektif Pengintaian (reconnaissance) dilakukan lebih cepat AI membantu generasi kode, bahkan untuk penyerang yang kurang terampil Malware & eksploit berkembang lebih cepat Ini berarti serangan yang sudah dikenal kini dapat dilakukan lebih cepat, lebih besar, dan lebih canggih. Fortinet 2) Batas Masuk Dunia Kejahatan Menjadi Lebih Rendah Dengan alat-alat AI, pelaku tidak lagi perlu kemampuan teknis tinggi untuk melakukan serangan kompleks. AI memungkinkan peran yang lebih terpisah dan khusus dalam ekosistem kriminal, seperti: Fortinet penemuan celah penyediaan akses (access brokering) penggerak intrusi monetisasi teknik penipuan (deception) Artinya struktur kriminal menjadi lebih modular dan efisien. Fortinet 3) Kerentanan Manusia Tetap Menjadi Sasaran Utama Meski AI maju, teknik yang paling efektif tetap memanfaatkan psikologi manusia — misalnya rasa percaya, urgensi, dan otoritas yang dipalsukan — dan AI memperkuat elemen-elemen ini. Fortinet Pelajaran dari Latihan TTX di Singapura Latihan tabletop di Singapura menunjukkan beberapa wawasan penting bagi para pembela siber: Fortinet 1) AI Memperluas Permukaan Serangan AI tidak hanya menyerang sistem teknis, tetapi juga memperumit proses verifikasi identitas saat merespons insiden—misalnya perlu memvalidasi bukan hanya log kode, tetapi juga suara, pesan, dan permintaan. Fortinet 2) AI Mempercepat Penyerang Lebih Cepat Daripada Pertahanan (Saat Ini) AI membantu pelaku melakukan reconnaissance dan eksploitasi dengan sangat cepat. Di sisi pertahanan, penggunaan AI masih membutuhkan uji coba, pengawasan, dan kontrol yang jelas agar dapat digunakan secara bertanggung jawab. Fortinet 3) Tata Kelola Sama Pentingnya dengan Teknologi Latihan menunjukkan bahwa organisasi yang jelas dalam peran dan proses pengambilan keputusan mengatasi tahap awal respons serangan lebih baik daripada yang tidak memiliki tata kelola kuat. Fortinet 4) Penilaian Manusia Tetap Penting Walau AI dapat membantu menganalisis dataset besar, peserta secara konsisten menolak untuk sepenuhnya menyerahkan kesimpulan investigasi atau atribusi pada AI. Keputusan akhir tetap membutuhkan penilaian manusia. Fortinet Kolaborasi Publik-Swasta Itu Penting Inisiatif ini menekankan pentingnya kolaborasi antara dunia akademik, industri, dan pemerintah. Sinergi ini memperkuat: Fortinet  visibilitas lintas sektor terhadap ancaman baru  disiplin komunikasi dalam krisis pertukaran intelijen ancaman secara cepat pengembangan kebijakan yang realistis dan efektif Fortinet percaya bahwa kerjasama semacam ini bukan sekadar nilai tambah, tetapi bagian penting dari keamanan siber di dunia yang dipercepat oleh AI. Fortinet Persiapan Untuk Masa Depan Latihan di Singapura hanyalah salah satu dari banyak kegiatan global, termasuk yang terbaru di Israel. Laporan publik yang lebih komprehensif dijadwalkan rilis pada Kuartal 1 2026. Para pembela didorong untuk: Fortinet  membuat keputusan berdasarkan bukti, bukan hanya hype  memperkuat hubungan lintas sektor  memasangkan deteksi berbasis AI dengan pengawasan manusia yang kuat mengantisipasi bahwa adopsi AI oleh penyerang akan lebih cepat daripada regulasi  memperlakukan pertahanan siber sebagai tanggung jawab bersama Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan  Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi Qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Fortinet Perkenalkan FortiGate 3800G: Firewall Kelas Data Center untuk Era AI Baru‑baru ini, Fortinet meluncurkan Secure AI Data Center solution — sebuah kerangka kerja keamanan menyeluruh yang ditujukan untuk melindungi infrastruktur AI, aplikasi, dan model‑model besar (LLM) pada skala data center. Salah satu komponen utamanya adalah FortiGate 3800G, firewall generasi terbaru yang dibekali teknologi tinggi untuk mendukung beban kerja AI dan lingkungan infrastruktur skala besar. Fortinet+2Barchart.com+2 ⚙️ Spesifikasi & Keunggulan FortiGate 3800G FortiGate 3800G hadir dengan sederet keunggulan teknis yang menjadikannya cocok untuk data center, cloud, maupun perusahaan besar: Throughput firewall 800 Gbps — memberi kapasitas besar untuk mengatasi volume lalu lintas tinggi di lingkungan AI dan pusat data. Fortinet+1 IPsec VPN throughput 210 Gbps — memungkinkan konektivitas aman dan cepat untuk komunikasi antar lokasi, remote office, atau klaster GPU. Fortinet Threat protection 200 Gbps dengan fitur firewall + IPS + application control + malware protection & logging aktif — memastikan proteksi menyeluruh terhadap ancaman siber. Fortinet+1 Kemampuan menangani hingga 200 juta sesi (200M concurrent sessions) — cocok untuk lingkungan dengan banyak pengguna atau aplikasi sekaligus. Fortinet Efisiensi energi signifikan — Fortinet menyebut konsumsi daya jauh lebih rendah dibanding solusi tradisional, menjadikannya pilihan lebih hemat untuk data center berskala besar. Investing.com+1 Menurut Fortinet, solusi ini memungkinkan perusahaan menjalankan “zero‑trust segmentation”, inspeksi lalu lintas terenkripsi, serta perlindungan terhadap ancaman terhadap data dan model AI — sambil memastikan performa tinggi dan latensi rendah. Fortinet+1 🌐 Konteks: Kenapa Firewall Modern seperti FortiGate 3800G Diperlukan Sekarang Seiring makin umum penggunaan AI, machine learning, dan infrastruktur GPU untuk workload intensif — kebutuhan akan firewall dengan throughput tinggi, proteksi mendalam, dan pengelolaan sesi besar semakin krusial. FortiGate 3800G dirancang tepat untuk kebutuhan ini. Banyak organisasi kini mengandalkan lingkungan hybrid / cloud + on‑premise + edge / data center. Firewall yang mampu menjaga konsistensi kebijakan keamanan di seluruh lingkungan ini memberikan fleksibilitas dan perlindungan maksimal. Di tengah kabar bahwa 2026 akan makin banyak serangan siber berbasis AI dan otomatisasi — kemampuan firewall untuk deteksi, mitigasi, dan manajemen ancaman secara otomatis sangat penting. Antara News+1 ✅ Apa Artinya untuk Perusahaan & Tim IT Jika perusahaan Anda mengelola infrastruktur besar — data center, GPU cluster, layanan cloud, server AI — mempertimbangkan FortiGate 3800G dapat meningkatkan keamanan sekaligus menjaga performa dan efisiensi energi. Untuk tim IT dan keamanan: firewall ini menawarkan satu platform terpadu untuk membangun arsitektur jaringan modern dengan pendekatan “security‑first”, ideal untuk perusahaan yang mengutamakan zero trust, kepatuhan (compliance), dan keandalan operasional. Bagi organisasi yang ingin siap menghadapi ancaman masa depan (termasuk serangan otomatis berbasis AI, eksploitasi zero‑day, dan volume traffic tinggi), firewall kelas data center dengan performa dan proteksi tinggi bukan lagi opsional — tapi krusial. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Mengapa Firewall Palo Alto Masih Menjadi Pilihan Utama di 2025 Sebagai salah satu pemimpin dunia di bidang keamanan siber, Palo Alto Networks terus berinovasi agar firewall mereka relevan menghadapi lanskap ancaman yang semakin kompleks — mulai dari cloud, Internet-of-Things (IoT), hingga potensi ancaman di era komputasi kuantum. Berikut beberapa alasan utama mengapa firewall Palo Alto tetap unggul di tahun 2025: Platform Terpadu untuk Infrastruktur Modern — Dengan adopsi model “hybrid mesh firewall”, Palo Alto menawarkan solusi yang bisa menjembatani keamanan di lingkungan on-premise, data center, cloud, maupun container. Artinya: satu kebijakan keamanan dapat diterapkan secara konsisten di seluruh lingkungan TI. Palo Alto Networks Investors+1 Siap Menghadapi Era Quantum — Palo Alto telah memperkenalkan “quantum-ready” security: artinya firewall mereka mendukung enkripsi dan proteksi yang tahan terhadap ancaman komputasi kuantum, sekaligus menyediakan alat untuk mengevaluasi “cryptographic risk posture” organisasi. Palo Alto Networks Investors Firewall Generasi Baru dengan ML & AI — Dengan sistem operasi terbaru mereka (PAN-OS), firewall Palo Alto menjadi “Next-Generation Firewall (NGFW)” yang dibantu Machine Learning — mampu mengenali ancaman yang belum dikenal, mendeteksi perangkat IoT di jaringan, dan menyediakan otomatisasi kebijakan (policy recommendation) untuk mengurangi human error. Palo Alto Networks+1 Kemudahan Manajemen & Skalabilitas di Era Multi-Cloud & Remote Work — Pengelolaan firewall menjadi lebih mudah dengan platform manajemen terpadu (termasuk cloud-based management), sehingga bisnis bisa menjaga keamanan jaringan meski mereka memiliki infrastruktur terdistribusi atau hybrid cloud. Palo Alto Networks TechDocs+2Palo Alto Networks Live+2 Fitur dan Inovasi Terbaru Palo Alto di 2025 Berikut beberapa fitur dan inovasi terbaru dari firewall Palo Alto di 2025 yang membuatnya relevan untuk kebutuhan modern: Hybrid Mesh Firewall + Cloud-Based Management — Dengan pengakuan sebagai “Leader” di Gartner Magic Quadrant 2025 untuk Hybrid Mesh Firewalls, Palo Alto menegaskan pendekatan keamanan terpadu yang menyatukan berbagai jenis deployment (hardware, virtual, cloud-native, container). Palo Alto Networks Investors+1 Quantum Readiness & Post-Quantum Crypto Support — Melalui pembaruan software dan hardware, mereka memungkinkan organisasi menyiapkan infrastruktur supaya tahan terhadap ancaman komputasi kuantum. Palo Alto Networks Investors Deteksi IoT dan Perangkat Tak Ter-Kelola — PAN-OS terbaru dapat mendeteksi tiga kali lebih banyak perangkat IoT dibanding firewall tradisional — penting di era di mana banyak perangkat terhubung (smart devices, sensor, dsb). Palo Alto Networks Otomatisasi Policy & Analitik Berbasis Machine Learning — Firewall kini bisa memberikan rekomendasi kebijakan secara otomatis berdasarkan traffic dan pola, serta mengurangi ketergantungan pada konfigurasi manual. Palo Alto Networks+1 Modular & Skalable Hardware Series Baru — Barisan perangkat baru seperti PA-500 Series dan PA-5500 Series mendukung konektivitas tinggi, throughput besar, serta fleksibilitas untuk deployment di edge, cabang, maupun data center besar. Palo Alto Networks TechDocs+1 Manajemen Terpusat & Visibilitas Lengkap — Dengan integrasi manajemen lewat platform seperti Strata Cloud Manager, admin bisa mengelola firewall dari berbagai lokasi melalui satu konsol, memudahkan operasi dan monitoring. Palo Alto Networks TechDocs+2Palo Alto Networks Live+2 Tantangan & Hal yang Perlu Diperhatikan Meski menawarkan banyak fitur canggih, pengguna firewall modern seperti Palo Alto juga harus memperhatikan beberapa hal penting: Update & Patch Sistem Secara Rutin — Baru-baru ini ditemukan kerentanan (misalnya CVE-2025-0108 di PAN-OS) yang memungkinkan bypass autentikasi pada UI manajemen. Jika tidak segera diperbarui, firewall bisa jadi target exploit. TechTarget+1 Kompleksitas Manajemen di Lingkungan Skala Besar — Meskipun ada manajemen terpusat, lingkungan hybrid/cloud besar tetap memerlukan perencanaan kebijakan yang matang agar keamanan konsisten di semua lokasi. Kebutuhan SDM & Keahlian Teknis — Memanfaatkan fitur lengkap seperti post-quantum crypto, deteksi IoT, dan otomatisasi ML membutuhkan administrator yang memahami konsep modern keamanan — tidak cukup sekadar konfigurasi dasar. Siapa yang Cocok Menggunakan Firewall Palo Alto Sekarang Firewall Palo Alto di 2025 cocok untuk: Perusahaan menengah ke atas dengan infrastruktur hybrid (on-prem, cloud, cabang, remote) Organisasi yang memerlukan keamanan tinggi: pusat data, institusi keuangan, sektor industri, layanan kesehatan, dsb. Bisnis yang ingin siap untuk masa depan: post-quantum, IoT, cloud-native, multi-cloud Tim IT/Security yang siap berinvestasi dalam manajemen dan tuning kebijakan keamanan Kesimpulan — Firewall Palo Alto: Investasi Jangka Panjang di Tengah Ancaman yang Terus Berkembang Dalam era transformasi digital, cloud, IoT, serta ancaman siber yang semakin canggih — termasuk potensi ancaman dari komputasi kuantum — solusi firewall konvensional jelas mulai tidak mencukupi. Firewall dari Palo Alto Networks telah berevolusi menjadi platform keamanan modern dan adaptif, dengan fitur ML / AI, dukungan hybrid-mesh, quantum-ready, dan manajemen terpusat yang menjadikannya pilihan tepat bagi organisasi yang serius menjaga keamanan jaringan. Bagi Anda, baik sebagai profesional TI, pengelola jaringan, atau pengambil keputusan di perusahaan — mempertimbangkan firewall kelas ini bisa menjadi langkah penting untuk memitigasi risiko jangka panjang dan menjaga aset digital tetap aman. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!  

RondoDox Terungkap: Mengurai Ancaman Botnet Baru Botnet baru yang dirancang untuk pengelakan dan gangguan sistem Platform yang Terpengaruh: TBK DVR-4104, TBK DVR-4216, router Four-Faith model F3x24, Four-Faith model F3x36. Pengguna yang Terdampak: Semua organisasi Dampak: Penyerang jarak jauh dapat mengambil alih sistem yang rentan Level Keparahan: Tinggi Selama sebulan terakhir, FortiGuard Labs telah mengamati peningkatan signifikan dalam aktivitas pemindaian, termasuk kampanye botnet baru yang mengeksploitasi dua kerentanan berisiko tinggi: CVE-2024-3721 dan CVE-2024-12856. Kedua kerentanan ini telah dipublikasikan dan sedang aktif dieksploitasi, sehingga menimbulkan risiko serius bagi keamanan perangkat dan integritas jaringan secara keseluruhan. RondoDox Botnet yang bertanggung jawab dalam serangan ini dinamai RondoDox. Tidak seperti varian yang tersebar luas seperti Mirai atau Gafgyt, RondoDox adalah ancaman baru yang masih memiliki profil rendah. FortiGuard Labs pertama kali mengidentifikasi binary ELF serupa pada September 2024. Menariknya, RondoDox menggabungkan pustaka kustom dan meniru lalu lintas dari platform gaming atau server VPN agar tidak terdeteksi. Detail Kerentanan CVE-2024-3721 Kerentanan kritis yang mempengaruhi TBK DVR (DVR-4104 dan DVR-4216). Masalah ini berasal dari penanganan yang tidak tepat pada jalur /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX, di mana parameter mdb dan mdc dapat dimanipulasi untuk menyuntikkan perintah OS. Eksploitasi berhasil memungkinkan penyerang mengeksekusi perintah arbitrer dari jarak jauh. CVE-2024-12856 Mempengaruhi router Four-Faith model F3x24 dan F3x36. Kerentanan ini memungkinkan penyerang jarak jauh yang telah terautentikasi untuk mengeksekusi perintah OS melalui HTTP dengan mengeksploitasi antarmuka apply.cgi saat memodifikasi waktu sistem. Analisis Downloader RondoDox awalnya didistribusikan untuk OS Linux pada arsitektur ARM dan MIPS. Namun, kini ditemukan script shell downloader yang memungkinkan malware ini menargetkan arsitektur Linux yang lebih luas, termasuk: Intel 80386 MC68000 MIPS R3000 PowerPC SuperH ARCompact x86-64 AArch64 Script shell tersebut: Menginstruksikan host untuk mengabaikan sinyal tertentu (SIGTTOU, SIGTTIN, dll.) Mengecek direktori yang dapat ditulis tanpa flag noexec Membuat direktori /tmp/lib, mengunduh malware RondoDox, menjalankannya Menghapus riwayat perintah agar tidak terdeteksi Analisis RondoDox Analisis berikut berfokus pada binary arsitektur x86-64 bernama rondo.x86_64. 1. Obfuscation Konfigurasi Konfigurasi dienkode menggunakan XOR sederhana dengan key heksadesimal 0x21, termasuk path file dan nama tool. 2. Mekanisme Persistensi RondoDox: Memodifikasi permission file Membuat symbolic link Menambahkan script persistensi Contoh: /etc/init.d/rondo /etc/rc3.d/S99rondo Selain itu, malware menambahkan perintah startup pada: /etc/rcS /etc/init.d/rcS /etc/inittab Crontab user dan root Ini memastikan persistensi berlapis-lapis. 3. Penghindaran Analisis RondoDox memeriksa proses host dan menghentikan aplikasi seperti: wget, curl, Wireshark, gdb, tcpdump, iptables, passwd, ufw, miner, xmrig, dsb. 4. Gangguan Sistem Malware memindai direktori executable Linux: /usr/sbin, /usr/bin, /usr/local/bin, /usr/local/sbin Lalu mengganti nama beberapa executable menjadi string acak sehingga sistem menjadi tidak stabil. Contoh: iptables → jsuJpf ufw → nqqbsc passwd → ahwdze shutdown → hhrqwk 5. Komunikasi C2 RondoDox mendekode alamat C2 83[.]150[.]218[.]93 menggunakan key “rondo”. Setelah terhubung, ia menerima perintah untuk melakukan serangan DDoS menggunakan: HTTP UDP TCP 6. Penyamaran Lalu Lintas (Traffic Mimicry) Agar tidak terdeteksi firewall, RondoDox meniru traffic dari: Valve, Minecraft, Roblox, Fortnite, GTA, DayZ, Discord, OpenVPN, WireGuard, RakNet, dan lainnya. Contoh penyamaran: menggunakan “magic byte” OpenVPN \x38 dalam payload. Kesimpulan RondoDox adalah malware canggih yang menggunakan: Teknik anti-analisis Enkripsi XOR Pustaka kustom Persistensi berlapis Malware ini mengeksploitasi dua kerentanan utama: CVE-2024-3721 CVE-2024-12856 Ancaman ini menegaskan pentingnya patching cepat dan analisis perilaku mendalam. Perlindungan Fortinet FortiGuard Antivirus mendeteksi malware ini sebagai: BASH/RondoDox.A!tr.dldr ELF/RondoDox.CTO!tr FortiGate, FortiMail, FortiClient, dan FortiEDR memberikan perlindungan melalui layanan antivirus FortiGuard. FortiGuard Web Filtering Service memblokir server C2. IPS signature disediakan untuk: CVE-2024-3721 CVE-2024-12856 IOC (Indicators of Compromise) Host 45[.]135[.]194[.]34 83[.]150[.]218[.]93 14[.]103[.]145[.]202 14[.]103[.]145[.]211 154[.]91[.]254[.]95 78[.]153[.]149[.]90 File Hashes (downloaders dan sampel RondoDox — seluruh daftar sudah diterjemahkan tanpa perubahan) Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Kami dengan bangga mengumumkan bahwa Sophos telah dinobatkan sebagai Leader dalam IDC MarketScape™: Worldwide Extended Detection and Response (XDR) Software 2025. Kami percaya pengakuan ini mencerminkan komitmen kami untuk menghadirkan solusi keamanan yang cerdas, terintegrasi, dan dapat diskalakan guna membantu organisasi tetap selangkah lebih maju dari ancaman. IDC MarketScape untuk Extended Detection and Response menyebutkan kemampuan perlindungan Sophos sebagai salah satu kekuatan, dengan mencatat: “Sophos dipandang positif dalam hal perlindungan yang diberikannya. Teknologi perlindungan utama yang disertakan sebagai fitur standar pada endpoint mencakup firewall berbasis host dan IDS/IPS, kontrol perangkat, DLP, pemindaian antimalware, dan enkripsi.” Laporan tersebut juga menyoroti kemampuan pertahanan proaktif Sophos dengan menyatakan: “Secara umum dikenal sebagai ‘Shields Up,’ Adaptive Attack Protection Sophos diperkenalkan pada 2023. Proteksi serangan adaptif ini secara otomatis menegakkan perlindungan tertentu jika terdapat bukti adanya serangan ‘hands-on-keyboard’.” “Walaupun Sophos telah mengerjakan banyak teknologi ini secara internal, integrasi platform Taegis XDR menambah kekuatan pada kapabilitas yang ada dan mempercepat siklus rekayasa untuk inisiatif-inisiatif baru.” — Chris Kissel, IDC Ketika menyoroti kapan harus mempertimbangkan Sophos, laporan tersebut menyatakan: “Sophos memiliki kehadiran internasional, dan ekosistemnya dirancang untuk memberdayakan bisnis dari berbagai ukuran dan jenis. Pemula, pengguna tingkat menengah, dan pakar keamanan siber akan mendapatkan nilai dari platform Sophos XDR.” Sophos XDR: Inovasi yang menghasilkan dampak Sophos Extended Detection and Response (XDR) menyediakan alat canggih dan intelijen ancaman yang memungkinkan Anda mendeteksi, menyelidiki, dan menetralkan ancaman di seluruh ekosistem TI Anda, disampaikan melalui platform terbuka, adaptif, dan AI-native dari Sophos. Mulai dengan pertahanan terkuat: Organisasi dapat memfokuskan investigasi dengan mencegah lebih banyak pelanggaran sebelum terjadi. Sophos XDR mencakup perlindungan unggulan dari Sophos Endpoint untuk menghentikan ancaman tingkat lanjut dengan cepat sebelum berkembang. Percepat operasi keamanan dengan AI: Alat AI dalam Sophos XDR membantu menyederhanakan investigasi dengan menyediakan wawasan real-time, mengontekstualisasi data ancaman, dan menawarkan rekomendasi berbasis bahasa alami. Dirancang bersama analis keamanan garis depan kami, Sophos AI Assistant memungkinkan tim internal Anda memanfaatkan alur kerja dan pengalaman nyata dari para ahli Sophos. Perlindungan identitas terintegrasi: Sophos menghadirkan visibilitas mendalam di lapisan identitas dan lingkungan cloud. Dengan ITDR, pemantauan Kubernetes, serta integrasi dengan Microsoft Entra ID dan O365, kami mengamankan semuanya mulai dari endpoint hingga workload cloud. Pertahanan otomatis dan adaptif: Sophos menawarkan serangkaian respons otomatis—mulai dari isolasi endpoint hingga penegakan MFA dan pemulihan kerusakan ransomware. Fitur pertahanan adaptif kami aktif selama serangan berlangsung, meminimalkan dampak dan memungkinkan pemulihan cepat. Fleksibilitas ekosistem: Dengan ekosistem integrasi yang luas, Sophos XDR menyatu secara mulus ke berbagai tumpukan TI. Baik pelanggan menggunakan firewall, platform email, atau endpoint pihak ketiga, Sophos meningkatkan investasi yang sudah ada tanpa gangguan. Platform terbuka yang dirancang untuk mengoptimalkan dan menyatukan: Manfaatkan tampilan tunggal di seluruh ekosistem TI Anda dalam platform deteksi dan respons yang terpadu, dan fokuslah pada item prioritas tinggi, bukan pada peringatan yang bising dan tidak dapat ditindaklanjuti. Arsitektur terbuka dan ekstensibel kami memberikan visibilitas di seluruh permukaan serangan dengan mengintegrasikan informasi ancaman dari investasi keamanan Anda saat ini maupun mendatang. Integrasi Secureworks yang mengubah permainan Setelah akuisisi Secureworks pada Februari 2025, Sophos Endpoint kini terintegrasi secara native dan otomatis termasuk dalam langganan Taegis XDR dan MDR. Tonggak ini menghadirkan pencegahan, deteksi, dan respons dalam satu platform dengan biaya lisensi lebih rendah dan operasi yang lebih sederhana. Integrasi ini memperkuat perlindungan, mempercepat mitigasi ancaman, dan memastikan pelanggan memaksimalkan ROI sambil mempertahankan fleksibilitas. Validasi industri yang berarti Sophos XDR tidak hanya memimpin dalam inovasi; ia memperoleh kepercayaan dari berbagai pihak. Mulai dari analis hingga pengguna akhir, pengakuannya jelas: Sophos dinobatkan sebagai Leader dalam Gartner® Magic Quadrant™ untuk Endpoint Protection Platforms selama 16 laporan berturut-turut. Sophos dinobatkan sebagai Leader dalam 2025 Frost Radar™ untuk Managed Detection and Response. Sophos dinobatkan sebagai Gartner “Customers’ Choice” untuk EPP selama empat tahun berturut-turut, “Customers’ Choice” untuk MDR selama dua tahun berturut-turut, dan “Customers’ Choice” untuk XDR dalam versi perdana laporan tersebut. Sophos adalah SATU-SATUNYA vendor yang dinobatkan sebagai “Customers’ Choice” dalam EPP dan XDR. Sophos dinobatkan sebagai G2 Leader dalam Endpoint Protection, EDR, MDR, Firewall, dan XDR dalam Laporan Grid Musim Gugur 2025. Validasi yang konsisten ini memperkuat posisi Sophos sebagai mitra utama bagi organisasi yang mencari hasil keamanan yang terbukti dan berdampak tinggi. Apa selanjutnya: Membangun masa depan XDR Kami percaya dinobatkannya Sophos sebagai Leader dalam IDC MarketScape™ merupakan tonggak yang mencerminkan kemajuan kami. Ini juga menandai awal dari bab berikutnya: Integrasi penuh Taegis XDR ke dalam platform Sophos Central. Baca cuplikan IDC MarketScape™: Worldwide Extended Detection and Response (XDR) Software 2025 di sini. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan QFirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi Qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

HeartCrypt adalah layanan packer-as-a-service (PaaS) yang digunakan oleh banyak pelaku ancaman (bukan hanya satu grup) untuk menyamarkan malware di dalam aplikasi yang tampak sah. Packer ini memodifikasi file executable legal, menyuntikkan loader berbahaya, dan menyisipkan payload terenkripsi. Temuan Utama 1. Pola serangan yang konsisten Setiap sampel serangan yang dianalisis memiliki ciri yang sama: Malware berpura-pura menjadi aplikasi sah (CCleaner, PDF reader, NW.js, dan banyak lainnya) Loader berupa PIC (position-independent code) disuntikkan ke bagian .text Payload berbahaya ditanam sebagai resource tambahan (disamarkan sebagai BMP) Payload dienkripsi XOR dengan kunci yang mudah terlihat Payload biasanya RAT atau infostealer: Lumma Stealer, Rhadamanthys, AsyncRAT, AVKiller, dll. Distribusi melalui email phishing + file ZIP berpassword Google Drive / Dropbox Sophos menganalisis ribuan sampel dan hampir 1000 server C2. 2. Berbagai rantai infeksi di banyak negara HeartCrypt dipakai oleh banyak aktor, sehingga metode penyebaran bervariasi, tergantung negara: Contoh kasus: a. Italia — DLL sideloading + phishing Email berpura-pura sebagai pemberitahuan pelanggaran hak cipta File ZIP berisi: executable palsu DLL msimg32.dll berisi loader HeartCrypt PDF umpan (decoy) Payload: Lumma Stealer b. Kolombia — Email dengan ZIP berpassword Email tampak berasal dari Kejaksaan Kolombia Tautan tersembunyi berupa titik “.” ZIP berpassword 7771 disimpan di Google Drive Payload: AsyncRAT c. Italia lagi — LNK + PowerShell Shortcut LNK dengan ikon PDF tapi menjalankan PowerShell Mengunduh batch file & PDF umpan dari Dropbox Payload: Rhadamanthys Stealer 3. Cara kerja HeartCrypt di dalam file Modifikasi file executable Menyisipkan kode PIC ke .text Menambah resource palsu (bitmap) berisi shellcode Menggunakan ratusan instruksi junk (JMP/CALL) untuk obfuscation Anti-analisis / anti-emulator Memanggil DLL palsu yang tidak mungkin ada (k7rn7l32.dll) Mengakses fungsi kernel32 yang hanya ada di emulator Jika tes ini “berhasil”, loader berhenti — artinya ia mendeteksi sandboxes. Eksekusi payload Loader memakai API seperti: CreateProcessW VirtualAlloc NtCreateThreadEx CreateRemoteThread Payload terenkripsi XOR, dengan kunci berupa string ASCII berulang. Contoh kunci yang menunjukkan emosi/frustrasi pelaku: MENOLOVECROWDSTRIKE ANDREYISNOTHAPPEITE f*ckSsentinc 4. Persistensi HeartCrypt biasanya: Menyalin dirinya ke folder pengguna (Pictures, Videos, Documents) Memperbesar ukuran file dengan menambah 900MB padding Mendaftarkan autorun melalui registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 5. Payload yang sering ditemukan Payload HeartCrypt biasanya: Lumma Stealer Rhadamanthys AsyncRAT Redline Vidar AgentTesla Dan yang makin mengkhawatirkan: AVKiller DeveloperTest Ada satu payload bernama DeveloperTest — hanya menampilkan message box. Diduga dibuat developer HeartCrypt untuk menguji deteksi antivirus. Ini kemungkinan “awal mula” HeartCrypt. 6. Keterkaitan dengan ransomware HeartCrypt juga terlihat dalam insiden ransomware besar: a. Ransomhub Loader HeartCrypt menyebarkan AVKiller, lalu ransomware aktif Menargetkan produk ESET, Kaspersky, Sophos, Symantec Menggunakan driver bersertifikat palsu b. MedusaLocker HeartCrypt muncul sebelum eksekusi Medusa Diduga terkait eksploit zero-day ConnectWise & BeyondTrust 7. Negara-negara target Analisis nama file dan laporan lapangan menunjukkan target global: Kolombia (terbanyak) Italia Brasil Meksiko Peru Prancis Yunani Kazakhstan Korea Selatan Rusia Taiwan Ukraina Belanda Thailand Argentina …dan banyak lainnya. Nama file disesuaikan bahasa lokal untuk meningkatkan efektivitas phishing. 8. Kesimpulan Meskipun bukan PaaS baru, HeartCrypt masih sangat aktif dan semakin tersebar. Alasan keberhasilannya: Mudah dipakai penjahat cyber Bisa mengemas malware apa saja Menyamar menjadi ratusan aplikasi sah Teknik anti-analisis efektif Distribusi global melalui phishing yang tampak meyakinkan Sophos mendeteksi HeartCrypt sebagai Mal/HCrypt. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan QFirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi QFirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Seorang karyawan Sophos menjadi korban phishing — tetapi kami berhasil menangkis ancaman tersebut dengan proses pertahanan menyeluruh. Jika Anda bekerja di bidang keamanan siber, Anda mungkin sudah sering mendengar pepatah klasik tentang serangan siber: “Bukan soal jika, tetapi kapan.” Namun, mungkin ada cara berpikir yang lebih tepat: meskipun pelatihan, pengalaman, dan pemahaman terhadap teknik rekayasa sosial dapat membantu, siapa pun tetap bisa tertipu oleh jebakan yang dirancang dengan baik. Setiap orang — termasuk peneliti keamanan — memiliki kerentanan yang dapat dimanfaatkan, tergantung pada situasi, waktu, dan keadaan yang tepat. Perusahaan keamanan siber pun tidak kebal terhadap hal ini. Pada Maret 2025, seorang karyawan senior Sophos menjadi korban phishing dan tanpa sadar memasukkan kredensialnya ke halaman masuk palsu. Hal ini memungkinkan penyerang untuk melewati autentikasi multi-faktor (MFA) dan mencoba — namun gagal — menembus jaringan internal kami. Kami telah menerbitkan analisis akar penyebab eksternal (Root Cause Analysis / RCA) terkait insiden ini di Sophos Trust Center, yang menjelaskan detailnya secara mendalam. Namun, insiden tersebut juga memunculkan beberapa pelajaran menarik yang layak untuk dibagikan. 1. Ancaman Bypass MFA Semakin Umum Bypass MFA kini menjadi teknik yang makin sering digunakan. Seiring meluasnya penerapan autentikasi multi-faktor, para pelaku ancaman pun beradaptasi. Kini, beberapa framework phishing dan layanan phishing-as-a-service bahkan sudah dilengkapi dengan kemampuan untuk melewati MFA — hal ini semakin memperkuat argumen untuk memperluas adopsi passkey yang lebih aman. 2. Tujuan Kami Bukan Sekadar Mengklaim “Kami Aman” Kami membagikan insiden ini bukan untuk menyoroti bahwa kami berhasil menggagalkan serangan — karena itu memang bagian dari pekerjaan kami — tetapi karena insiden ini menjadi contoh yang baik tentang proses pertahanan menyeluruh dari ujung ke ujung, lengkap dengan sejumlah pelajaran penting yang bisa diterapkan siapa pun. 3. Tiga Kunci Utama Respons Kami: Kontrol, Kolaborasi, dan Budaya Kontrol Sistem keamanan kami dibangun dengan lapisan pertahanan berlapis (defense-in-depth) — tujuannya adalah menciptakan ketahanan terhadap kesalahan manusia atau kegagalan kontrol sebelumnya. Prinsip utamanya sederhana: ketika satu kontrol gagal, lapisan berikutnya akan mengambil alih, memberikan perlindungan di sepanjang rantai serangan siber (cyber kill chain). Dalam insiden ini, seperti dijelaskan dalam RCA, terdapat beberapa lapisan kontrol yang berperan — mulai dari keamanan email, MFA, Conditional Access Policy (CAP), manajemen perangkat, hingga pembatasan akun. Meski pelaku berhasil melewati sebagian lapisan, kontrol berikutnya segera aktif untuk menghentikan mereka. Namun, kami tidak berhenti di situ. Setelah ancaman berhasil digagalkan, kami melakukan investigasi mendalam, menganalisis kinerja setiap kontrol, dan meninjau penyebab bypass yang terjadi. Untuk kontrol yang berhasil bekerja, kami bertanya pada diri sendiri: “Bagaimana pelaku bisa mencoba melewati ini di masa depan?” — dan kemudian kami memperkuatnya. Kolaborasi Tim internal kami — mulai dari Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR), hingga tim IT internal — bekerja sama secara erat dalam mengeliminasi ancaman. Masing-masing tim berkontribusi sesuai keahliannya, berbagi data, temuan, dan wawasan secara real time. Kami juga terus memperkuat kemampuan pengumpulan intelijen dan mempercepat alur umpan balik — tidak hanya di dalam organisasi, tetapi juga bersama komunitas keamanan global. Kami percaya, intelijen yang dapat dioperasionalkan (dapat digunakan secara langsung untuk pertahanan) adalah kunci utama untuk melindungi ekosistem kami di masa depan. Walaupun kami merespons insiden ini dengan baik, selalu ada ruang untuk menjadi lebih baik lagi. Budaya Kami membangun budaya keamanan yang berfokus pada solusi, bukan kesalahan. Di Sophos, kami tidak menghukum atau menyalahkan karyawan yang tanpa sengaja mengklik tautan phishing. Dalam kasus ini, karyawan yang menjadi korban langsung melapor secara terbuka kepada rekan dan tim keamanan bahwa mereka telah tertipu. Dalam banyak organisasi lain, hal ini mungkin jarang terjadi karena rasa takut atau malu. Ada pula yang memilih diam dengan harapan masalah akan hilang dengan sendirinya — padahal hal itu justru memperburuk keadaan. Di Sophos, setiap orang — tanpa memandang jabatan atau senioritas — didorong untuk segera melapor jika mencurigai adanya aktivitas tidak biasa. Kami memahami bahwa siapa pun bisa tertipu oleh taktik rekayasa sosial pada waktu dan kondisi yang tepat. Sering kali dikatakan bahwa “manusia adalah mata rantai terlemah dalam keamanan.” Kami melihatnya berbeda: manusia juga garis pertahanan pertama. Mereka berperan penting dalam memberi tahu tim keamanan, memvalidasi peringatan otomatis, atau bahkan menjadi pihak pertama yang mendeteksi serangan ketika kontrol teknis belum bereaksi. Kesimpulan Penyerang berhasil menembus perimeter kami, namun kombinasi antara kontrol yang berlapis, kolaborasi antar tim, dan budaya keamanan yang sehat membuat mereka tidak bisa bergerak jauh sebelum kami menyingkirkan mereka sepenuhnya. Melalui tinjauan pasca-insiden yang kami lakukan, kami memperkuat postur keamanan kami untuk menghadapi serangan berikutnya dengan kesiapan lebih baik. Dengan membagikan pelajaran ini secara terbuka dan transparan, baik di sini maupun melalui RCA yang kami publikasikan, kami berharap organisasi lain juga dapat memperkuat pertahanannya — karena di dunia keamanan siber, kita semua belajar bersama. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!