Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Linux

Linux

CVE-2020-14386: Kerentanan Eskalasi Hak Istimewa di kernel Linux

by

Peneliti di perusahaan keamanan siber Palo Alto telah menemukan adanya kerentanan pada Linux kernel.

Dicatat sebagai CVE-2020-14386, adalah sebuah kerentanan kerusakan memori di kernel Linux. Kerentanan ini dapat digunakan untuk meningkatkan hak istimewa dari pengguna yang tidak memiliki hak menjadi pengguna root pada sistem Linux.

Masalah aritmatika yang menyebabkan kerusakan memori ini. Masalahnya terletak pada fungsi tpacket_rcv, yang terletak di (net/packet/af_packet.c).

Agar kerentanan dapat dipicu, ini memerlukan kernel untuk mengaktifkan soket AF_PACKET (CONFIG_PACKET = y) dan hak istimewa CAP_NET_RAW untuk proses pemicuan, yang dapat diperoleh dalam namespace pengguna tanpa hak jika namespace pengguna diaktifkan (CONFIG_USER_NS = y) dan dapat diakses oleh pengguna yang tidak memiliki hak istimewa.

Dan ternyata, daftar panjang batasan ini terpenuhi secara default di beberapa Linux distro, seperti Ubuntu.

Palo Alto telah merilis patch perbaikan untuk bug ini dan detail teknis yang dapat diakses pada tautan berikut:
Source: Palo Alto

Kaiji: Botnet Yang Menargetkan Server dan Perangkat IoT Melalui SSH

by

Intezer, sebuah perusahaan keamanan cyber, mengidentifikasi kampanye botnet baru yang berasal dari Cina dan menargetkan server berbasis linux dan perangkat IoT melalui SSH brute force.

Botnet yang diberi nama Kaiji ini, dibangun dari awal menggunakan bahasa pemrograman Golang, yang jarang ada di lanskap botnet IoT. Dan sama sekali tidak menggunakan kode atau modul dari Botnet terkenal lainnya.

“Ekosistem botnet Internet of things (IoT) relatif terdokumentasi dengan baik oleh spesialis keamanan, jarang ditemukan tool botnet yang ditulis dari awal.” kata Paul Litvak, seorang analis malware di Intezer, yang menganalisis kode tersebut dalam sebuah laporan yang diterbitkan hari Senin kemarin.

Ia juga mengatakan bahwa untuk saat ini, botnet tidak dapat menggunakan eksploit untuk menginfeksi perangkat yang tidak ditambal. Sebaliknya, botnet Kaiji mengeksekusi serangan brute-force terhadap perangkat IoT dan server Linux yang membiarkan port SSH mereka terbuka di internet.

Hanya akun “root” yang ditargetkan, kata Litvak. Alasannya adalah bahwa botnet memerlukan akses root ke perangkat yang terinfeksi untuk memanipulasi paket jaringan mentah untuk serangan DDoS yang ingin mereka lakukan, dan operasi lain yang ingin mereka lakukan.

Lebih lengkapnya dapat dibaca pada artikel di bawah ini:
Source: ZDNet | Intezer

Keamanan Linux: Grup Peretas Cina Mungkin Telah Mengompromikan Mesin Linux Yang Tak Terhitung Jumlahnya Sejak 2012

by

Menurut laporan baru dari tim penelitian dan intelijen BlackBerry, peretas tingkat lanjut yang bekerja untuk kepentingan Cina telah menyerang dan menargetkan sistem operasi Linux dengan banyak keberhasilan dan sedikit atau tanpa deteksi.

 

Mungkin banyak yang berfikir bahwa ini tidak terlalu bermasalah mengingat bahwa statistik terbaru menunjukkan Linux memegang 1,71% dari pangsa pasar sistem operasi desktop global dibandingkan dengan 77,1% untuk Windows. Sampai Anda menyadari bahwa faktanya Linux memberi daya pada 100% dari 500 superkomputer teratas dan, menurut penelitian BlackBerry, 75% dari semua server web dan penyedia layanan cloud utama menggunakan sistem operasi ini.

Penelitian baru ini menambah kekhawatiran itu, yang mengklaim bahwa upaya terpadu yang melibatkan lima kelompok ancaman persisten tingkat lanjut China (APT) telah difokuskan pada server Linux yang “terdiri dari tulang punggung mayoritas pusat data besar yang bertanggung jawab untuk beberapa operasi jaringan perusahaan yang paling sensitif.”

 

Apa yang para peneliti temukan adalah bukti dari perangkat malware Linux yang sebelumnya tidak terdokumentasi yang digunakan oleh para aktor ancaman ini. Toolset yang mencakup tidak kurang dari dua rootkit tingkat kernel dan tiga backdoors. Toolset yang dikonfirmasi oleh para peneliti, telah secara aktif digunakan sejak 13 Maret 2012.

Analisis Decade of RATs oleh para peneliti BlackBerry menautkan toolkit malware yang sebelumnya tidak dikenal ini dengan salah satu botnet Linux terbesar yang pernah ditemukan, dan menyimpulkan bahwa “sangat mungkin” bahwa jumlah organisasi yang terkena dampak sangat banyak dan “durasi infeksi yang panjang.”

 

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Forbes

Malware “Cloud Snooper” yang menyelinap ke server Linux

by

SophosLabs baru saja menerbitkan laporan tentang serangan malware yang dijuluki Cloud Snooper. Alasan untuk nama ini bukan karena serangan ini hanya terjadi pada cloud (teknik ini dapat digunakan terhadap hampir semua server, dimanapun ia di-host) namun nama itu diberikan karena dengan cara ini siber kriminal dapat membuka server Anda ke cloud, dengan cara yang pasti tidak Anda inginkan, “dari dalam ke luar”.

 

Pada Artikel kali ini, Tim Keamanan Sophos hanya akan membahas salah satu komponen di Cloud Snooper, komponen itu bernama snd_floppy. Itu adalah driver kernel Linux yang digunakan oleh penjahat Cloud Snooper sehingga mereka dapat mengirim instruksi perintah dan kontrol (C2) langsung ke jaringan Anda, namun tersembunyi di depan mata.

 

Driver snd_floppy menggunakan nilai numerik port TCP yang biasanya tidak penting untuk mengenali “sinyal rahasia” yang masuk dari luar firewall. Sumber port adalah apa yang menyisipkan pesan rahasia melalui firewall, dimana snd_floppy akan melakukan salah satu fungsi rahasianya berdasarkan nomor port, termasuk:

 

  • Mengekstrak dan meluncurkan program malware (Sumber port=6060)
  • Mengalihkan paket ini ke malware (Sumber port=7070)
  • Menghentikan dan menghapus malware yang sedang berjalan (Sumber port=9999)
  • Alihkan paket ini ke server SSH internal (Sumber port=1010)

 

Baca berita selengkapnya dan cara menangani malware ini pada tautan dibawah ini;

Source: Naked Security by Sophos | SophosLabs

Jutaan Sistem Windows Dan Linux Rentan Terhadap Serangan Cyber ‘Tersembunyi’ ini

by

Penelitian baru dari Eclypsium telah mengungkapkan bagaimana firmware yang tidak ditandatangani di kamera laptop, kartu antarmuka jaringan, trackpads, hub USB dan adaptor Wi-Fi membuat jutaan sistem terkena pencurian data dan serangan ransomware. 

 

Firmware yang tidak ditandatangani yang dimaksud ditemukan di periferal yang digunakan di komputer dari Dell, Lenovo dan HP serta produsen besar lainnya, yang membuat pengguna terbuka untuk diserang.

 

Inilah celah keamanan yang ditemukan oleh para peneliti Eclypsium, dan di mana:

  • Lenovo ThinkPad touchpad and trackpad
  • Kamera wide-vision HP di Spectre x360
  • Adaptor nirkabel Dell XPS 15 9560
  • Hub USB Linux dan chipset network interface card Broadcom

 

Klik pada tautan di bawah ini untuk mengetahui celah keamanan tersebut

Source: Forbes

Bug Sudo Memungkinkan Pengguna Non-Privileged Linux dan macOS Menjalankan Perintah sebagai Root

by

Joe Vennix dari tim keamanan Apple telah menemukan kerentanan penting dalam utilitas sudo, kerentanan tersebut dapat memungkinkan pengguna dengan privilege rendah atau program jahat untuk menjalankan perintah sewenang-wenang dengan hak administratif (‘root’) di sistem Linux atau macOS.

 

Sudo adalah salah satu utilitas paling penting, kuat, dan umum digunakan yang datang sebagai perintah inti yang sudah dipasang sebelumnya pada macOS dan hampir setiap sistem operasi berbasis UNIX atau Linux.

 

Kerentanan tersebut dilacak sebagai CVE-2019-18634 dan berasal dari masalah buffer overflow berbasis stack yang berada di versi Sudo sebelum 1.8.26. 

 

Menurut Vennix, kerentanan tersebut hanya dapat dieksploitasi ketika opsi “pwfeedback” diaktifkan di file konfigurasi sudoers, fitur yang memberikan umpan balik visual, tanda bintang (*), ketika pengguna memasukkan kata sandi di terminal. Ketika pwfeedback diaktifkan, kerentanan dapat dieksploitasi oleh pengguna mana pun, bahkan tanpa izin sudo.

 

Klik link dibawah ini untuk membaca berita selengkapnya

Source: The Hacker News

Kerentanan Pada Library OpenSMTPD Mempengaruhi distro BSD dan Linux

by

Peneliti keamanan telah menemukan kerentanan di dalam library inti yang berhubungan dengan email yang digunakan oleh banyak distribusi BSD dan Linux. Kerentanan tersebut berdampak pada OpenSMTPD, sebuah implementasi open-source dari protokol SMTP pada server.

 

Pada tingkat teknis, kerentanan tersebut adalah celah “eskalasi hak istimewa lokal” dan “eksekusi kode jarak jauh” yang dapat disalahgunakan untuk menjalankan kode dari jarak jauh pada server yang menggunakan klien OpenSMTPD. 

 

Pengembang OpenSMTPD telah mengkonfirmasi kerentanan tersebut dan telah merilis pada January 29, 2020 – OpenSMTPD versi 6.6.2p1. Administrator yang menggunakan OpenSMTPD pada server BSD dan Linux mereka disarankan untuk menerapkan tambalan secepatnya

 

Klik link dibawah untuk melihat berita selengkapnya.

Source: ZDNet