Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Linux

Linux

Malware Siluman OrBit Mencuri Data dari Perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk diam-diam mencuri informasi dari sistem Linux backdoored dan menginfeksi semua proses yang berjalan di mesin.

Malware ini membajak library bersama untuk mencegat fungsi panggilan dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat memperoleh persistensi menggunakan dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan volatil saat disalin dalam shim-memory.

Hal itu juga dapat dikaitkan dengan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan ketekunan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang sedang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan memfilter apa yang dicatat.

Meskipun komponen pipet dan muatan OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware telah memperbarui produk mereka untuk memperingatkan pelanggan tentang keberadaannya.

“Malware ini mencuri informasi dari berbagai perintah dan kegunaan dan menyimpannya dalam file tertentu di mesin. Selain itu, ada penggunaan file yang luas untuk menyimpan data, sesuatu yang belum pernah terlihat sebelumnya,” tambah Fishbein.

“Apa yang membuat malware ini sangat menarik adalah pengait library pada mesin korban, yang memungkinkan malware untuk mendapatkan persistensi dan menghindari deteksi sambil mencuri informasi dan mengatur pintu belakang SSH.”

Sumber: BleepingComputer

Pixel 6 dan Galaxy S22 terpengaruh oleh kerentanan utama kernel Linux baru

by

Kerentanan besar telah ditemukan oleh peneliti keamanan dan mahasiswa PhD Northwestern Zhenpeng Lin, yang memengaruhi kernel pada Pixel 6 dan 6 Pro dan perangkat Android lainnya yang menjalankan versi kernel Linux berbasis 5.10 seperti seri Galaxy S22.

Peneliti mengklaim kerentanan tersebut dapat mengaktifkan akses read dan write, eskalasi hak istimewa, dan menonaktifkan perlindungan keamanan SELinux. Peneliti telah memverifikasi ke Android Police bahwa Google tidak diberitahu tentang kerentanan sebelum demonstrasi di Twitter.

Tak satu pun dari detail teknis yang tepat di balik cara kerja eksploit telah dirilis, tetapi video yang mengklaim menunjukkan eksploit yang digunakan pada Pixel 6 Pro mampu mencapai root dan menonaktifkan SELinux. Dengan alat seperti itu, aktor jahat bisa mendapatkan banyak kerusakan.

Berdasarkan beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam eksploitasi akses memori untuk melakukan hal itu, dan berpotensi seperti kerentanan Dirty Pipe baru-baru ini yang memengaruhi seri Galaxy S22, seri Pixel 6, dan beberapa perangkat lain yang diluncurkan dengan Kernel Linux versi 5.8 di Android 12 dan yang lebih baru.

Peneliti juga menyatakan bahwa semua ponsel yang menggunakan Kernel Linux v5.10 terpengaruh, yang telah mereka verifikasi termasuk seri Samsung Galaxy S22. Ini mungkin juga termasuk perangkat Android terbaru lainnya yang diluncurkan dengan Android 12.

Seringkali, peneliti keamanan menahan diri untuk tidak mengungkapkan secara terbuka detail apa pun terkait kerentanan dalam periode yang dikenal sebagai “pengungkapan kerentanan terkoordinasi”, di mana peneliti keamanan hanya mengungkapkan eksploitasi kepada publik sebagai upaya terakhir untuk melindungi pengguna akhir jika dan ketika upaya sebelumnya untuk mencapai perusahaan yang terlibat gagal.

Tahun lalu Google mengeluarkan $8,7 juta hadiah bug bounty, dan saat ini perusahaan mengatakan membayar hingga $250.000 untuk kerentanan tingkat kernel. Kerentanan bahkan mungkin memenuhi syarat untuk kategori hadiah terpisah lainnya, tetapi mengungkapkan kerentanan secara publik sebelum melaporkannya ke Google dapat memengaruhi semua itu.

Keadaan ditinjau berdasarkan kasus per kasus, tetapi aturan yang dipublikasikan terdengar seperti mengungkapkan kerentanan di Twitter dapat menghalangi penghargaan tipikal meskipun video tidak sepenuhnya menjelaskan cara kerja kerentanan. Google akhirnya memiliki keputusan terakhir, dan sebagian besar peneliti tampaknya melakukan kesalahan di sisi kehati-hatian, menahan pengungkapan publik sampai nanti.

Lin memberi tahu kami bahwa dia yakin demonstrasinya hanyalah bukti konsep yang dimaksudkan untuk memperingatkan pengguna akhir sebelum ditambal, sehingga mereka dapat mencoba melindungi diri mereka sendiri (meskipun metode untuk perlindungan itu belum ditawarkan), dan tidak akan merupakan pelanggaran aturan pengungkapan Google.

Sumber: Android Police

Malware OrBit siluman baru mencuri data dari perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk mencuri informasi secara diam-diam dari sistem Linux backdoor dan menginfeksi semua proses yang berjalan di mesin.

Dijuluki OrBit oleh peneliti keamanan Intezer Labs yang pertama kali melihatnya, malware ini membajak pustaka bersama untuk mencegat panggilan fungsi dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan yang mudah menguap saat disalin dalam memori-shim.

Itu juga dapat menghubungkan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan kegigihan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan menyaring apa yang dicatat.

Meskipun komponen dropper dan payload OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware sejak itu memperbarui produk mereka untuk memperingatkan pelanggan akan keberadaannya.

Payload OrBit tidak terdeteksi di VirusTotal (Intezer Labs)

OrBit bukan malware Linux pertama yang sangat mengelak yang muncul baru-baru ini, yang mampu menggunakan pendekatan serupa untuk sepenuhnya berkompromi dan perangkat backdoor.

Symbiote juga menggunakan direktif LD_PRELOAD untuk memuat dirinya sendiri ke dalam proses yang berjalan, bertindak sebagai parasit di seluruh sistem dan tidak meninggalkan tanda-tanda infeksi.

BPPFDoor, malware lain yang baru-baru ini terlihat menargetkan sistem Linux, menyamarkan dirinya dengan menggunakan nama-nama daemon Linux umum, yang membantunya tetap tidak terdeteksi selama lebih dari lima tahun.

Kedua jenis ini menggunakan fungsi pengait BPF (Berkeley Packet Filter) untuk memantau dan memanipulasi lalu lintas jaringan yang membantu menyembunyikan saluran komunikasi mereka dari alat keamanan.

Malware Linux ketiga, rootkit dalam pengembangan berat yang dijuluki Syslogk dan diluncurkan oleh peneliti Avast bulan lalu, dapat memuat modulnya sendiri secara paksa ke dalam kernel Linux, mesin backdoor yang disusupi, dan menyembunyikan direktori dan lalu lintas jaringan untuk menghindari deteksi.

Meskipun bukan jenis malware pertama atau paling orisinal yang menargetkan Linux akhir-akhir ini, OrBit masih hadir dengan bagian kemampuannya yang membedakannya dari ancaman lainnya.

Sumber: Bleeping Computer

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

by

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer

Botnet peer-to-peer baru menginfeksi server Linux dengan cryptominers

by

Botnet peer-to-peer baru bernama Panchan muncul di alam liar sekitar Maret 2022, menargetkan server Linux di sektor pendidikan untuk menambang cryptocurrency.

Panchan diberdayakan dengan fungsi cacing SSH seperti serangan kamus dan penyalahgunaan kunci SSH untuk melakukan gerakan lateral yang cepat ke mesin yang tersedia di jaringan yang disusupi.

Pada saat yang sama, ia memiliki kemampuan penghindaran deteksi yang kuat, seperti menggunakan penambang yang dipetakan dengan memori dan secara dinamis mendeteksi pemantauan proses untuk segera menghentikan modul penambangan.

Menurut Akamai, aktor ancaman di balik proyek baru ini kemungkinan besar adalah orang Jepang. Panchan ditulis dalam Golang, bahasa pemrograman serbaguna yang memudahkan untuk menargetkan arsitektur sistem yang berbeda.

Itu menginfeksi host baru dengan mencari dan menggunakan kunci SSH yang ada atau nama pengguna dan kata sandi yang memaksa. Setelah sukses pada tahap ini, ia membuat folder tersembunyi untuk menyembunyikan dirinya di dalam dengan nama “xinetd.”

Terakhir, malware mengeksekusi biner dan memulai operasi HTTPS POST ke webhook Discord, yang kemungkinan digunakan untuk memantau korban.

Untuk membangun kegigihan, malware menyalin dirinya sendiri ke “/bin/systemd-worker” dan membuat layanan systemd baru untuk diluncurkan setelah reboot sambil menyamar sebagai layanan sistem yang sah.

Komunikasi antara botnet dan C2 tidak dienkripsi dan menggunakan port TCP 1919. Konfigurasi yang dikirim ke malware menyangkut konfigurasi penambang atau memperbarui daftar rekan.

Malware ini juga memiliki fitur “godmode”, panel admin yang dapat diakses menggunakan kunci pribadi yang hanya dimiliki oleh musuh.

Akamai memodifikasi program untuk menghapus ukuran keamanan ini dan menemukan bahwa panel admin menampilkan gambaran umum konfigurasi, status host, statistik rekan, dan pengaturan penambang, sementara itu juga memberikan opsi pembaruan kepada operator.

Salam panel admin dengan konfigurasi saat ini (Akamai)

Binari penambang, xmrig dan nbhash, tidak memiliki file, diterjemahkan dari bentuk base64 dan dieksekusi selama runtime di memori, sehingga tidak pernah menyentuh disk.

Panchan menggunakan NiceHash untuk kolam penambangan dan dompetnya, jadi analis Akamai tidak dapat melacak transaksi atau memperkirakan ukuran operasi penambangan, keuntungan, dll., karena mereka tidak berada di blockchain publik.

Malware ini juga dilengkapi sistem anti-pembunuhan yang mendeteksi sinyal penghentian proses dan mengabaikannya kecuali SIGKILL yang tidak ditangani.

Akamai merekayasa balik malware untuk memetakannya dan menemukan 209 sistem yang disusupi, 40 di antaranya saat ini aktif.

Peta panas rekan/korban Panchan (Akamai)

Sebagian besar korban berada di sektor pendidikan, mungkin karena cocok dengan metode penyebaran Panchan dan membuat pertumbuhannya lebih cepat.

Kebersihan kata sandi yang buruk dan pembagian kunci SSH yang berlebihan untuk mengakomodasi kolaborasi penelitian akademis internasional menciptakan kondisi ideal bagi botnet untuk berkembang biak.

Hipotesis ini selanjutnya didukung oleh temuan kelompok universitas yang terinfeksi di Spanyol, Taiwan, dan Hong Kong.

Dampaknya berkaitan dengan pembajakan sumber daya, yang di lembaga pendidikan dapat menghambat pekerjaan penelitian atau mengganggu penyediaan berbagai layanan publik.

Untuk mencegah jenis serangan ini, Akamai menyarankan agar target potensial menggunakan kata sandi yang rumit, menambahkan MFA di semua akun, membatasi akses SSH, dan terus memantau aktivitas sumber daya VM.

Sumber: Bleeping Computer

Rootkit Syslogk Linux baru menggunakan paket ajaib untuk memicu Backdoor

by

Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.

Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.

Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’

Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.

Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.

Antarmuka Syslogk yang terbuka (Avast)

Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.

Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.

Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.

Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.

Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.

Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.

Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.

Memunculkan shell root pada host (Avast)

Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.

Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.

Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.

Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.

Sumber: Bleeping Computer

Pengguna Ubuntu Dapatkan Pembaruan Kernel Linux Besar-besaran, 35 Kerentanan Keamanan Ditambal

by

Pembaruan keamanan kernel Linux baru datang sekitar dua minggu setelah pembaruan sebelumnya, yang merupakan pembaruan kecil yang hanya menambal tiga kelemahan keamanan, dan tersedia untuk semua rilis Ubuntu yang didukung, termasuk Ubuntu 22.04 LTS (Jammy Jellyfish), Ubuntu 21.10 (Impish Indri), Ubuntu 20.04 LTS (Focal Fossa), Ubuntu 18.04 LTS (Bionic Beaver), serta rilis Ubuntu 16.04 dan 14.04 ESM.

Ada lebih dari 30 kerentanan keamanan yang ditambal dalam pembaruan kernel Ubuntu besar-besaran ini. Salah satunya adalah CVE-2022-1966, kerentanan penggunaan setelah bebas yang ditemukan oleh Aaron Adams di subsistem netfilter yang dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengeksekusi kode arbitrer, serta seperti CVE-2022-21499, kelemahan kernel yang memungkinkan penyerang dengan hak istimewa untuk melewati batasan UEFI Secure Boot, dan CVE-2022-28390, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka EMS CAN/USB, yang memungkinkan penyerang lokal menyebabkan penolakan layanan (kelelahan memori).

Kerentanan tersebut mempengaruhi kernel sistem Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS, dan Ubuntu 18.04 LTS, patch keamanan kernel Linux yang baru juga membahas CVE-2022-1158, sebuah kelemahan yang ditemukan oleh Qiuhao Li, Gaoning Pan, dan Yongkang Jia di Implementasi KVM, yang memungkinkan penyerang di VM tamu membuat crash OS host.

Kerentanan keamanan umum lainnya yang ditambal dalam pembaruan besar-besaran ini adalah CVE-2022-1972, masalah keamanan yang memengaruhi sistem Ubuntu 22.04 LTS yang menjalankan kernel Linux 5.15 LTS, serta sistem Ubuntu 21.10 dan Ubuntu 20.04 LTS yang menjalankan kernel Linux 5.13, ditemukan oleh Ziming Zhang di subsistem netfilter, dan CVE-2022-24958, kerentanan penggunaan setelah bebas yang ditemukan di antarmuka sistem file Gadget USB dan memengaruhi kernel Linux 5.13 dari sistem Ubuntu 21.10 dan 20.04 LTS, serta kernel Linux 5.4 LTS dari Ubuntu 20,04 LTS dan 18,04 LTS sistem. Kedua kelemahan ini dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengeksekusi kode arbitrer.

Hal yang sama berlaku untuk CVE-2022-28356, kerentanan keamanan yang ditemukan oleh di driver 802.2 LLC tipe 2 kernel Linux, CVE-2022-28389, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka Microchip CAN BUS Analyzer, CVE-2022- 1198, kerentanan penggunaan setelah bebas yang ditemukan oleh Duoming Zhou dalam implementasi protokol 6pack, CVE-2022-1516, kelemahan yang ditemukan dalam implementasi protokol jaringan X.25, dan CVE-2022-1353, masalah keamanan yang ditemukan di implementasi PF_KEYv2. Masalah ini memengaruhi kernel sistem Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, dan Ubuntu 18.04 LTS dan dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengekspos informasi sensitif (memori kernel).

Kerentanan keamanan umum lainnya yang ditambal dalam pembaruan kernel Ubuntu baru ini, kali ini memengaruhi kernel sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS, adalah CVE-2021-3772, sebuah kelemahan yang ditemukan dalam implementasi protokol SCTP kernel Linux yang memungkinkan penyerang jarak jauh untuk menyebabkan penolakan layanan (disassociation koneksi).

Hanya untuk sistem Ubuntu 22.04 LTS yang menjalankan kernel Linux 5.15 LTS, pembaruan keamanan baru mengatasi 10 kerentanan lainnya, termasuk CVE-2022-1671, cacat yang ditemukan dalam implementasi soket sesi RxRPC yang memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem ) atau mungkin mengekspos informasi sensitif (memori kernel), CVE-2022-1204, CVE-2022-1205, dan CVE-2022-1199, tiga kelemahan yang ditemukan oleh Duoming Zhou dalam implementasi protokol radio amatir AX.25 yang memungkinkan lokal penyerang menyebabkan penolakan layanan (kerusakan sistem), serta CVE-2022-1263, masalah keamanan KVM yang ditemukan oleh Qiuhao Li, Gaoning Pan, dan Yongkang Jia yang dapat memungkinkan penyerang lokal di VM tamu merusak host sistem.

Juga ditambal di kernel Linux 5.15 LTS dari sistem Ubuntu 22.04 LTS adalah CVE-2022-28388, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka 8 Perangkat USB2CAN, CVE-2022-1651, cacat yang ditemukan dalam implementasi ACRN Hypervisor Service Module , CVE-2022-1048, beberapa kondisi balapan yang ditemukan oleh Hu Jiahui dalam kerangka kerja ALSA, CVE-2022-0168, sebuah cacat yang ditemukan oleh Billy Jheng Bing dalam implementasi sistem file jaringan CIFS, dan CVE-2022-1195, penggunaan- kerentanan after-free ditemukan dalam implementasi protokol 6pack dan mkiss. Masalah keamanan ini dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (sistem crash atau kehabisan memori) atau mungkin mengeksekusi kode arbitrer.

Hanya untuk sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS yang menjalankan kernel Linux 5.4 LTS, pembaruan keamanan baru membahas 10 kerentanan lainnya, termasuk CVE-2022-23036, CVE-2022-23037, CVE-2022-23038,
CVE-2022-23039, CVE-2022-23040, CVE-2022-23041, dan CVE-2022-23042, serangkaian kelemahan yang ditemukan di beberapa frontend perangkat para-virtualisasi Xen oleh Demi Marie Obenour dan Simon Gaiser, yang dapat memungkinkan penyerang untuk mendapatkan akses ke halaman memori VM tamu atau menyebabkan penolakan layanan pada tamu dengan menggunakan backend Xen yang berbahaya.

Juga ditambal di kernel Linux 5.4 LTS dari sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS adalah CVE-2022-1011, kerentanan penggunaan-setelah-bebas yang ditemukan oleh Jann Horn Google Project Zero dalam implementasi sistem file FUSE, yang dapat memungkinkan lokal penyerang menyebabkan penolakan layanan (kerusakan sistem) atau mungkin mengeksekusi kode arbitrer, CVE-2021-4197, masalah keamanan yang ditemukan oleh Eric Biederman dalam implementasi migrasi proses cgroup, yang memungkinkan penyerang lokal mendapatkan hak administratif, dan CVE -2022-26966, sebuah cacat ditemukan pada driver perangkat ethernet USB SR9700 yang dapat memungkinkan penyerang terdekat secara fisik untuk mengekspos informasi sensitif (memori kernel).

Last but not least, pembaruan kernel Ubuntu besar-besaran baru ini memperbaiki tiga kerentanan keamanan lain yang mempengaruhi kernel Linux 4.15 dari sistem Ubuntu 18.04 LTS. Ini adalah CVE-2022-1016, masalah keamanan yang ditemukan oleh David Bouman di subsistem netfilter yang memungkinkan penyerang lokal untuk mengekspos informasi sensitif (memori kernel), CVE-2021-4149, masalah keamanan yang ditemukan dalam implementasi sistem file Btrfs memungkinkan lokal
penyerang menyebabkan penolakan layanan (kernel deadlock), serta CVE-2022-1419, kondisi balapan yang ditemukan dalam implementasi manajer memori grafis virtual yang berpotensi menyebabkan kebocoran informasi.

Canonical mendesak semua pengguna Ubuntu untuk memperbarui instalasi mereka ke versi kernel baru (linux-image 5.15.0.37.39 untuk Ubuntu 22.04 LTS, linux-image 5.13.0.48.56 untuk Ubuntu 21.10 dan 20.04.4 LTS, linux-image 5.4. 0.117.120 untuk Ubuntu 20.04 LTS, linux-image 5.4.0-117.132~18.04.1 untuk Ubuntu 18.04.6 LTS, serta linux-image 4.15.0.184.172 untuk Ubuntu 18.04 LTS), sesegera mungkin dengan menggunakan utilitas Pembaruan Perangkat Lunak atau dengan menjalankan perintah sudo apt update && sudo apt full-upgrade di aplikasi Terminal. Reboot sistem diperlukan setelah menginstal versi kernel baru!

Sumber: 9to5linuX