Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Open Source

Open Source

Undang-Undang Perangkat Lunak Sumber Terbuka Pengamanan AS tahun 2022 adalah langkah ke arah yang benar

by

Pemerintah AS telah bekerja dengan industri teknologi dan organisasi open source seperti Linux Foundation dan Open Source Security Foundation untuk menghasilkan sejumlah inisiatif dalam beberapa tahun terakhir.

Perintah Eksekutif Gedung Putih tentang Meningkatkan Keamanan Siber Negara tanpa diragukan lagi memulai inisiatif berikutnya dan menetapkan persyaratan bagi lembaga pemerintah untuk mengambil tindakan terhadap keamanan perangkat lunak dan, khususnya, keamanan sumber terbuka.

Pertemuan Gedung Putih yang penting dengan para pemimpin industri teknologi menghasilkan kelompok kerja yang aktif, dan hanya beberapa minggu kemudian, mereka mengeluarkan Rencana Mobilisasi Keamanan Perangkat Lunak Sumber Terbuka.

Rencana ini mencakup 10 aliran kerja dan anggaran yang dirancang untuk menangani area keamanan berprioritas tinggi dalam perangkat lunak sumber terbuka, mulai dari pelatihan dan tanda tangan digital, hingga tinjauan kode untuk proyek sumber terbuka teratas dan penerbitan tagihan perangkat lunak (SBOM).

Undang-undang tersebut secara langsung membahas tiga bidang fokus teratas untuk meningkatkan keamanan sumber terbuka: deteksi dan pengungkapan kerentanan, SBOM, dan OSPO.

Salah satu inisiatif pemerintah baru-baru ini mengenai keamanan open source adalah Secureing Open Source Software Act, undang-undang bipartisan oleh Senator AS Gary Peters, seorang Demokrat dari Michigan, dan Rob Portman, seorang Republikan dari Ohio.

Senator Peters dan Portman masing-masing adalah ketua dan anggota peringkat Komite Keamanan Dalam Negeri dan Urusan Pemerintah Senat. Mereka menghadiri audiensi Senat Log4j, dan kemudian memperkenalkan undang-undang ini untuk meningkatkan keamanan open source dan praktik terbaik di pemerintahan dengan menetapkan tugas direktur Cybersecurity and Infrastructure Security Agency (CISA).

Selengkapnya: Tech Crunch

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

by

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Backstage attack flow diagram (Oxeye)

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

ZINC mempersenjatai perangkat lunak sumber terbuka

by

Dalam beberapa bulan terakhir, Microsoft telah mendeteksi berbagai kampanye rekayasa sosial menggunakan perangkat lunak sumber terbuka sah yang dipersenjatai oleh aktor yang kami lacak sebagai ZINC. Microsoft Threat Intelligence Center (MSTIC) mengamati aktivitas yang menargetkan karyawan di organisasi di berbagai industri termasuk media, pertahanan dan kedirgantaraan, serta layanan TI di AS, Inggris, India, dan Rusia.

Berdasarkan afiliasi perdagangan, infrastruktur, perkakas, dan akun yang diamati, MSTIC mengaitkan kampanye ini dengan kepercayaan tinggi kepada ZINC, kelompok yang disponsori negara yang berbasis di Korea Utara dengan tujuan yang berfokus pada spionase, pencurian data, keuntungan finansial, dan penghancuran jaringan.

Mulai Juni 2022, ZINC menggunakan taktik rekayasa sosial tradisional dengan awalnya terhubung dengan individu di LinkedIn untuk membangun tingkat kepercayaan dengan target mereka. Setelah koneksi berhasil, ZINC mendorong komunikasi berkelanjutan melalui WhatsApp, yang bertindak sebagai sarana pengiriman untuk muatan berbahaya mereka.

MSTIC mengamati ZINC mempersenjatai berbagai perangkat lunak sumber terbuka termasuk Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording untuk serangan ini. ZINC terpantau mencoba bergerak ke samping dan mengekstrak informasi yang dikumpulkan dari jaringan korban. Para aktor telah berhasil berkompromi dengan banyak organisasi sejak Juni 2022.

Kampanye yang sedang berlangsung terkait dengan PuTTY yang dipersenjatai juga dilaporkan oleh Mandiant awal bulan ini. Karena banyaknya penggunaan platform dan perangkat lunak yang digunakan ZINC dalam kampanye ini, ZINC dapat menimbulkan ancaman signifikan bagi individu dan organisasi di berbagai sektor dan wilayah.

Selengkapnya: Microsoft

Google Memperluas Bug Bounty ke Proyek Open Source-nya

by

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

  • Kerentanan yang mengarah pada kompromi rantai pasokan
  • Masalah desain yang menyebabkan kerentanan produk
  • Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

Peneliti membuat eksploitasi untuk bug Magento yang kritis, saran pembaruan Adobe

by

Peneliti keamanan telah membuat kode eksploit untuk CVE-2022-24086, kerentanan kritis yang memengaruhi AdobeCommerce dan Magento Open Source yang ditambal oleh Adobe dalam pembaruan out-of-band Minggu lalu.

Kerentanan, yang dilihat Adobe sebagai “dieksploitasi di alam liar dalam serangan yang sangat terbatas,” menerima skor keparahan 9,8 dari 10 dan musuh yang mengeksploitasinya dapat mencapai eksekusi kode jarak jauh pada sistem yang terpengaruh tanpa perlu mengautentikasi.

Sebelumnya hari ini, Adobe memperbarui penasehat keamanannya untuk CVE-2022-24086 menambahkan masalah baru yang sekarang dilacak sebagai CVE-2022-24087, yang memiliki skor keparahan yang sama dan dapat menyebabkan hasil yang sama ketika dimanfaatkan dalam serangan.

Keduanya merupakan kerentanan Validasi Input yang Tidak Tepat dan perusahaan merilis tambalan untuk Adobe Commerce dan Magento Open Source untuk mengatasi dua masalah keamanan tersebut.

Dalam sebuah tweet hari ini, Tim Ofensif dari perusahaan keamanan siber Positive Technologies mengumumkan bahwa mereka menciptakan eksploitasi yang andal untuk CVE-2022-24086.

Para peneliti mengatakan kepada BleepingComputer bahwa penyerang yang memanfaatkan bug bisa mendapatkan “akses penuh ke sistem target dengan hak server web.”

Mereka memperingatkan bahwa mencoba memblokir upaya eksploitasi dengan menyiapkan firewall aplikasi web (WAF) bukanlah solusi yang andal karena ada banyak cara untuk memanfaatkan bug, “tanpa konstruksi spesifik dan tidak dapat dilepas dalam permintaan.”

Peneliti Positive Technologies memberi tahu kami bahwa mengembangkan “eksploitasi lengkap adalah tugas yang cukup sulit” jika detail teknis tidak tersedia. Namun, setelah hambatan ini dihilangkan, menyerang target yang rentan “cukup mudah dan sederhana.”

Toko online adalah target utama bagi peretas yang didorong secara finansial yang mengincar data kartu pembayaran, biasanya ditangkap oleh skimmer web – skrip berbahaya yang disuntikkan ke dalam formulir pembayaran.

Selain itu, seperti yang dicatat Adobe, beberapa pelaku ancaman sudah memanfaatkan CVE-2022-2408 dalam serangan terbatas. Menurut perkiraan para peneliti, ada lebih dari 17.000 situs web yang rentan, beberapa di antaranya dari “bisnis besar”.

Para peneliti mengatakan bahwa mereka tidak memiliki rencana untuk mempublikasikan kode eksploitasi proof-of concept (PoC) yang mereka buat atau untuk membagikannya secara pribadi dalam industri infosec.

Keputusan ini terutama dimotivasi oleh sejumlah besar situs web yang menjalankan produk Adobe Commerce dan Magento yang belum ditambal.

Sumber : Bleeping Computer

Bug kernel Linux berusia 15 tahun memungkinkan penyerang mendapatkan hak akses root

by

Tiga kerentanan yang ditemukan di subsistem iSCSI dari kernel Linux dapat memungkinkan penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

Bug keamanan ini hanya dapat dieksploitasi secara lokal, yang berarti bahwa penyerang potensial harus mendapatkan akses ke perangkat yang rentan dengan mengeksploitasi kerentanan lain atau menggunakan vektor serangan alternatif.

Peneliti GRIMM menemukan bug 15 tahun setelah diperkenalkan pada tahun 2006 selama tahap pengembangan awal subsistem kernel iSCSI.
Menurut peneliti keamanan GRIMM Adam Nichols, kelemahan tersebut mempengaruhi semua distribusi Linux, tetapi untungnya, modul kernel scsi_transport_iscsi yang rentan tidak dimuat secara default.
Namun, bergantung pada distribusi Linux yang mungkin ditargetkan penyerang, modul dapat dimuat dan dieksploitasi untuk eskalasi hak istimewa.

“Kernel Linux memuat modul baik karena perangkat keras baru terdeteksi atau karena fungsi kernel mendeteksi bahwa ada modul yang hilang,” kata Nichols.
“Kasus pemuatan otomatis implisit yang terakhir lebih mungkin untuk disalahgunakan dan dengan mudah dipicu oleh penyerang, memungkinkan mereka untuk meningkatkan permukaan serangan di kernel.”
Pada sistem CentOS 8, RHEL 8, dan Fedora, pengguna yang tidak memiliki hak istimewa dapat secara otomatis memuat modul yang diperlukan jika paket rdma-core diinstal, “tambah Nichols.
“Pada sistem Debian dan Ubuntu, paket rdma-core hanya akan secara otomatis memuat dua modul kernel yang diperlukan jika perangkat keras RDMA tersedia. Dengan demikian, cakupan kerentanannya jauh lebih terbatas.”

Penyerang dapat menyalahgunakan bug untuk melewati fitur keamanan yang memblokir eksploitasi seperti Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), dan Kernel Page-Table Isolation (KPTI).

Tiga kerentanan dapat menyebabkan peningkatan lokal hak istimewa, kebocoran informasi, dan penolakan layanan:

CVE-2021-27365: heap buffer overflow (Eskalasi Hak Istimewa Lokal, Kebocoran Informasi, Denial of Service)
CVE-2021-27363: kebocoran penunjuk kernel (Kebocoran Informasi)
CVE-2021-27364: pembacaan di luar batas (Kebocoran Informasi, Penolakan Layanan)

Ketiga kerentanan ditambal pada kernel versi 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260, dan tambalan tersedia di kernel Linux jalur utama pada 7 Maret. Tidak ada patch yang akan dirilis untuk versi kernel yang tidak didukung EOL seperti 3.x dan 2.6.23. kami sarankan untuk segera melakukan patch pada kernel anda.

Source : Bleeping Computer

Kritikus muncul setelah Github menghapus kode eksploitasi untuk kerentanan Exchange

by

Github telah memicu badai api setelah repositori berbagi kode milik Microsoft menghapus eksploitasi bukti konsep untuk kerentanan kritis di Microsoft Exchange yang telah menyebabkan sebanyak 100.000 infeksi server dalam beberapa minggu terakhir.

ProxyLogon adalah nama yang diberikan peneliti untuk empat kerentanan Exchange yang diserang di alam liar dan kode yang mengeksploitasinya. Para peneliti mengatakan bahwa Hafnium, sebuah grup peretas yang disponsori negara yang berbasis di China, mulai mengeksploitasi ProxyLogon pada bulan Januari, dan dalam beberapa minggu, lima APT lainnya — kependekan dari grup ancaman persisten tingkat lanjut — mengikutinya. Sampai saat ini, tidak kurang dari 10 APT telah menggunakan ProxyLogon untuk menargetkan server di seluruh dunia.

Pada hari Rabu, seorang peneliti menerbitkan apa yang diyakini sebagai eksploitasi bukti-konsep (PoC) pertama yang berfungsi untuk kerentanan. Berbasis di Vietnam, peneliti juga menerbitkan postingan di Medium yang menjelaskan cara kerja exploit. Dengan beberapa penyesuaian, peretas akan memiliki sebagian besar dari apa yang mereka butuhkan untuk meluncurkan RCE mereka sendiri di alam liar, kata keamanan untuk eksploitasi eksekusi kode jarak jauh.

Menerbitkan eksploitasi PoC untuk kerentanan yang ditambal adalah praktik standar di antara peneliti keamanan. Ini membantu mereka memahami cara kerja serangan sehingga mereka dapat membangun pertahanan yang lebih baik. Kerangka peretasan Metasploit open source menyediakan semua alat yang dibutuhkan untuk mengeksploitasi puluhan ribu eksploitasi yang ditambal dan digunakan oleh topi hitam dan topi putih.

Dalam beberapa jam setelah PoC ditayangkan, Github menghapusnya. Pada hari Kamis, beberapa peneliti mengomel tentang penghapusan tersebut. Kritikus menuduh Microsoft menyensor konten yang sangat penting bagi komunitas keamanan karena merugikan kepentingan Microsoft. Beberapa kritikus berjanji untuk menghapus sebagian besar karya mereka di Github sebagai tanggapan.

selengkapnya : Arstechnica

‘Kami menemukan bug jauh lebih cepat daripada yang dapat kami perbaiki’: Google mensponsori 2 pengembang penuh waktu untuk meningkatkan keamanan Linux

by

Khawatir tentang keamanan Linux dan kode open-source, Google mensponsori sepasang pengembang penuh waktu untuk mengerjakan keamanan kernel.

Raksasa internet membangun kode dari repositori sendiri daripada mengunduh binari luar, meskipun mengingat kecepatan di mana kode ditambahkan ke Linux, tugas ini tidak sepele. Pimpinan tim keamanan open-source Google Dan Lorenc berbicara dengan The Register tentang pendekatannya, dan mengapa ia tidak akan menggunakan biner yang sudah dibuat sebelumnya meskipun mereka nyaman.

Lorenc menjelaskan beberapa langkah yang diambil Google untuk memastikan keamanan kode open-source yang digunakannya secara internal, termasuk Linux. “Salah satu hal yang kami coba lakukan untuk open-source apa pun yang kami gunakan, dan sesuatu yang kami rekomendasikan untuk digunakan oleh siapa pun, adalah dapat membuatnya sendiri. Tidak mudah atau sepele untuk membangunnya, tetapi mengetahui bahwa Anda dapat melakukannya adalah setengah pertempuran, jika Anda perlu.

“Kami mengharuskan semua open source yang kami gunakan dibuat oleh kami, dari repositori internal kami, hanya untuk membuktikan bahwa kami bisa, jika kami perlu membuat tambalan, dan agar kami memiliki asal yang lebih baik, mengetahui dari mana asalnya. Secara teknis mereka adalah percabangan, tetapi hanya salinan dari repo [publik] yang kami terus perbarui. Kami jarang membawa tambalan dalam jangka panjang di salah satu proyek yang kami kerjakan, itu hanya mimpi buruk pemeliharaan, tetapi kami bisa jika kami bisa perlu.

selengkapnya : TheRegister