Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Security Patch

Security Patch

Apple Perbaiki Bug doorLock yang Dapat Menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan yang terus-menerus (DoS) yang dijuluki doorLock yang sama sekali akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS untuk menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari ini, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan menabrak perangkat iOS dan iPadOS yang terkena dampak ketika memproses nama aksesori HomeKit yang dibuat dengan jahat.

Apple telah mengatasi masalah kelelahan sumber daya yang parah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang lebih baik yang tidak lagi memungkinkan penyerang untuk menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan hari ini termasuk iPhone 6s dan yang lebih baru, iPad Pro (semua model), iPad Air 2 dan yang lebih baru, iPad generasi ke-5 dan yang lebih baru, iPad mini 4 dan yang lebih baru, dan iPod touch (generasi ke-7).

“Empat bulan lalu saya menemukan dan melaporkan penolakan serius terhadap bug layanan di iOS yang masih tetap dalam rilis terbaru. Ini berlanjut melalui reboot dan dapat memicu setelah pemulihan dalam kondisi tertentu, “Trevor Spiniolas, programmer dan “peneliti keamanan awal” yang melihat dan melaporkan bug.

“Semua persyaratan adalah pengaturan default. Ketika seseorang mengatur perangkat iOS mereka, semuanya sudah agar bug berfungsi. Jika mereka menerima undangan rumah berbahaya dari sana, perangkat mereka berhenti bekerja. ”

Perbaikan tertunda sejak Agustus

Menurut Spiniolas, Apple telah mengetahui tentang doorlock sejak Agustus 2021, tetapi mendorong pembaruan keamanan beberapa kali meskipun berulang kali berjanji untuk memperbaikinya.

“Saya percaya bug ini ditangani secara tidak tepat karena menimbulkan risiko serius bagi pengguna dan berbulan-bulan telah berlalu tanpa perbaikan yang komprehensif,” kata Spinolas.

“Masyarakat harus menyadari kerentanan ini dan bagaimana mencegahnya dieksploitasi, daripada disimpan dalam kegelapan.”

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan menipu target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan mengatur ulang perangkat yang dinonaktifkan, mengingat bahwa itu akan sekali lagi macet setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Patch zero-day juga tertunda

Pada bulan September, pengembang perangkat lunak Denis Tokarev juga menjatuhkan kode eksploitasi proof-of-concept untuk tiga kekurangan zero-day iOS di GitHub setelah Apple menunda patching dan gagal mengkreditnya ketika menambal yang keempat pada bulan Juli.

Satu bulan kemudian, dengan merilis iOS 15.0.2, Apple memperbaiki salah satu kerentanan ‘gamed’ zero-day yang dilaporkan oleh Tokarev.

Namun, Apple tidak mengakui atau memujinya atas penemuan itu dan juga memintanya untuk tetap diam dan tidak mengungkapkan kepada orang lain bahwa perusahaan gagal memberinya kredit untuk bug tersebut.

Peneliti keamanan lainnya dan pemburu hadiah bug juga telah melalui pengalaman serupa yang mengatakan bahwa mereka telah disimpan dalam kegelapan selama berbulan-bulan dengan Apple menolak untuk membalas pesan mereka.

Sumber: Bleepingcomputer

Pembaruan Windows 11 KB5009566 dirilis dengan perbaikan keamanan

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5009566 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug yang diketahui.

KB5009566 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Januari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan kumulatif hari ini dengan membuka Start > Settings > Windows Update dan klik’Check for Updates’.

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5009566 secara manual dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5009566, Windows 11 akan mengubah build number menjadi 22000.434.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft tidak memiliki banyak informasi tentang bug apa yang diperbaiki. Ini mungkin karena masih dalam periode liburan, dan semoga kita akan melihat daftar perbaikan yang lebih rinci dalam beberapa bulan mendatang.

Selengkapnya: Bleeping Computer

Microsoft January 2022 Patch Tuesday memperbaiki 6 zero-day, 97 kerentanan keamanan

by

Microsoft merilis Patch Tuesday bulan Januari 2022 yang memperbaiki enam kerentanan zero-day dan total 97 kerentanan.

Microsoft telah memperbaiki 97 kerentanan (tidak termasuk 29 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan sembilan diklasifikasikan sebagai Kritis dan 88 sebagai Penting.

Microsoft juga menyertakan perbaikan untuk enam kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak satupun dari mereka yang dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday Januari 2022 adalah:

  • CVE-2021-22947 – Open Source Curl Remote Code Execution Vulnerability
  • CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
  • CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability
  • CVE-2022-21836 – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability

Kerentanan Curl dan Libarchive telah diperbaiki oleh pengelolanya tetapi perbaikan tersebut tidak ditambahkan ke Windows hingga hari ini.

Namun, karena banyak dari zero-day ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna Windows disarankan untuk melakukan update sesegera mungkin.

Selengkapnya: Bleeping Computer

Pembaruan Keamanan WordPress 5.8.3 Memperbaiki Injeksi SQL, Kelemahan XSS

by

Tim pengembangan WordPress merilis versi 5.8.3, rilis keamanan siklus pendek yang membahas empat kerentanan, tiga di antaranya dinilai sangat penting.

Set termasuk injeksi SQL pada WP_Query, injeksi SQL buta melalui WP_Meta_Query, serangan XSS melalui siput pos, dan injeksi objek admin.

Semua masalah memiliki prasyarat untuk eksploitasi mereka, dan sebagian besar situs WordPress yang menggunakan pengaturan pembaruan inti otomatis default tidak dalam bahaya.

Namun, situs yang menggunakan WordPress 5.8.2 atau yang lebih lama, dengan sistem file read-only yang telah menonaktifkan pembaruan inti otomatis di wp-config.php, dapat rentan terhadap serangan berdasarkan kekurangan yang diidentifikasi.

Empat kelemahan yang dibahas dengan pembaruan keamanan terbaru adalah sebagai berikut:

  • CVE-2022-21661: Tingkat keparahan tinggi (skor CVSS 8.0) injeksi SQL melalui WP_Query. Kelemahan ini dapat dieksploitasi melalui plugin dan tema yang menggunakan WP-Query. Perbaikan mencakup versi WordPress hingga 3.7.37.
  • CVE-2022-21662: Tingkat keparahan tinggi (skor CVSS 8.0) kerentanan XSS yang memungkinkan penulis (pengguna hak istimewa yang lebih rendah) untuk menambahkan backdoor berbahaya atau mengambil alih situs dengan menyalahgunakan siput pos. Perbaikan mencakup versi WordPress hingga 3.7.37.
  • CVE-2022-21664: Tingkat keparahan tinggi (skor CVSS 7,4) injeksi SQL melalui kelas inti WP_Meta_Query. Perbaikan mencakup versi WordPress hingga 4.1.34.
  • CVE-2022-21663: Masalah injeksi objek tingkat keparahan sedang (skor CVSS 6,6) yang hanya dapat dieksploitasi jika aktor ancaman telah membahayakan akun admin. Perbaikan mencakup versi WordPress hingga 3.7.37.

Belum ada laporan tentang hal di atas yang berada di bawah eksploitasi aktif di alam liar, dan tidak satu pun dari kekurangan ini diperkirakan memiliki dampak potensial yang parah pada sebagian besar situs WordPress.

Meskipun demikian, disarankan agar semua pemilik situs WordPress meng-upgrade ke versi 5.8.3, meninjau konfigurasi firewall mereka, dan memastikan bahwa pembaruan inti WP diaktifkan.

Pengaturan ini dapat dilihat pada parameter ‘define’ dalam wp-config.php, yang harus “define (‘WP_AUTO_UPDATE_CORE’, true);”

Pembaruan inti otomatis diperkenalkan pada tahun 2013 di WordPress 3.7, dan menurut statistik resmi, hanya 0,7% dari semua situs WP yang saat ini menjalankan versi yang lebih tua dari itu.

Sumber: Bleepingcomputer

Pembaruan Google Chrome Mencakup 37 Perbaikan Keamanan

by

Google meluncurkan pembaruan untuk Chrome minggu ini di Windows, Mac dan Linux yang mencakup 37 perbaikan keamanan, salah satunya dinilai penting.

Prudhvikumar Bommana dari Google Chrome berterima kasih kepada puluhan peneliti keamanan karena telah membantu mereka menemukan bug, banyak di antaranya diberi peringkat keparahan yang tinggi.

Chrome 97.0.4692.71 termasuk perbaikan untuk CVE-2022-0096 – kerentanan use-after-free (UAF) kritis – serta UAF lainnya seperti CVE-2022-0098, CVE-2022-0099, CVE-2022-0103, CVE-2022-0105 dan CVE-2022-0106. Ada juga tiga masalah overflow penyangga tumpukan yang dinilai tingkat keparahannya tinggi.

Google tidak mengatakan apakah ada eksploitasi untuk salah satu kerentanan, tetapi CTO BreachQuest Jake Williams mengatakan dia tidak menyadari bahwa salah satu kerentanan ini dieksploitasi secara aktif di alam liar.

Sebagian besar pengguna rumahan akan menerima pembaruan secara otomatis, Williams menekankan. Tetapi dia menjelaskan bahwa pengguna perusahaan yang tidak memiliki izin administratif pada mesin mereka akan bergantung pada administrator sistem untuk mendorong pembaruan.

Pada bulan Oktober, Google memperbaiki dua kelemahan zero-day yang sebelumnya tidak diketahui dan tingkat keparahan tinggi dalam pembaruan Chrome untuk Windows, Mac, dan Linux. Eksploitasi untuk keduanya ditemukan di alam liar, menurut Google.

Google menambal setidaknya 14 zero-day pada tahun 2021.

CEO Viakoo Bud Broomhead mengatakan perlu dicatat bahwa rilis saluran yang stabil sekarang difokuskan untuk memperbaiki kerentanan cyber lebih dari memberikan fungsionalitas baru.

“Stable sekarang menjadi ‘cyber safe to use’ sebagai lawan dari ‘tidak akan merusak mesin Anda,’ perbedaan yang berarti dengan serangan kerentanan cyber,” kata Broomhead.

Sumber: ZDNet

Netgear Meninggalkan Kerentanan yang Tidak Ditambal di Router Nighthawk

by

Para peneliti telah menemukan setengah lusin kerentanan berisiko tinggi dalam versi firmware terbaru untuk router Netgear Nighthawk R6700v3. Pada saat penerbitan kekurangan tetap tidak ditampat.

Nighthawk R6700 adalah router WiFi dual-bank populer yang diiklankan dengan fitur yang berfokus pada game, kontrol orang tua yang cerdas, dan perangkat keras internal yang cukup kuat untuk mengakomodasi kebutuhan pengguna daya rumah.

Enam kekurangan ditemukan oleh para peneliti di perusahaan cybersecurity Tenable dan dapat memungkinkan penyerang di jaringan untuk mengambil kendali penuh atas perangkat:

  • CVE-2021-20173: Cacat injeksi perintah pasca-otentikasi dalam fungsi pembaruan perangkat, membuatnya rentan terhadap injeksi perintah.
  • CVE-2021-20174: HTTP digunakan secara default pada semua komunikasi antarmuka web perangkat, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
  • CVE-2021-20175: SOAP Interface (port 5000) menggunakan HTTP untuk berkomunikasi secara default, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
  • CVE-2021-23147: Eksekusi perintah sebagai root tanpa otentikasi melalui koneksi port UART. Mengeksploitasi cacat ini membutuhkan akses fisik ke perangkat.
  • CVE-2021-45732: Manipulasi konfigurasi melalui rutinitas enkripsi hardcoded, memungkinkan perubahan pengaturan yang terkunci karena alasan keamanan.
  • CVE-2021-45077: Semua nama pengguna dan kata sandi untuk layanan perangkat disimpan dalam bentuk plaintext dalam file konfigurasi.

Kekurangan yang baru-baru ini diungkapkan mempengaruhi firmware versi 1.0.4.120, yang merupakan rilis terbaru untuk perangkat.

Pengguna disarankan untuk mengubah kredensial default menjadi sesuatu yang unik dan kuat dan mengikuti praktik keamanan yang direkomendasikan untuk pertahanan yang lebih kuat terhadap infeksi malware.

Juga, periksa portal unduhan firmware Netgear secara teratur dan instal versi baru segera setelah tersedia. Mengaktifkan pembaruan otomatis pada router Anda juga disarankan.

Laporan keamanan saat ini mengacu pada Netgear R6700 v3, yang masih di bawah dukungan, bukan Netgear R6700 v1 dan R6700 v2, yang telah mencapai akhir kehidupan. Jika Anda masih menggunakan model yang lebih lama, disarankan untuk menggantinya.

Tenable mengungkapkan masalah di atas kepada vendor pada tanggal 30 September 2021, dan meskipun beberapa pertukaran informasi dalam bentuk klarifikasi dan saran terjadi sesudahnya, masalah tetap tidak terselesaikan.

Kami telah menghubungi Netgear untuk meminta komentar tentang hal di atas, dan kami akan menambahkan pembaruan ke cerita ini segera setelah kami mendengar kembali dari mereka.

Sumber: Bleepingcomputer

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

by

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Sumber: ZDNet

Selengkapnya: ZDNet

Microsoft Desember 2021 Patch Tuesday memperbaiki 6 zero-days, 67 kerentanan

by

Hari ini adalah Patch Tuesday Desember 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 67 kerentanan keamanan. Pembaruan ini mencakup perbaikan untuk kerentanan Installer Windows yang dieksploitasi secara aktif yang digunakan dalam kampanye distribusi malware.

Microsoft telah memperbaiki 55 kerentanan (tidak termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 60 sebagai Penting.

Jumlah setiap jenis kerentanan tercantum di bawah ini:

  • 21 Elevation of Privilege Vulnerabilities
  • 26 Remote Code Execution Vulnerabilities
  • 10 Information Disclosure Vulnerabilities
  • 3 Denial of Service Vulnerabilities
  • 7 Spoofing Vulnerabilities

Patch Tuesday kali ini juga mencakup perbaikan untuk enam kerentanan zero-day, dengan satu kerentanan Installer Windows AppX yang dieksploitasi secara aktif.

Kerentanan zero-day Installer Windows AppX yang dieksploitasi secara aktif dilacak sebagai CVE-2021-43890 dan digunakan dalam berbagai kampanye distribusi malware, termasuk Emotet, TrickBot, dan BazarLoader.

Kerentanan tersebut dapat dieksploitasi dari jarak jauh oleh aktor ancaman dengan hak pengguna rendah dalam serangan kompleksitas tinggi yang membutuhkan interaksi pengguna.

Untuk memblokir upaya eksploitasi, pengguna Windows harus menginstal Installer Desktop Microsoft yang ditambal untuk platform mereka:

Microsoft juga menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan termasuk mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Aplikasi Windows dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Selengkapnya: Bleeping Computer