Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Security Patch

Security Patch

Pembaruan force-install QNAP setelah ransomware DeadBolt mencapai 3.600 perangkat

by

QNAP memaksa-update perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi terhadap ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 perangkat.

Pada hari Selasa, BleepingComputer melaporkan operasi ransomware baru bernama DeadBolt yang mengenkripsi perangkat QNAP NAS yang terpapar internet di seluruh dunia.

Aktor ancaman mengklaim menggunakan kerentanan zero-day untuk meretas perangkat QNAP dan mengenkripsi file menggunakan ransomware DeadBolt, yang menambahkan ekstensi .deadbolt ke nama file.

Ransomware juga akan menggantikan halaman login HTML biasa dengan catatan tebusan yang menuntut 0,03 bitcoin, senilai sekitar $ 1.100, untuk menerima kunci dekripsi dan memulihkan data.

Geng ransomware DeadBolt juga mencoba menjual rincian lengkap dari dugaan kerentanan zero-day ke QNAP untuk 5 Bitcoin, senilai $ 185.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi semua korban yang terkena dampak dan memberikan informasi tentang dugaan zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

Meskipun tidak mungkin QNAP akan memberikan permintaan pemerasan, banyak pengguna dalam topik forum dukungan DeadBolt kami telah melaporkan berhasil membayar ransomware untuk memulihkan file mereka.

QNAP memaksa-update firmware pada perangkat NAS

Keesokan harinya, QNAP mulai memperingatkan pelanggan untuk mengamankan perangkat NAS mereka yang terpapar Internet terhadap DeadBolt dengan memperbarui ke versi perangkat lunak QTS terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.

Malam itu, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.

Pembaruan ini juga mencakup banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang tidak mungkin terkait dengan serangan ini.

Pemilik QNAP dan admin TI mengatakan kepada BleepingComputer bahwa QNAP memaksa pembaruan firmware ini pada perangkat bahkan jika pembaruan otomatis dinonaktifkan.

Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.

“Hanya berpikir saya akan memberikan semua orang kepala-up. Beberapa QNAPS kami kehilangan koneksi ISCSI tadi malam. Setelah seharian bermain-main dan menarik rambut kami keluar, kami akhirnya menemukan itu karena pembaruan. Itu belum melakukannya untuk semua QNAPs yang kami kelola tetapi kami akhirnya menemukan resolusinya,” kata seorang pemilik QNAP di Reddit.

“Dalam “Storage &Snapshots > ISCSI &Fiber Channel” klik kanan pada Alias Anda (IQN) pilih “Ubah Portal Jaringan >” dan pilih adaptor yang Anda gunakan untuk ISCSI.

Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus ransomware executable dan layar tebusan yang digunakan untuk memulai dekripsi. Hal ini mencegah mereka dari melanjutkan proses dekripsi setelah perangkat selesai memperbarui.

“Biasanya saya bertanya apakah saya ingin memperbarui, tetapi sekarang itu tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat ke dalam menu, itu bertanya kepada saya apakah saya ingin memulai ulang sekarang untuk pembaruan untuk diselesaikan, “seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.

“Saya menekan TIDAK tetapi mengabaikan saya dan mulai menutup semua aplikasi untuk memulai ulang.”

Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.

Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt ketika QNAP awalnya mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.

Salah satu kemungkinan adalah bahwa kerentanan yang lebih tua di QTS disalahgunakan untuk melanggar perangkat QNAP dan menginstal DeadBolt dan bahwa upgrade ke firmware ini patch kerentanan.

Pembaruan paksa datang terlambat

Sayangnya, langkah QNAP mungkin sudah terlambat karena peneliti keamanan CronUP dan anggota Intel Curated Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.

Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS dienkripsi oleh DeadBolt. Censys, meskipun, melukiskan gambar yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini.

Baik Shodan dan Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.

Untuk membuat keadaan menjadi lebih buruk, pemilik QNAP NAS sudah ditargetkan oleh operasi ransomware lainnya bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.

Sumber: Bleepingcomputer

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day baru yang dieksploitasi untuk meretas macOS, perangkat iOS

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day. Patch zero-day pertama hari ini (dilacak sebagai CVE-2022-22587) [1, 2] adalah bug kerusakan memori di IOMobileFrameBuffer yang memengaruhi iOS, iPadOS, dan macOS Monterey.

Eksploitasi bug ini yang berhasil menyebabkan eksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang disusupi.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • macOS Monterey

Bug tersebut ditemukan oleh peneliti anonim, Meysam Firouzi (@R00tkitSMM) dari MBition – Mercedes-Benz Innovation Lab, dan Siddharth Aeri (@b1n4r1b01).

Firouzi dan Aeri mengatakan bahwa mereka berdua menemukan bug secara independen dan tidak menyadari bahwa pelaku ancaman mengeksploitasinya di alam liar.

Zero-day kedua adalah bug Safari WebKit di iOS dan iPadOS yang memungkinkan situs web melacak aktivitas penelusuran Anda dan identitas pengguna secara real-time.

Bug tersebut pertama kali diungkapkan ke Apple oleh Martin Bajanik dari FingerprintJS pada 28 November 2021, dan diungkapkan secara publik pada 14 Januari 2022. Setelah peneliti mengungkapkan bug tersebut, bug tersebut ditetapkan pada CVE-2022-22594 dan diperbaiki di iOS 15.3 dan hari ini. Pembaruan keamanan iPadOS 15.3.

Namun, Apple memperbaiki apa yang terasa seperti aliran bug zero-day yang tidak pernah berakhir pada tahun 2021 yang digunakan dalam serangan terhadap perangkat iOS dan macOS.

Bug ini mencakup banyak kerentanan zero-day yang digunakan untuk menginstal spyware Pegasus di iPhone jurnalis, aktivis, dan politisi.

Sumber : Bleeping Computer

VMware: Patch Server Horizon Terhadap Serangan Log4j yang Sedang Berlangsung!

by

VMware mendesak pelanggan untuk menambal kerentanan keamanan Log4j kritis yang berdampak pada server VMware Horizon yang terpapar internet yang ditargetkan dalam serangan yang sedang berlangsung.

Setelah eksploitasi yang berhasil, aktor ancaman menyebarkan cangkang web khusus ke dalam layanan VM Blast Secure Gateway untuk mendapatkan akses ke jaringan organisasi, menurut laporan NHS Digital baru-baru ini tentang sistem VMware Horizon yang diserang dengan eksploitasi Log4Shell.

Hal ini memungkinkan mereka untuk melakukan berbagai kegiatan berbahaya, termasuk exfiltration data dan penyebaran payload malware tambahan seperti ransomware.

Microsoft juga memperingatkan dua minggu lalu tentang aktor ancaman berbahasa China yang dilacak sebagai DEV-0401 yang menyebarkan ransomware Night Sky di server VMware Horizon yang terpapar internet menggunakan eksploitasi Log4Shell.

Dalam sebuah email ke Bleeping Computer hari ini, VMware mengatakan mereka sangat mendesak pelanggan untuk menambal server Horizon mereka untuk bertahan melawan serangan aktif ini.

“Bahkan dengan Peringatan Keamanan VMware dan upaya berkelanjutan untuk menghubungi pelanggan secara langsung, kami terus melihat bahwa beberapa perusahaan belum ditambal,” kerry Tuttle, Manajer Komunikasi Korporat VMware, mengatakan kepada BleepingComputer.

“Produk VMware Horizon rentan terhadap kerentanan Apache Log4j / Log4Shell yang kritis kecuali ditambal atau dikurangi dengan benar menggunakan informasi yang diberikan dalam penasihat keamanan kami, VMSA 2021-0028, yang pertama kali diterbitkan pada 10 Desember 2021, dan diperbarui secara teratur dengan informasi baru.”

“Pelanggan yang belum menerapkan patch atau solusi terbaru yang disediakan penasihat keamanan VMware berisiko dikompromikan – atau mungkin telah dikompromikan – oleh aktor ancaman yang memanfaatkan kerentanan Apache Log4shell untuk secara aktif mengkompromikan lingkungan Horizon yang tidak ditambal dan menghadap internet.”

Admin memperingatkan untuk tidak lengah

Seruan VMware untuk bertindak mengikuti peringatan serupa yang dikeluarkan pekan lalu oleh Pusat Cybersecurity Nasional Belanda (NCSC), mendesak organisasi Belanda untuk tetap waspada dalam menghadapi ancaman yang sedang berlangsung yang diwakili oleh serangan Log4j.

Badan pemerintah Belanda memperingatkan bahwa aktor jahat akan terus mencari server yang rentan yang dapat mereka langgar dalam serangan yang ditargetkan dan meminta organisasi untuk menerapkan pembaruan keamanan Atau tindakan mitigasi jika diperlukan.

Menurut Shodan, ada puluhan ribu server VMware Horizon yang terpapar internet, yang semuanya perlu ditambal terhadap upaya eksploitasi Log4j.

“VMware sangat menyarankan agar pelanggan mengunjungi VMSA-2021-0028 dan menerapkan panduan untuk Horizon. VMware memprioritaskan keamanan pelanggan kami karena kami terus menanggapi dampak industri dari kerentanan Apache Log4j.”

Sumber: Bleepingcomputer

Server Dark Souls Diturunkan untuk Mencegah Peretasan Menggunakan Bug Kritis

by

Bandai Namco telah menonaktifkan mode PvP online untuk game role-playing Dark Souls, mengambil servernya secara offline untuk menyelidiki laporan tentang masalah keamanan parah yang dapat menimbulkan risiko bagi pemain.

Menurut laporan masyarakat di Reddit, kerentanan adalah eksekusi kode jarak jauh (RCE) yang dapat memungkinkan penyerang untuk mengendalikan sistem, memberi mereka akses ke informasi sensitif, membiarkan mereka menanam malware, atau menggunakan sumber daya untuk penambangan cryptocurrency.

Laporan yang sama mengklaim bahwa eksploitasi secara aktif beredar dan juga dapat bekerja melawan Elden Ring, judul bandai Namco yang akan datang.

Masalah ini menjadi dikenal luas pada hari Sabtu dalam sebuah posting di Discord mengklarifikasi bahwa pengembang game menerima rincian tentang kerentanan RCE dalam laporan pengungkapan yang bertanggung jawab langsung dari orang yang menemukannya.

Bandai Namco diduga mengabaikan laporan itu tetapi mengingat beratnya cacat, reporter memutuskan untuk menunjukkannya pada streamer populer untuk meningkatkan kesadaran dan menunjukkan betapa pentingnya hal itu.

Memang, setidaknya ada satu aliran di Twitch yang menampilkan eksploitasi, bahkan jika tanpa sadar, berakhir dengan kecelakaan setelah eksekusi Microsoft PowerShell dan skrip text-to-speech.

Setelah laporan eksploitasi aktif menyebar, Dark Souls mengumumkan di Twitter bahwa server PvP untuk semua judul seri akan diambil secara offline untuk memungkinkan tim menyelidiki tuduhan tersebut.

Ini hanya mempengaruhi platform PC, dan pengalaman PvP di konsol Xbox dan PS tetap tidak terpengaruh.

Blue Sentinel, alat anti-cheat yang banyak digunakan untuk game Dark Souls, dilaporkan sedang mengerjakan patch untuk mencegah mengeksploitasi cacat tersebut. Namun, kemungkinan mitigasi melalui alat ini tidak dijamin.

Bleeping Computer telah menghubungi Bandai Namco untuk meminta rincian lebih lanjut tentang eksploitasi RCE dan perkiraan waktu untuk remediasi, tetapi kami belum menerima tanggapan.

Sumber: Bleepingcomputer

Bug Cisco Memberikan Hak Akses Root Penyerang Jarak Jauh Melalui Mode Debug

by

Cisco telah memperbaiki kelemahan keamanan kritis yang ditemukan di Cisco Redundancy Configuration Manager (RCM) untuk Cisco StarOS Software selama pengujian keamanan internal.

Kerentanan, dilacak sebagai CVE-2022-20649, memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) dengan hak istimewa tingkat root pada perangkat yang menjalankan perangkat lunak yang rentan.

“Kerentanan di Cisco RCM untuk Cisco StarOS Software dapat memungkinkan penyerang jarak jauh yang tidak diautistik untuk melakukan eksekusi kode jarak jauh pada aplikasi dengan hak istimewa tingkat akar dalam konteks wadah yang dikonfigurasi,” kata Cisco.

Seperti yang dijelaskan perusahaan lebih lanjut, kerentanan ada karena mode debug salah diaktifkan untuk layanan tertentu.

“Penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke perangkat dan menavigasi ke layanan dengan mode debug diaktifkan. Eksploitasi yang sukses dapat memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang sebagai pengguna akar,” tambah Cisco.

Namun, untuk akses yang tidak diautistik ke perangkat yang menjalankan perangkat lunak yang tidak ditamtik, para penyerang pertama-tama perlu melakukan pengintaian terperinci untuk menemukan layanan yang rentan.

Tidak ada eksploitasi di alam liar

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa perusahaan tidak mengetahui eksploitasi kerentanan ini dalam serangan yang sedang berlangsung.

Hari ini, Cisco juga memperbaiki bug pengungkapan informasi tingkat keparahan menengah (CVE-2022-20648) di Cisco RCM untuk Cisco StarOS yang disebabkan oleh layanan debug yang salah mendengarkan dan menerima koneksi masuk.

Penyerang jarak jauh dapat mengeksploitasi bug kedua ini dengan mengeksekusi perintah debug setelah terhubung ke port debug. Eksploitasi yang berhasil dapat memungkinkan mereka untuk mengakses informasi debugging sensitif pada perangkat yang rentan.

Perusahaan telah merilis Cisco RCM untuk StarOS 21.25.4, yang dilengkapi dengan pembaruan keamanan untuk mengatasi kekurangan ini dan tersedia melalui Software Center pada Cisco.com.

Tahun lalu, Cisco menambal beberapa kerentanan lain yang memungkinkan aktor ancaman untuk mengeksekusi kode dan perintah dari jarak jauh dengan hak istimewa root.

Misalnya, ini membahas cacat RCE pra-otentikasi kritis yang berdampak pada SD-WAN vManage yang dapat memungkinkan aktor ancaman untuk mendapatkan hak istimewa root pada OS yang mendasarinya pada bulan Mei. Bug pra-auth lain dalam perangkat lunak yang sama, yang memungkinkan penyerang untuk mendapatkan RCE sebagai root, diperbaiki pada bulan April.

Sumber: Bleepingcompter

Kelemahan Plugin WordPress Menempatkan 20.000 Situs pada Risiko Phishing

by Leave a Comment

Plugin WordPress WP HTML Mail, yang diinstal di lebih dari 20.000 situs, rentan terhadap cacat tingkat keparahan tinggi yang dapat menyebabkan injeksi kode dan distribusi email phishing yang meyakinkan.

‘WP HTML Mail’ adalah plugin yang digunakan untuk merancang email khusus, pemberitahuan formulir kontak, dan pesan yang umumnya disesuaikan yang dikirim platform online ke audiens mereka.

Plugin ini kompatibel dengan WooCommerce, Ninja Forms, BuddyPress, dan lain-lain. Sementara jumlah situs yang menggunakannya tidak besar, banyak yang memiliki audiens yang besar, memungkinkan cacat untuk mempengaruhi sejumlah besar pengguna internet.

Menurut sebuah laporan oleh tim Threat Intelligence Wordfence, seorang aktor yang tidak diautistik dapat memanfaatkan cacat yang dilacak sebagai “CVE-2022-0218” untuk memodifikasi template email untuk berisi data sewenang-wenang yang dipilih penyerang.

Selain itu, aktor ancaman dapat menggunakan kerentanan yang sama untuk mengirim email phishing kepada siapa pun yang terdaftar di situs yang dikompromikan.

Titik akhir API yang tidak dilindungi

Masalahnya terletak pada pendaftaran plugin dari dua rute REST-API yang digunakan untuk mengambil dan memperbarui pengaturan template email.

Titik akhir API ini tidak dilindungi secara memadai dari akses yang tidak sah, sehingga bahkan pengguna yang tidak diautistik dapat memanggil dan menjalankan fungsi.

Terlepas dari kemungkinan serangan phishing, musuh juga bisa menyuntikkan JavaScript berbahaya ke dalam template surat, yang akan mengeksekusi kapan saja administrator situs mengakses editor email HTML.

Ini berpotensi membuka jalan untuk menambahkan akun admin baru, mengarahkan pengunjung situs ke situs phishing, menyuntikkan backdoor ke file tema, dan bahkan menyelesaikan pengambilalihan situs.

Pengungkapan dan perbaikan

Wordfence menemukan dan mengungkapkan kerentanan kepada pengembang plugin pada 23 Desember 2021, tetapi mereka baru mendapat tanggapan pada 10 Januari 2022.

Pembaruan keamanan yang mengatasi kerentanan datang pada 13 Januari 2022, dengan rilis versi 3.1.

Dengan demikian, semua pemilik dan administrator situs WordPress disarankan untuk memverifikasi bahwa mereka menjalankan versi terbaru dari plugin ‘WP HTML Mail’.

Sumber: Bleepingcomputer

Microsoft merilis pembaruan darurat untuk masalah pembaruan Windows Januari

by

Microsoft telah merilis pembaruan darurat out-of-band (OOB) untuk mengatasi beberapa masalah yang disebabkan oleh Pembaruan Windows yang dikeluarkan selama Patch Tuesday Januari 2021.

Semua pembaruan OOB yang dirilis hari ini tersedia untuk diunduh di Microsoft Update Catalog, dan beberapa di antaranya juga dapat diinstal langsung melalui Windows Update sebagai pembaruan opsional.

Anda harus memeriksa pembaruan secara manual jika Anda ingin menginstal perbaikan darurat melalui Windows Update karena itu adalah pembaruan opsional dan tidak akan diinstal secara otomatis.

Seperti yang dilaporkan BleepingComputer setelah Patch Tuesday bulan ini, pembaruan Windows Server terbaru menyebabkan serangkaian masalah parah bagi administrator.

Menurut laporan admin, Windows domain controllers diganggu oleh reboot yang spontan, Hyper-V tidak lagi dimulai di server Windows, dan volume Windows Resilient File System (ReFS) tidak lagi dapat diakses setelah menerapkan pembaruan Januari 2021.

Pengguna dan administrator Windows 10 juga melaporkan masalah dengan koneksi VPN L2TP setelah menginstal pembaruan kumulatif Windows 10 dan Windows 11 terbaru dan melihat error “Tidak dapat terhubung ke VPN”.

Mereka yang tidak dapat segera menginstal pembaruan out-of-band hari ini dapat menghapus pembaruan KB5009624, KB5009557, KB5009555, KB5009566, dan KB5009543 yang menyebabkan masalah ini dari Command Prompt dengan perintah berikut:

Windows Server 2012 R2: wusa /uninstall /kb:KB5009624
Windows Server 2019: wusa /uninstall /kb:KB5009557
Windows Server 2022: wusa /uninstall /kb:KB5009555
Windows 10: wusa /uninstall /kb:5009543
Windows 11: wusa /uninstall /kb:5009566

Selengkapnya: Bleeping Computer