Security Patch

Cacti: Eksekusi Kode Jarak Jauh yang Tidak Diautentikasi

February 25, 2023 by Søren

Cacti adalah solusi pemantauan berbasis web open-source dengan sejarah panjang sejak rilis pertamanya pada tahun 2001. Saat ini, Cacti sudah mapan, dipelihara secara aktif, dan digunakan di seluruh dunia. Pencarian cepat Shodan mengungkapkan bahwa ribuan organisasi secara publik memaparkan kasus mereka ke internet.

Untuk terus meningkatkan teknologi di balik solusi Kode Bersih kami, kami secara rutin memindai proyek sumber terbuka dan mengevaluasi hasilnya. Dalam kasus Cacti, mesin kami melaporkan kerentanan injeksi perintah yang menjanjikan. Menganalisis temuan ini mengungkapkan bahwa penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan memanfaatkan bypass autentikasi.

Artikel ini akan menguraikan dampak dan mendalami detail teknis dari kerentanan yang ditemukan. Selanjutnya, kami akan menentukan akar penyebab kerentanan dan menjelaskan bagaimana tambalan yang diterapkan menguranginya.

Kerentanan memengaruhi Cacti versi 1.2.22 dan yang lebih lama dan dilacak sebagai CVE-2022-46169 dengan skor CVSS 9,8. Penyerang yang tidak diautentikasi dapat mengeksploitasi instance Cacti yang rentan jika ada perangkat yang dipantau menggunakan sumber data tertentu. Eksploitasi memungkinkan penyerang untuk menjalankan perintah sewenang-wenang di bawah pengguna yang sama saat proses server web sedang berjalan.

Nasihat keamanan berisi tambalan yang harus diterapkan oleh administrator sistem secara manual untuk Cacti versi 1.2.22 dan yang lebih lama. Patch akan dirilis sebagai bagian dari versi 1.2.23 dan 1.3.0.

Selengkapnya: Sonar Source

OpenEMR – Eksekusi Kode Jarak Jauh di Sistem Kesehatan Anda

February 25, 2023 by Søren

OpenEMR adalah perangkat lunak sumber terbuka paling populer untuk catatan kesehatan elektronik dan manajemen praktik medis. Ini digunakan di seluruh dunia untuk mengelola data pasien yang sensitif, termasuk informasi tentang pengobatan, nilai laboratorium, dan penyakit.

Pasien menggunakan OpenEMR untuk menjadwalkan janji temu, berkomunikasi dengan dokter, dan membayar tagihan online. Secara khusus, di masa-masa sulit dari pandemi yang sedang berlangsung ini, ini adalah data yang sangat sensitif, dan melindunginya menjadi perhatian semua orang.

Selama riset keamanan peneliti terhadap aplikasi web populer, peneliti menemukan beberapa kerentanan kode di OpenEMR. Kombinasi dari kerentanan ini memungkinkan penyerang jarak jauh untuk mengeksekusi perintah sistem sewenang-wenang pada server OpenEMR mana pun dan mencuri data pasien yang sensitif. Dalam kasus terburuk, mereka dapat membahayakan seluruh infrastruktur penting.

Mesin SAST peneliti menemukan dua kerentanan kode yang, bersama-sama, menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi.

OpenEMR tidak selalu dapat menjamin bahwa proses penyiapan akan sepenuhnya menghapus file instalasi. Jika Anda mengembangkan aplikasi dengan alur penyiapan bawaan, Anda harus memutuskan apakah Anda sengaja menyimpannya (dalam kasus OpenEMR) atau mencoba menghapusnya.

Bagaimanapun, Anda harus selalu memeriksa apakah aplikasi sudah diinstal terlebih dahulu. Jika demikian, eksekusi harus dihentikan sesegera mungkin. Selain itu, selalu berusaha membersihkan setiap masukan pengguna dan menerapkan pembersih masing-masing dalam konteks tertentu.

Selengkapnya: Sonar Source

Peneliti Keamanan Memperingatkan Kelas Baru Bug Apple

February 23, 2023 by Coffee Bean

Peneliti keamanan mengatakan mereka telah menemukan “kelas baru” kerentanan yang memungkinkan penyerang melewati perlindungan keamanan Apple di iOS dan macOS untuk mengakses data sensitif pengguna.

Pusat Penelitian Lanjutan Trellix menerbitkan detail minggu ini tentang kerentanan eskalasi hak istimewa — yang berarti mereka memungkinkan seseorang untuk mendapatkan tingkat akses yang lebih tinggi ke sistem — yang memengaruhi iPhone dan Mac. Trellix memperingatkan bahwa kelas bug, yang berkisar dari tingkat keparahan sedang hingga tinggi, dapat — jika dibiarkan tidak ditambal — memungkinkan aplikasi berbahaya untuk keluar dari “kotak pasir” pelindung mereka dan mengakses informasi sensitif di perangkat seseorang, termasuk pesan seseorang, data lokasi, riwayat panggilan dan foto.

Temuan Trellix mengikuti penelitian sebelumnya dari Google dan Citizen Lab, yang pada tahun 2021 menemukan eksploitasi zero-day baru yang dijuluki ForcedEntry yang disalahgunakan oleh pembuat spyware Israel NSO Group untuk meretas iPhone dari jarak jauh dan diam-diam atas perintah pelanggan pemerintahnya. Apple kemudian memperkuat perlindungan keamanan perangkatnya dengan menambahkan mitigasi penandatanganan kode baru, yang secara kriptografis memverifikasi bahwa perangkat lunak perangkat dipercaya dan belum dimodifikasi, untuk menghentikan eksploitasi eksploit.

Apple menambal kerentanan yang ditemukan Trellix di pembaruan perangkat lunak macOS 13.2 dan iOS 16.3, yang dirilis pada bulan Januari. Dokumen dukungan keamanan Apple juga diperbarui pada hari Selasa untuk mencerminkan rilis tambalan baru.

Will Strafach, seorang peneliti keamanan dan pendiri aplikasi firewall Guardian, menggambarkan kerentanan sebagai “cukup pintar”, tetapi memperingatkan bahwa hanya sedikit yang dapat dilakukan pengguna rata-rata terhadap ancaman ini, “selain tetap waspada dalam menginstal pembaruan keamanan.”

Dan peneliti keamanan iOS dan macOS Wojciech Reguła mengatakan kepada TechCrunch bahwa meskipun kerentanan bisa menjadi signifikan, jika tidak ada eksploitasi, diperlukan lebih banyak detail untuk menentukan seberapa besar permukaan serangan ini.

sumber : techcrunch

Aplikasi antivirus tersedia untuk melindungi Anda – Cisco’s ClamAV memiliki kekurangan

February 18, 2023 by Søren

Perangkat lunak antivirus seharusnya menjadi bagian penting dari pertahanan organisasi melawan gelombang malware yang tak ada habisnya.

ClamAV open source Cisco dapat mengisi peran itu – setelah Anda menambal cacat eksekusi kode arbitrer berperingkat 9.8/10 yang diungkapkan raksasa jaringan pada hari Rabu.

“Kerentanan dalam parser file partisi HFS+ dari ClamAV versi 1.0.0 dan sebelumnya, 0.105.1 dan sebelumnya, dan 0.103.7 dan sebelumnya dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata penasehat keamanan Cisco, yang mengidentifikasi masalah sebagai CVE-2023-20032.

“Kerentanan ini disebabkan oleh pemeriksaan ukuran buffer yang hilang yang dapat mengakibatkan penulisan buffer overflow heap,” dokumen tersebut menjelaskan. “Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan file partisi HFS+ yang dibuat untuk dipindai oleh ClamAV pada perangkat yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dengan hak istimewa proses pemindaian ClamAV, atau merusak proses, mengakibatkan kondisi denial of service (DoS).”

Namun memperbaiki ClamAV bukanlah akhir dari cerita. Mengatasi parser file yang salah juga memerlukan pembaruan untuk produk Cisco lainnya, termasuk perangkat keras Secure Web Appliance. Secure Endpoint Private Cloud juga memerlukan perbaikan, seperti halnya produk Secure Endpoint Cisco (sebelumnya dikenal sebagai Advanced Malware Protection for Endpoints) untuk Linux, Windows, dan macOS.

Untungnya, Cisco tidak mengetahui “pengumuman publik apa pun atau penggunaan berbahaya dari kerentanan yang dijelaskan dalam penasehat ini.”

Tapi bagaimana dengan ClamAV yang gratis dan open source, kelemahan ini kemungkinan besar akan menjadi target yang tidak akan lama diabaikan oleh penjahat dan penjahat.

Selengkapnya: The Register

GitLab Kritikal Security Release: 15.8.2, 15.7.7 and 15.6.8

February 17, 2023 by Coffee Bean

Hari ini kami merilis versi 15.8.2, 15.7.7, dan 15.6.8 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE).

Versi ini berisi perbaikan keamanan penting, dan kami sangat menyarankan agar semua instalasi GitLab segera ditingkatkan ke salah satu versi ini. GitLab.com dan GitLab Dedicated sudah menjalankan versi yang ditambal.

GitLab merilis tambalan untuk kerentanan dalam rilis keamanan khusus. Ada dua jenis rilis keamanan: rilis keamanan terjadwal bulanan, dirilis seminggu setelah rilis fitur (yang diterapkan pada tanggal 22 setiap bulan), dan rilis keamanan ad-hoc untuk kerentanan kritis. Untuk informasi lebih lanjut, Anda dapat mengunjungi FAQ keamanan kami. Anda dapat melihat semua posting blog rilis reguler dan keamanan kami di sini. Selain itu, masalah yang merinci setiap kerentanan dipublikasikan di pelacak masalah kami 30 hari setelah rilis di mana mereka ditambal.

Kami berdedikasi untuk memastikan semua aspek GitLab yang diekspos ke pelanggan atau bahwa data pelanggan host disimpan dengan standar keamanan tertinggi. Sebagai bagian dari menjaga kebersihan keamanan yang baik, sangat disarankan agar semua pelanggan meningkatkan ke rilis keamanan terbaru untuk versi yang didukung. Anda dapat membaca lebih banyak praktik terbaik dalam mengamankan instance GitLab Anda di postingan blog kami.

Tindakan yang direkomendasikan
Kami sangat menganjurkan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah yang dijelaskan di bawah ini dimutakhirkan ke versi terbaru sesegera mungkin.

Jika tidak ada jenis penerapan khusus (omnibus, kode sumber, diagram helm, dll.) dari suatu produk yang disebutkan, ini berarti semua jenis akan terpengaruh.

selengkapnya : about.github.com

QNAP Mundur Pada Cakupan Bug NAS Kritis

February 9, 2023 by Coffee Bean

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

February 9, 2023 by Coffee Bean

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Cisco Memperbaiki Bug yang Memugkinkan Persistensi Backdoor di Antara Reboot

February 3, 2023 by Coffee Bean

Cisco telah merilis pembaruan keamanan minggu ini untuk mengatasi vulnerability tingkat tinggi di lingkungan hosting aplikasi Cisco IOx yang dapat dieksploitasi dalam serangan injeksi perintah.

Security flaw (CVE-2023-20076) disebabkan oleh sanitasi parameter yang tidak lengkap yang diteruskan selama proses aktivasi aplikasi. Itu ditemukan dan dilaporkan oleh peneliti keamanan Sam Quinn dan Kasimir Schulz dengan Trellix Advanced Research Center.

Eksploitasi yang berhasil dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna memungkinkan pelaku ancaman terautentikasi dari jarak jauh untuk menjalankan perintah dengan izin root pada sistem operasi yang mendasarinya.

“Seorang penyerang dapat mengeksploitasi vulnerability ini dengan menyebarkan dan mengaktifkan aplikasi di lingkungan hosting aplikasi Cisco IOx dengan file payload aktivasi buatan,” Cisco menjelaskan dalam penasihat keamanan yang diterbitkan pada hari Rabu.

Perusahaan mengatakan vulnerability mempengaruhi perangkat Cisco yang menjalankan software IOS XE, tetapi hanya jika mereka tidak mendukung buruh pelabuhan asli.

Selain perangkat berbasis IOS XE yang dikonfigurasi dengan IOx, daftar perangkat yang terpengaruh juga mencakup router ISR Industri Seri 800, modul komputasi CGR1000, gateway komputasi industri IC3000, router industri WPAN IR510, dan titik akses Cisco Catalyst (COS-AP).

Perusahaan juga mengonfirmasi bahwa flaw CVE-2023-20076 tidak memengaruhi sakelar Seri Catalyst 9000, perangkat lunak iOS XR dan NX-OS, atau produk Meraki.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan tidak menemukan bukti bahwa kerentanan ini dieksploitasi secara liar.

Pada bulan Januari, Cisco memperingatkan pelanggan tentang kerentanan bypass otentikasi kritis (CVE-2023-20025) dengan kode eksploit publik yang memengaruhi beberapa model router VPN akhir masa pakainya.

Satu minggu kemudian, Censys menemukan lebih dari 20.000 router Cisco RV016, RV042, RV042G, dan RV082 yang belum ditambal terhadap CVE-2023-20025 dan terkena serangan.

sumber : bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security Patch

Cookies Settings