Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Security Patch

Security Patch

Fortinet mengatakan bug bypass auth kritis dieksploitasi dalam serangan

by

Fortinet telah mengkonfirmasi bahwa kerentanan keamanan bypass otentikasi kritis yang ditambal minggu lalu sedang dieksploitasi di alam liar.

Kelemahan keamanan (CVE-2022-40684) adalah bypass autentikasi pada antarmuka administratif yang memungkinkan pelaku ancaman jarak jauh untuk masuk ke firewall FortiGate, proxy web FortiProxy, dan FortiSwitch Manager (FSWM).

“Sebuah bypass otentikasi menggunakan jalur alternatif atau kerentanan saluran [CWE-288] di FortiOS, FortiProxy dan FortiSwitchManager memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi pada antarmuka administratif melalui permintaan HTTP atau HTTPS yang dibuat khusus,” kata Fortinet dalam sebuah advisory.

Perusahaan tersebut merilis pembaruan keamanan untuk mengatasi kelemahan ini pada hari Kamis. Mereka juga memperingatkan beberapa pelanggannya melalui email untuk menonaktifkan antarmuka pengguna manajemen jarak jauh pada perangkat yang terpengaruh “dengan sangat mendesak.”

Fortinet telah merilis security patch dan meminta pelanggan untuk memperbarui perangkat yang rentan ke FortiOS 7.0.7 atau 7.2.2 dan yang lebih baru, FortiProxy 7.0.7 atau 7.2.1 dan yang lebih baru, dan FortiSwitchManager 7.2.1 atau yang lebih baru untuk mempertahankan perangkat mereka dari serangan.

Fortinet juga memberikan informasi tentang bagaimana pelanggan dapat memblokir serangan yang masuk meskipun mereka tidak dapat segera memasang pembaruan keamanan.

Selengkapnya: Fortiguard | Bleeping Computer

Cacat Zimbra yang belum ditambal sedang diserang memungkinkan peretas untuk melakukan backdoor server

by

Kerentanan eksekusi kode yang tidak ditambal dalam perangkat lunak Kolaborasi Zimbra sedang dieksploitasi secara aktif oleh penyerang yang menggunakan serangan ke server pintu belakang.

Serangan dimulai paling lambat 7 September, ketika seorang pelanggan Zimbra melaporkan beberapa hari kemudian bahwa server yang menjalankan mesin penyaringan spam Amavis perusahaan memproses email yang berisi lampiran berbahaya.

Dalam hitungan detik, pemindai menyalin file Java berbahaya ke server dan kemudian menjalankannya. Dengan itu, penyerang telah menginstal web shell, yang kemudian dapat mereka gunakan untuk masuk dan mengambil kendali server.

Zimbra belum merilis tambalan yang memperbaiki kerentanan. Sebagai gantinya, perusahaan menerbitkan panduan ini yang menyarankan pelanggan untuk memastikan pengarsipan file yang dikenal sebagai pax diinstal.

Kecuali pax diinstal, Amavis memproses lampiran yang masuk dengan cpio, pengarsip alternatif yang mengetahui kerentanan yang tidak pernah diperbaiki.

“Jika paket pax tidak diinstal, Amavis akan kembali menggunakan cpio,” tulis karyawan Zimbra Barry de Graaff. “Sayangnya fall-back diimplementasikan dengan buruk (oleh Amavis) dan akan memungkinkan penyerang yang tidak diautentikasi untuk membuat dan menimpa file di server Zimbra, termasuk webroot Zimbra.”

Posting selanjutnya menjelaskan cara menginstal pax. Utilitas ini dimuat secara default pada distribusi Ubuntu di Linux, tetapi harus diinstal secara manual di sebagian besar distribusi lainnya. Kerentanan Zimbra dilacak sebagai CVE-2022-41352.

Selengkapnya: ars TECHNICA

Fortinet Memperingatkan Cacat Bypass Otentikasi Baru yang Mempengaruhi FortiGate dan FortiProxy

by

Fortinet secara pribadi telah memperingatkan pelanggannya tentang kelemahan keamanan yang memengaruhi firewall FortiGate dan proksi web FortiProxy yang berpotensi memungkinkan penyerang melakukan tindakan tidak sah pada perangkat yang rentan.

Dilacak sebagai CVE-2022-40684 (skor CVSS: 9,6), kelemahan kritis berkaitan dengan kerentanan bypass otentikasi yang dapat mengizinkan musuh yang tidak diautentikasi untuk melakukan operasi sewenang-wenang pada antarmuka administratif melalui permintaan HTTP(S) yang dibuat khusus.
Keamanan cyber

Masalah ini berdampak pada versi berikut, dan telah diatasi di FortiOS versi 7.0.7 dan 7.2.2, dan FortiProxy versi 7.0.7 dan 7.2.1 dirilis minggu ini:

  • FortiOS – Dari 7.0.0 hingga 7.0.6 dan dari 7.2.0 hingga 7.2.1
  • FortiProxy – Dari 7.0.0 hingga 7.0.6 dan 7.2.0

“Karena kemampuan untuk mengeksploitasi masalah ini dari jarak jauh, Fortinet sangat menyarankan semua pelanggan dengan versi rentan untuk melakukan peningkatan segera,” perusahaan memperingatkan dalam peringatan yang dibagikan oleh peneliti keamanan yang menggunakan alias Gitworm di Twitter.

Sebagai solusi sementara, perusahaan merekomendasikan pengguna untuk menonaktifkan Administrasi HTTPS yang terhubung ke internet hingga pemutakhiran dapat dilakukan, atau sebagai alternatif, menerapkan kebijakan firewall untuk “lalu lintas masuk lokal.”

Ketika dihubungi untuk memberikan komentar, Fortinet mengakui nasihat itu dan mencatat bahwa itu menunda pemberitahuan publik sampai pelanggannya menerapkan perbaikan.

“Komunikasi yang tepat waktu dan berkelanjutan dengan pelanggan kami adalah komponen kunci dalam upaya kami untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Komunikasi pelanggan sering kali merinci panduan terbaru dan merekomendasikan langkah selanjutnya untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya.”

Selengkapnya: The Hacker News

Peretas yang Disponsori Negara Kemungkinan Mengeksploitasi MS Exchange 0-Day Melawan ~10 Organisasi

by

Microsoft pada hari Jumat mengungkapkan bahwa satu grup aktivitas pada Agustus 2022 mencapai akses awal dan melanggar server Exchange dengan merantai dua kelemahan zero-day yang baru diungkapkan dalam serangkaian serangan terbatas yang ditujukan pada kurang dari 10 organisasi secara global.

“Serangan ini menginstal web shell Chopper untuk memfasilitasi akses hands-on-keyboard, yang digunakan penyerang untuk melakukan pengintaian Active Directory dan eksfiltrasi data,” kata Microsoft Threat Intelligence Center (MSTIC) dalam analisis baru.

Persenjataan kerentanan diperkirakan akan meningkat dalam beberapa hari mendatang, Microsoft lebih lanjut memperingatkan, karena aktor jahat mengkooptasi eksploitasi ke dalam toolkit mereka, termasuk menyebarkan ransomware, karena “akses yang sangat istimewa yang diberikan sistem Exchange kepada penyerang.”

Raksasa teknologi itu mengaitkan serangan yang sedang berlangsung dengan tingkat kepercayaan menengah ke organisasi yang disponsori negara, menambahkan bahwa mereka sudah menyelidiki serangan ini ketika Zero Day Initiative mengungkapkan kelemahannya ke Microsoft Security Response Center (MSRC) awal bulan lalu pada 8-9 September 2022.

Kedua kerentanan telah secara kolektif dijuluki ProxyNotShell, karena fakta bahwa “itu adalah jalur yang sama dan pasangan SSRF/RCE” sebagai ProxyShell tetapi dengan otentikasi, menunjukkan tambalan yang tidak lengkap.

Masalah, yang dirangkai untuk mencapai eksekusi kode jarak jauh, tercantum di bawah ini:

  • CVE-2022-41040 (skor CVSS: 8,8) – Peningkatan Kerentanan Privilege Server Microsoft Exchange
  • CVE-2022-41082 (skor CVSS: 8,8) – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

Selengkapnya: The Hacker News

Pembaruan Keamanan Terbaru Microsoft Memperbaiki 64 Kelemahan Baru, Termasuk Zero-Day

by

Microsoft telah merilis perbaikan keamanan untuk kerentanan zero-day yang memengaruhi semua versi Windows yang didukung yang telah dieksploitasi dalam serangan di dunia nyata.

Bug zero-day, dilacak sebagai CVE-2022-37969, digambarkan sebagai peningkatan cacat hak istimewa di Windows Common Log File System Driver, subsistem yang digunakan untuk data dan pencatatan peristiwa. Bug memungkinkan penyerang untuk mendapatkan tingkat akses tertinggi, yang dikenal sebagai hak istimewa sistem, ke perangkat yang rentan.

Microsoft mengatakan pengguna yang menjalankan Windows 11 dan sebelumnya, dan Windows Server 2008 dan Windows Server 2012, terpengaruh. Windows 7 juga akan menerima patch keamanan, meskipun tidak lagi didukung pada tahun 2020.

Microsoft mengatakan cacat tersebut mengharuskan penyerang sudah memiliki akses ke perangkat yang disusupi, atau kemampuan untuk menjalankan kode pada sistem target.

Microsoft memuji empat kelompok peneliti yang berbeda dari CrowdStrike, DBAPPSecurity, Mandiant, dan Zscaler karena melaporkan kesalahan tersebut, yang mungkin merupakan eksploitasi yang meluas di alam pembohong.

Dhanesh Kizhakkinan, kerentanan bagian utama senior di Mandiant, mengatakan kepada TechCrunch bahwa perusahaan menemukan bug “selama misi pencarian eksploitasi Offensive Task Force proaktif,” menambahkan bahwa eksploitasi mandiri dan bukan dari rantai serangan.

Microsoft tidak membagikan detail tentang serangan yang mengeksploitasi kerentanan ini dan tidak menanggapi permintaan komentar kami.

Perbaikan tersebut masuk kebagian dari rilis bulanan perbaikan keamanan Microsoft Patch Tuesday, yang mencakup total 63 kerentanan di berbagai produk Microsoft, termasuk Microsoft Edge, Office, dan Windows Defender.

Microsoft juga merilis patch untuk cacat zero-day kedua, dilacak sebagai CVE-2022-23960, yang diprediksi sebagai kerentanan cache yang dikenal sebagai “Spectre-BHB” yang memengaruhi Windows 11 untuk sistem berbasis ARM. Spectre-BHB adalah varian dari kerentanan Spectre v2, yang memungkinkan penyerang mencuri data dari memori.

Sumber: TechCrunch

Apple memperbaiki zero-day kedelapan yang digunakan untuk meretas iPhone dan Mac tahun ini

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day kedelapan yang digunakan dalam serangan terhadap iPhone dan Mac sejak awal tahun.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan ini “mungkin telah dieksploitasi secara aktif.”

Bug (dilacak sebagai CVE-2022-32917) dapat memungkinkan aplikasi yang dibuat dengan jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Dilaporkan ke Apple oleh peneliti anonim, masalah ini ditangani di iOS 15.7 dan iPadOS 15.7, macOS Monterey 12.6, dan macOS Big Sur 11.7 dengan pemeriksaan batas yang ditingkatkan.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • Mac yang menjalankan macOS Big Sur 11.7 dan macOS Monterey 12.6

Apple juga mem-backport patch untuk zero-day lainnya (CVE-2022-32894) ke Mac yang menjalankan macOS Big Sur 11.7 setelah merilis pembaruan keamanan tambahan pada 31 Agustus untuk mengatasi bug yang sama pada versi iOS yang berjalan di iPhone dan iPad lama.

Meskipun Apple mengungkapkan eksploitasi aktif kerentanan ini di alam liar, perusahaan belum merilis informasi apa pun mengenai serangan ini.

Dengan menolak untuk merilis info ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pelanggan untuk menambal perangkat mereka sebelum penyerang lain mengembangkan eksploitasi mereka sendiri dan mulai menyebarkannya dalam serangan yang menargetkan iPhone dan Mac yang rentan.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan sesegera mungkin masih sangat disarankan untuk memblokir upaya serangan.

Sumber: Bleeping Computer

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer

Microsoft menambal Windows DogWalk zero-day yang dieksploitasi dalam serangan

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day Windows dengan tingkat keparahan tinggi dengan kode eksploitasi yang tersedia untuk umum dan disalahgunakan dalam serangan.

Diperbaiki sebagai bagian dari Patch Agustus 2022 Selasa, kelemahan keamanan ini sekarang dilacak CVE-2022-34713 dan bercanda bernama DogWalk.

Hal ini karena kelemahan jalur traversal di Windows Support Diagnostic Tool (MSDT) yang dapat dimanfaatkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada sistem yang disusupi.

Mereka dapat melakukannya dengan menambahkan executable yang dibuat dengan jahat ke Startup Windows ketika target membuka file .diagcab yang dibuat dengan jahat (diterima melalui email atau diunduh dari web).

Eksekusi yang ditanam kemudian akan secara otomatis dieksekusi pada saat korban me-restart perangkat Windows mereka untuk melakukan berbagai tugas seperti mengunduh muatan malware tambahan.

DogWalk diungkapkan secara terbuka oleh peneliti keamanan Imre Rad lebih dari dua tahun lalu, pada Januari 2020, setelah Microsoft menjawab laporannya dengan mengatakan itu tidak akan memberikan perbaikan karena ini bukan masalah keamanan.

Namun, bug Alat Diagnostik Dukungan Microsoft baru-baru ini ditemukan kembali dan dibawa kembali ke perhatian publik oleh peneliti keamanan j00sean.

Sementara penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dalam serangan dengan kompleksitas rendah, eksploitasi yang berhasil memang memerlukan interaksi pengguna (menipu target untuk membuka lampiran email berbahaya atau mengklik tautan untuk mengunduh dan menjalankan file berbahaya).

Menurut Microsoft, DogWalk memengaruhi semua versi Windows yang didukung, termasuk rilis klien dan server terbaru, Windows 11 dan Windows Server 2022.

Bulan lalu, Microsoft terpaksa menerbitkan nasihat keamanan resmi mengenai Windows MSDT zero-day lainnya (dikenal sebagai Follina) setelah menolak laporan awal dan menandainya sebagai bukan “masalah terkait keamanan.”

Hari ini, perusahaan juga merilis pembaruan keamanan untuk mengatasi zero-day yang diungkapkan secara publik yang dilacak sebagai ‘CVE-2022-30134 – Kerentanan Pengungkapan Informasi Microsoft Exchange,’ yang memungkinkan penyerang membaca pesan email yang ditargetkan.

Secara keseluruhan, Microsoft menambal 112 kerentanan sebagai bagian dari Patch Selasa 2022 Agustus, termasuk 17 kerentanan kritis yang memungkinkan eksekusi kode jarak jauh dan eskalasi hak istimewa.

Sumber: Bleeping Computer