Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Penasihat Teknis: Rantai Eksploitasi “Proxy*Hell” di Alam Liar

by

Pada akhir November 2022, para pakar Bitdefender Labs mulai melihat peningkatan serangan menggunakan rantai eksploitasi ProxyNotShell/OWASSRF yang menargetkan penerapan Microsoft Exchange lokal.

Serangan SSRF di server Microsoft Exchange adalah beberapa kerentanan yang paling populer dan sering dieksploitasi. Pihaknya memutuskan merilis penasehat teknis yang menjelaskan serangan ini dan juga mendokumentasikan beberapa serangan baru-baru ini yang terdeteksi secara liar.

Arsitektur Berorientasi Layanan (SOA)
Merupakan pendekatan desain perangkat lunak yang melibatkan pengorganisasian sistem sebagai kumpulan layanan yang berkomunikasi satu sama lain melalui antarmuka yang terdefinisi dengan baik. Salah satu manfaat utama SOA adalah memungkinkan fleksibilitas dan skalabilitas yang lebih besar dengan menghapus batasan aplikasi.

Microsoft Exchange
Microsoft Exchange adalah contoh aplikasi yang menggunakan layanan proxy untuk melindungi backend sensitif dari jaringan publik yang tidak terpercaya.

Layanan Akses Klien (CAS) adalah lapisan yang bertanggung jawab untuk menerima semua bentuk koneksi klien (front-end) dan memproyeksikannya ke layanan back-end.

Pemalsuan Permintaan Sisi Server (SSRF)
Pemalsuan permintaan sisi server (SSRF) adalah jenis serangan yang memungkinkan penyerang mengirim permintaan buatan dari server yang rentan ke server lain, atas nama server yang rentan.

Ini memungkinkan penyerang mengakses sumber daya atau informasi yang sebaliknya tidak dapat diakses secara langsung oleh mereka dan memungkinkan mereka melakukan tindakan atas nama server yang rentan.

Serangan proxy di Microsoft Exchange
Sebagian besar kerentanan yang ditemukan peneliti keamanan didasarkan pada implementasi yang cacat. Kerentanan arsitektur sulit diperbaiki dalam sistem produksi, terutama untuk perangkat lunak yang didistribusikan secara luas dimana kompatibilitas mundur merupakan fitur penting, seperti server Microsoft Exchange.

Serangan Nyata
Berikut adalah beberapa serangan kehidupan nyata yang telah dideteksi oleh para ahli Bitdefender Labs pada akhir November 2022 terdiri dari beberapa kasus diantaranya alat administrasi remote, broker akses awsal, ransomware kuba, pencurian kredensial. Terdapat kami peningkatan penggunaan ProxyNotShell/OWASSRF untuk eksekusi perintah jahat.

Selengkapnya: Bitdefender

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

by

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Aplikasi Samsung Galaxy Store Rentan terhadap Penginstalan dan Penipuan Aplikasi Sneaky

by

Dua kelemahan keamanan telah diungkapkan di aplikasi Samsung Galaxy Store untuk Android yang dapat dimanfaatkan oleh penyerang lokal untuk memasang aplikasi sewenang-wenang secara diam-diam atau mengarahkan calon korban ke halaman arahan penipuan di web.

Terlacak sebagai CVE-2023-21433 dan CVE-2023-21434, ditemukan oleh NCC Group dan diberitahukan ke chaebol Korea Selatan pada November dan Desember 2022. Bug tersebut sebagai risiko sedang dan merilis perbaikan dalam versi 4.5.49.8 dikirim awal bulan ini.

Kerentanan CVE-2023-21433 dapat memungkinkan aplikasi Android berbahaya yang terinstal pada perangkat Samsung untuk menginstal aplikasi apa pun yang tersedia di Galaxy Store.

Sementara kerentanan CVE-2023-21434, terkait dengan contoh validasi masukan yang tidak tepat yang terjadi saat membatasi daftar domain yang dapat diluncurkan sebagai WebView dari dalam aplikasi, memungkinkan pelaku ancaman untuk melewati filter dan menjelajah ke domain di bawah kendali mereka.

Pembaruan mendatang pada Januari 2023, Samsung akan memperbaiki beberapa kelemahan.

Selengkapnya: The Hacker News

Lebih dari 4.400 Server Firewall Sophos tetap Rentan Terhadap Eksploitasi Kritis

by

Lebih dari 4.400 server yang terpapar Internet menjalankan versi Sophos Firewall yang rentan terhadap eksploitasi kritis yang memungkinkan peretas mengeksekusi kode berbahaya, seorang peneliti memperingatkan.

CVE-2022-3236 adalah kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh di Portal Pengguna dan Webadmin Sophos Firewall. Ini membawa peringkat keparahan 9,8 dari 10.

Menurut penelitian yang diterbitkan baru-baru ini, lebih dari 4.400 server yang menjalankan firewall Sophos tetap rentan. Itu menyumbang sekitar 6 persen dari semua firewall Sophos, kata perusahaan keamanan VulnCheck, mengutip angka dari pencarian di Shodan.

“Lebih dari 99% Sophos Firewall yang terhubung ke Internet belum ditingkatkan ke versi yang berisi perbaikan resmi untuk CVE-2022-3236,” tulis peneliti VulnCheck, Jacob Baines. “Tetapi sekitar 93% menjalankan versi yang memenuhi syarat untuk hotfix, dan perilaku default firewall adalah mengunduh dan menerapkan hotfix secara otomatis (kecuali dinonaktifkan oleh administrator).

“Kode yang rentan hanya tercapai setelah CAPTCHA divalidasi,” tulis Baines. “CAPTCHA yang gagal akan mengakibatkan kegagalan eksploitasi. Meskipun bukan tidak mungkin, menyelesaikan CAPTCHA secara terprogram merupakan rintangan tinggi bagi sebagian besar penyerang. Sebagian besar Sophos Firewall yang terhubung ke Internet tampaknya mengaktifkan CAPTCHA login, yang berarti, bahkan pada saat yang paling tepat, kerentanan ini tidak mungkin berhasil dieksploitasi dalam skala besar.”

Ini adalah kesempatan yang baik untuk mengingatkan para pengguna ini, serta semua pengguna perangkat lunak usang jenis apa pun, untuk mengikuti praktik keamanan terbaik dan memutakhirkan ke versi terbaru yang tersedia, seperti yang dilakukan Sophos secara rutin kepada pelanggannya.”

selengkapnya : arstechnica

Kerentanan Keamanan Kritis Ditemukan di Router Netcomm dan TP-Link

by

Kerentanan keamanan telah diungkapkan di router Netcomm dan TP-Link, beberapa di antaranya dapat dipersenjatai untuk mencapai eksekusi kode jarak jauh.

Cacat, dilacak sebagai CVE-2022-4873 dan CVE-2022-4874, menyangkut kasus buffer overflow berbasis stack dan bypass otentikasi dan berdampak pada model router Netcomm NF20MESH, NF20, dan NL1902 yang menjalankan versi firmware lebih awal dari R6B035.

“Dua kerentanan, ketika dirangkai bersama, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah penasehat yang diterbitkan Selasa.

Peneliti keamanan Brendan Scarvell telah dipuji karena menemukan dan melaporkan masalah tersebut pada Oktober 2022.

Peneliti Microsoft James Hull telah diakui untuk mengungkap dua bug. The Hacker News telah menghubingi TP-Link untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

sumber :thehackernews

Git menambal dua kelemahan keamanan eksekusi kode jarak jauh yang kritis

by

Git telah menambal dua kerentanan keamanan tingkat kritis yang memungkinkan penyerang mengeksekusi kode arbitrer setelah berhasil mengeksploitasi kelemahan buffer overflow berbasis heap.

Cacat khusus Windows ketiga yang memengaruhi alat Git GUI yang disebabkan oleh kelemahan jalur pencarian yang tidak tepercaya memungkinkan pelaku ancaman yang tidak diautentikasi untuk menjalankan serangan dengan kompleksitas kode rendah yang tidak tepercaya.

Dua kerentanan pertama (CVE-2022-41903 dalam mekanisme pemformatan komit dan CVE-2022-23521 dalam parser .gitattributes) ditambal pada hari Rabu dalam versi baru kembali ke v2.30.7.

Yang ketiga, dilacak sebagai CVE-2022-41953, masih menunggu tambalan, tetapi pengguna dapat mengatasi masalah tersebut dengan tidak menggunakan perangkat lunak Git GUI untuk mengkloning repositori atau menghindari kloning dari sumber yang tidak tepercaya.

Pakar keamanan dari X41 (Eric Sesterhenn dan Markus Vervier) dan GitLab (Joern Schneeweisz) menemukan kerentanan ini sebagai bagian dari audit kode sumber keamanan Git yang disponsori oleh OSTIF.

Pengguna yang tidak dapat segera memperbarui untuk mengatasi bug eksekusi kode jarak jauh kritis CVE-2022-41903 juga dapat mengambil tindakan berikut untuk memastikan bahwa penyerang tidak dapat menyalahgunakan fungsionalitas Git yang rentan:

  • Nonaktifkan ‘arsip git’ di repositori yang tidak dipercaya atau hindari menjalankan perintah pada repo yang tidak dipercaya
  • Jika ‘arsip git’ diekspos melalui ‘daemon git,’ nonaktifkan saat bekerja dengan repositori yang tidak tepercaya dengan menjalankan perintah ‘git config –global daemon.uploadArch false’

“Kami sangat menyarankan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah [..] dimutakhirkan ke versi terbaru sesegera mungkin,” GitLab memperingatkan.

sumber : bleepingcomputer

Masalah 212: Kendali jarak jauh kendaraan, Peretasan API untuk Tim QA, Panduan API Top 10

by

Kerentanan API kritis memungkinkan peneliti menunjukkan bukti serangan konsep yang memungkinkan pengambilalihan kendaraan jarak jauh.

Kerentanan: Kerentanan API Kritis Memungkinkan Kendali Jarak Jauh Kendaraan Hyundai dan Genesis
Penelitian Sam Curry tentang kerentanan API yang memengaruhi jajaran kendaraan Hyundai dan Genesis adalah membuat bukti konsep yang merinci eksploit dan menjelaskan langkah-langkahnya secara mendetail di utas Twitter.

Poin utamanya adalah jangan pernah mempercayai input pengguna, tetap gunakan ekspresi reguler yang terpercaya, dan segmentasikan kontrol akses pengguna.

Artikel: Tiga alasan tim QA harus mempelajari peretasan API
Kontributor reguler buletin Dana Epp (@DanaEpp), membagikan pemikirannya tentang nilai tim jaminan kualitas (QA) yang mempelajari dasar-dasar peretasan API dan menggunakan pola pikir ofensif.

Tiga alasan utama tim QA harus mengembangkan keterampilan tersebut, yaitu pengguna akan memberikan nilai lebih, menjadi penjahat mengubah pengguna menjadi pahlawan, dan keamanan adalah tanggung jawab semua orang.

Artikel: GitHub Mengungkapkan Versi API Generasi Berikutnya
Pembuatan versi API penting bagi keamanan API, karena memiliki sistem versi API formal berarti ada sedikit kemungkinan API bayangan atau zombie karena ada proses formal seputar tata kelola API. Namun, sistem versi yang lebih lancar seperti yang diadopsi oleh GitHub berarti kemungkinan akan ada lebih banyak versi API dalam produksi yang semuanya perlu dilacak dan dipantau untuk masalah keamanan.

Panduan: Panduan OWASP API Security Top 10
Langkah-langkah dari OWASP API Security Top 10 dari Grant Ongers (@rewtd) aplikasi API rentan vAPI, menggunakan vAPI yang berjalan di Docker dan mendemonstrasikan masing-masing dari 10 Teratas menggunakan Postman dan ZAP sebagai alat dasarnya.

Selengkapnya: APIsecurity.io

Peretas Mengeksploitasi Bug Kritis Cacti untuk Memasang Malware

by

Lebih dari 1.600 contoh alat pemantau perangkat Cacti yang dapat dijangkau melalui internet rentan terhadap masalah keamanan kritis yang sudah mulai dieksploitasi oleh peretas.

Cacti adalah solusi pemantauan manajemen operasional dan kesalahan untuk perangkat jaringan yang juga menyediakan visualisasi grafis. Ada ribuan instans yang diterapkan di seluruh dunia yang diekspos di web.

Penasihat keamanan memperingatkan tentang kerentanan injeksi perintah kritis yang dilacak sebagai CVE-2022-46169 dengan peringkat keparahan 9,8 dari 10, di Cacti yang dapat dieksploitasi tanpa autentikasi.

Selain merilis pembaruan yang memperbaiki kerentanan, pengembang juga memberikan saran untuk mencegah injeksi perintah dan bypass otorisasi.

Awalnya, eksploitasi memasang botnet, seperti malware Mirai. Eksploitasi lain yang diinstal adalah botnet IRC (berbasis PERL) yang membuka shell terbalik pada host dan menginstruksikannya untuk menjalankan pemindaian port. Serangan yang lebih baru hanya memeriksa kerentanan.

Data peneliti Shadowserver menunjukkan upaya eksploitasi untuk kerentanan CVE-2022-46169 di Cacti meningkat minggu lalu dan jumlah total saat ini berada di bawah dua lusin.

Dalam laporan dari platform Censys, perangkat yang terhubung ke Internet, ada 6.427 host Cacti yang terekspos di web. Namun, perusahaan dapat menghitung 1.637 host Cacti yang dapat dijangkau melalui web yang rentan terhadap CVE-2022-46169, banyak di antaranya menjalankan solusi pemantauan versi 1.1.38, yang dirilis pada April 2021.

Selengkapnya: BleepingComputer