Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

OpenSSL Merilis Pembaruan Keamanan untuk Kerentanan Tingkat Tinggi

by

Kemarin kerentanan OpenSSL ditandai sebagai patch tingkat kritis pertama sejak bug Heartbleed. Namun saat perbaikan dirilis, perbaikan keamanan berubah menjadi “Tinggi” untuk buffer overflow, yang memengaruhi semua instalasi OpenSSL 3.x tetapi tidak mungkin mengarah pada eksekusi kode jarak jauh.

Kerentanan spesifik tersebut adalah (CVE-2022-37786 dan CVE-2022-3602) sebagian besar tidak diketahui hingga hari ini, tetapi analis dan bisnis di bidang keamanan web mengisyaratkan mungkin ada masalah penting dan kesulitan pemeliharaan.

Beberapa distribusi Linux, termasuk Fedora, menahan rilis hingga patch tersedia. Akamai mencatat sebelum patch bahwa setengah dari jaringan yang dipantau memiliki setidaknya satu mesin dengan instance OpenSSL 3.x yang rentan, dan di antara jaringan tersebut, antara 0,2 dan 33 persen mesin rentan.

Namun kerentanan spesifik—keadaan terbatas, luapan sisi klien yang dimitigasi oleh tata letak stack pada sebagian besar platform modern kini ditambal, dan diberi peringkat sebagai “Tinggi”. Dan dengan OpenSSL 1.1.1 masih dalam fase dukungan jangka panjang, OpenSSL 3.x hampir tidak tersebar luas.

Pakar malware Marcus Hutchins menunjuk ke komit OpenSSL di GitHub yang merinci masalah kode: “memperbaiki dua buffer overflows dalam fungsi decoding kode kecil.” Alamat email berbahaya, yang diverifikasi dalam sertifikat X.509, dapat melebihi jumlah byte pada stack, yang mengakibatkan crash atau kemungkinan eksekusi kode jarak jauh, bergantung pada platform dan konfigurasi.

Tetapi kerentanan ini sebagian besar memengaruhi klien, bukan server, jadi jenis pengaturan ulang keamanan Internet (dan absurditas) yang sama dari Heartbleed kemungkinan tidak akan mengikuti. VPN yang menggunakan OpenSSL 3.x dapat terpengaruh, misalnya, dan bahasa seperti Node.js. Pakar keamanan siber Kevin Beaumont menunjukkan bahwa perlindungan stack overflow di sebagian besar konfigurasi default distribusi Linux seharusnya mencegah eksekusi kode.

Menurut tim keamanan OpenSSL, organisasi menguji dan memberikan umpan balik. Pada beberapa distribusi Linux, overflow 4-byte mungkin terjadi dengan satu serangan menimpa buffer yang berdekatan yang belum digunakan, sehingga tidak dapat merusak sistem atau mengeksekusi kode. Kerentanan lainnya hanya memungkinkan penyerang untuk mengatur panjang overflow, bukan konten.

Jadi sementara crash masih mungkin terjadi, dan beberapa stack dapat diatur dengan cara yang memungkinkan eksekusi kode jarak jauh. Namun, pengguna dari implementasi OpenSSL 3.x harus melakukan patch sesegera mungkin. Dan semua orang harus mencari pembaruan perangkat lunak dan OS yang dapat menambal masalah ini di berbagai subsistem.

Layanan pemantauan Datadog, dalam ringkasan masalah yang baik, mencatat bahwa tim peneliti keamanannya dapat membuat crash penerapan Windows menggunakan versi OpenSSL 3.x sebagai bukti konsep. Dan sementara penyebaran Linux tidak mungkin dieksploitasi, “eksploitasi yang dibuat untuk penyebaran Linux” masih bisa muncul.

National Cyber ​​Security Centrum of the Netherlands (NCSL-NL) memiliki daftar perangkat lunak yang rentan terhadap eksploitasi OpenSSL 3.x. Banyak distribusi Linux populer, platform virtualisasi, dan alat lainnya terdaftar sebagai rentan atau sedang diselidiki.

Meskipun terjadi pengurangan risiko pada kerentanan OpenSSl tetapi patch masih diperlukan karena kerentanan masih tersedia

Link patch: OpenSSL Update
Sumber: Arstechnica

Kerentanan OpenSSL Baru Akan Datang Bersiaplah untuk Menambal

by

Pada hari Selasa 1 November, antara pukul 1-5 sore UTC, versi baru dari seri OpenSSL 3.x yang diadopsi secara luas akan dirilis untuk konsumsi umum. Proyek OpenSSL mengungkapkan adanya kerentanan keamanan KRITIS baru yang diperbaiki pada patch ini.

Pemberitahuan lebih awal ini dirancang untuk memberikan sedikit waktu bagi organisasi dan individu untuk bersiap-siap menghadapi pembaruan penting yang akan datang. OpenSSL secara luas dianggap sebagai bagian dari infrastruktur penting internet antara lain menghasilkan sertifikat yang memungkinkan situs web dijalankan melalui HTTPS.

Pada saat penulisan, tampaknya hanya versi OpenSSL antara 3.0-> 3.0.6 yang terpengaruh, dan kerentanan keamanan kritis ini diperbaiki pada versi 3.0.7 mendatang. OpenSSL 3 diadopsi secara luas, tetapi survei saat ini menunjukkan bahwa itu masih jauh melebihi distribusi 1.x yang sebagian besar keluar dari LTS hari ini dan sepenuhnya setelah September 2023.

Namun, ada 62 paket pembungkus yang didistribusikan oleh ekosistem Java Open Source terbesar di dunia Maven Central yang mengemas ulang OpenSSL. Ini lebih sering dimasukkan ke proyek secara transitif atau diperlukan dari sistem oleh perangkat lunak. Memang, aplikasi apa pun yang menyediakan server web, atau menggunakan server web, dapat berjalan pada perangkat lunak server yang mengandalkan versi lama.

Kerentanan OpenSSL memiliki dampak yang luas yang bisa melupakan kerentanan Heartbleed terkenal yang memengaruhinya. Heartbleed memulai tren penamaan kerentanan keamanan dan secara luas dikreditkan telah memulai gerakan massal menuju kesadaran kerentanan keamanan di masyarakat umum.

Meskipun jumlah kode yang terpengaruh hari ini mungkin hanya menyentuh beberapa paket, kerentanan kritis seperti ini tidak pernah datang sendiri. Seringkali kelemahan serupa ditemukan kemudian baik terinspirasi oleh masalah asli atau menggunakan metodologi serupa. Menjalankan inventaris proaktif dari versi OpenSSL yang telah Anda instal dan mengidentifikasi sistem apa pun yang berjalan pada 3.x akan mempercepat upaya patching Anda.

Sama seperti kerentanan Text4shell minggu lalu, kerentanan keamanan terjadi terus-menerus di dunia open source dan beban tindakan terletak tepat pada pengadopsinya untuk bereaksi dengan cepat. Menurut laporan penelitian State of The Software Supply Chain, industri tidak pandai mengadopsi perbaikan dengan lebih dari 62% unduhan yang rentan dapat dihindari.

Sumber: Sonatype

Kerentanan Berusia 22 Tahun Dilaporkan di Perpustakaan Database SQLite

by

Kerentanan tingkat tinggi telah diungkapkan di perpustakaan database SQLite, yang diperkenalkan sebagai bagian dari perubahan kode sejak Oktober 2000 dan dapat memungkinkan penyerang untuk merusak atau mengontrol program.

Dilacak sebagai CVE-2022-35737 (skor CVSS: 7,5), masalah berusia 22 tahun memengaruhi SQLite versi 1.0.12 hingga 3.39.1, dan telah diatasi dalam versi 3.39.2 yang dirilis pada 21 Juli 2022.

“CVE-2022-35737 dapat dieksploitasi pada sistem 64-bit, dan eksploitabilitas bergantung pada bagaimana program dikompilasi,” kata peneliti Trail of Bits Andreas Kellas dalam tulisan teknis yang diterbitkan hari ini.

“Eksekusi kode arbitrer dikonfirmasi ketika perpustakaan dikompilasi tanpa stack canaries, tetapi tidak dikonfirmasi ketika stack canary hadir, dan penolakan layanan dikonfirmasi dalam semua kasus.”

Diprogram dalam C, SQLite adalah mesin database yang paling banyak digunakan, disertakan secara default di Android, iOS, Windows, dan macOS, serta browser web populer seperti Google Chrome, Mozilla Firefox, dan Apple Safari.

Kerentanan yang ditemukan oleh Trail of Bits menyangkut bug overflow integer yang terjadi ketika input string yang sangat besar dilewatkan sebagai parameter ke implementasi SQLite dari fungsi printf, yang, pada gilirannya, menggunakan fungsi lain untuk menangani pemformatan string (“sqlite3_str_vappendf “).

Namun, persenjataan yang berhasil dari bank cacat pada prasyarat bahwa string berisi jenis substitusi format %Q, %q, atau %w, berpotensi menyebabkan crash program ketika data yang dikendalikan pengguna ditulis di luar batas tumpukan- buffer yang dialokasikan.

“Jika format string berisi ‘!’ karakter khusus untuk mengaktifkan pemindaian karakter unicode, maka dimungkinkan untuk mencapai eksekusi kode arbitrer dalam kasus terburuk, atau menyebabkan program hang dan loop (hampir) tanpa batas waktu,” jelas Kellas.

Kerentanan juga merupakan contoh skenario yang pernah dianggap tidak praktis beberapa dekade lalu mengalokasikan string 1GB sebagai input menjadi layak dengan munculnya sistem komputasi 64-bit.

Sumber: The Hackernews

Cacat RCE Teks Apache Commons, Haruskah Anda khawatir?

by

Cacat eksekusi kode jarak jauh (RCE) di library Teks Apache Commons membuat beberapa orang khawatir bahwa itu bisa berubah menjadi Log4Shell berikutnya. Namun, sebagian besar peneliti keamanan siber mengatakan itu sama sekali tidak mengkhawatirkan.

Apache Commons Text adalah library Java open-source populer dengan “sistem interpolasi” yang memungkinkan pengembang untuk memodifikasi, mendekode, menghasilkan, dan melepaskan string berdasarkan pencarian string yang dimasukkan.

Misalnya, meneruskan pencarian string ${base64Decoder:SGVsbG9Xb3JsZCE=} ke sistem interpolasi akan menyebabkan library mengonversinya ke nilai dekode base64 ‘HelloWorld!’.

Kerentanan CVE-2022-42889 baru di Apache Commons Text, dijuluki “Text4Shell,” disebabkan oleh evaluasi skrip yang tidak aman oleh sistem interpolasi yang dapat memicu eksekusi kode saat memproses input berbahaya dalam konfigurasi default library.

Masalah ini ditemukan oleh analis ancaman GitHub Alvaro Munoz dan dilaporkan ke Apache pada 9 Maret 2022.

Namun, pengembang library open-source membutuhkan waktu 7 bulan, hingga 12 Oktober 2022, untuk merilis perbaikan di versi 1.10.0, yang menonaktifkan interpolasi.

Haruskah Anda khawatir?
Karena penyebaran library yang rentan secara luas, dan karena cacat tersebut memengaruhi versi yang ada sejak 2018, beberapa awalnya khawatir bahwa itu dapat menyebabkan kerusakan yang meluas seperti kerentanan Log4Shell.

Namun berdasarkan laporan dari Rapid7, tidak semua versi antara 1.5 dan 1.9 tampak rentan dan bahwa potensi eksploitasinya terhubung ke versi JDK yang digunakan.

Bahkan dengan eksploitasi proof of concept (PoC) yang diperbarui menggunakan mesin JEXL sebagai jalur eksploitasi melewati batasan JDK, para peneliti masih tidak terlalu khawatir.

Tim keamanan Apache mengatakan bahwa cakupan kelemahannya tidak seserius Log4Shell, menjelaskan bahwa interpolasi string adalah fitur yang terdokumentasi. Oleh karena itu, kecil kemungkinannya bahwa aplikasi yang menggunakan library akan secara tidak sengaja melewatkan input yang tidak aman tanpa validasi.

Sementara kelemahan tingkat keparahan kritis tetap tidak ditambal selama tujuh bulan dan terpapar pada upaya eksploitasi, tidak ada laporan pelecehan di alam liar bahkan setelah eksploitasi dilepaskan.

Meskipun kita mungkin akan melihat beberapa aktor ancaman yang mengeksploitasi CVE-2022-42889 di masa depan, mungkin cakupannya akan terbatas.

Untuk saat ini, pengguna disarankan untuk meningkatkan ke versi 1.10 atau yang lebih baru sesegera mungkin untuk memperbaiki kekurangannya.

Sumber: Bleeping Computer

Microsoft memperbaiki kegagalan handshake Windows TLS dalam pembaruan out-of-band

by

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk mengatasi masalah yang disebabkan oleh pembaruan keamanan Windows Oktober 2022 yang memicu kegagalan handshake SSL/TLS pada platform klien dan server.

Pada perangkat yang terpengaruh, pengguna akan melihat kesalahan SEC_E_ILLEGAL_MESSAGE dalam aplikasi saat koneksi ke server mengalami masalah.

“Kami mengatasi masalah yang mungkin memengaruhi beberapa jenis koneksi Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Koneksi ini mungkin mengalami kegagalan handshake,” Microsoft menjelaskan.

“Untuk pengembang, koneksi yang terpengaruh cenderung menerima satu atau lebih catatan diikuti oleh sebagian catatan dengan ukuran kurang dari 5 byte dalam buffer input tunggal.”

Masalah umum yang dibahas dalam pembaruan OOB hari ini memengaruhi beberapa rilis dan edisi Windows, termasuk:

  • Klien: Windows 11, versi 22H2; Windows 11, versi 21H2; Windows 10, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10 Perusahaan LTSC 2019; Windows 10 Perusahaan LTSC 2016; Windows 10 Perusahaan 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; WindowsServer 2019; WindowsServer 2016; Windows Server 2012 R2; WindowsServer 2012; Windows Server 2008 R2 SP1

Pembaruan tidak dapat disebarkan melalui Pembaruan Windows, untuk menginstalnya Anda dapat mengunduh dari Katalog Pembaruan Microsoft dan mengimpornya secara manual ke WSUS dan Microsoft Endpoint Configuration Manager.
Microsoft telah merilis paket mandiri dan pembaruan kumulatif:

Pembaruan kumulatif:
Windows 11, versi 21H2: KB5020387
Windows Server 2022: KB5020436
Windows 10, versi 20H2; Windows 10, versi 21H1; Windows 10, versi 22H1; Windows 10 Enterprise LTSC 2021: KB5020435
Windows 10 Perusahaan LTSC 2019; Windows Server 2019: KB5020438
Pembaruan Mandiri:
Windows 8.1; Windows Server 2012 R2: KB5020447
Windows Server 2012: KB5020449
Windows 7 SP1; Windows Server 2008 R2 SP1: KB5020448

Perusahaan masih mengerjakan perbaikan untuk Windows 10 2016 LTSB, Windows Server 2016, dan Windows 10 2015 LTSB.

Setelah menyebarkan pembaruan, Layanan Cluster mungkin gagal untuk memulai karena Pengandar Jaringan Cluster tidak ditemukan karena pembaruan untuk pengandar kelas PnP yang digunakan oleh layanan.

Bulan lalu, Microsoft mengatakan bahwa mereka secara tidak sengaja mencantumkan pembaruan pratinjau Windows September di Layanan Pembaruan Server Windows (WSUS).

Redmond menambahkan bahwa hingga pembaruan dihapus dari WSUS, itu masih dapat menyebabkan masalah pemasangan pembaruan keamanan di beberapa lingkungan terkelola.

Selengkapnya: Bleeping Computer

Kerentanan RCE Kritis Ditemukan di Perangkat Lunak Peretasan Cobalt Strike Populer

by

HelpSystems, perusahaan di balik platform perangkat lunak Cobalt Strike, telah merilis pembaruan keamanan out-of-band untuk mengatasi kerentanan eksekusi kode jarak jauh yang memungkinkan penyerang mengambil kendali sistem yang ditargetkan.

Cobalt Strike adalah kerangka kerja tim merah komersial yang terutama digunakan untuk simulasi musuh, tetapi versi perangkat lunak yang retak telah disalahgunakan secara aktif oleh operator ransomware dan kelompok ancaman persisten lanjutan (APT) yang berfokus pada spionase.

Alat pasca-eksploitasi terdiri dari server tim, yang berfungsi sebagai komponen perintah-dan-kontrol (C2), dan suar, malware default yang digunakan untuk membuat koneksi ke server tim dan menjatuhkan muatan tahap berikutnya.

Masalah ini, dilacak sebagai CVE-2022-42948, memengaruhi Cobalt Strike versi 4.7.1, dan berasal dari tambalan tidak lengkap yang dirilis pada 20 September 2022, untuk memperbaiki kerentanan skrip lintas situs (XSS) (CVE-2022-39197) yang dapat menyebabkan eksekusi kode jarak jauh.

“Kerentanan XSS dapat dipicu dengan memanipulasi beberapa bidang input UI sisi klien, dengan mensimulasikan check-in implan Cobalt Strike atau dengan mengaitkan implan Cobalt Strike yang berjalan pada host,” kata peneliti IBM X-Force, Rio Sherri dan Ruben Boonen. dalam sebuah tulisan.

Namun, ditemukan bahwa eksekusi kode jarak jauh dapat dipicu dalam kasus tertentu menggunakan kerangka Java Swing, perangkat antarmuka pengguna grafis yang digunakan untuk merancang Cobalt Strike.

“Komponen tertentu dalam Java Swing akan secara otomatis menafsirkan teks apa pun sebagai konten HTML jika dimulai dengan ,” Greg Darwin, manajer pengembangan perangkat lunak di HelpSystems, menjelaskan dalam sebuah posting. “Menonaktifkan penguraian otomatis tag html di seluruh klien sudah cukup untuk mengurangi perilaku ini.”

Ini berarti bahwa aktor jahat dapat mengeksploitasi perilaku ini melalui tag HTML, menggunakannya untuk memuat muatan khusus yang dihosting di server jauh dan menyuntikkannya ke dalam bidang catatan serta menu penjelajah file grafis di Cobalt menyerang UI.

Temuan ini muncul sedikit lebih dari seminggu setelah Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) memperingatkan senjata lanjutan dari alat yang sah seperti Cobalt Strike dalam serangan yang ditujukan pada sektor perawatan kesehatan.

Sumber: The Hackernews

Bagaimana kesalahan Microsoft membuka jutaan PC untuk serangan malware yang kuat

by

Selama hampir dua tahun, Microsoft merusak pertahanan utama Windows yang membuat pelanggan terbuka terhadap teknik infeksi malware yang sangat efektif dalam beberapa bulan terakhir.

Microsoft dengan tegas menegaskan bahwa Pembaruan Windows akan secara otomatis menambahkan driver perangkat lunak baru ke daftar blokir yang dirancang untuk menggagalkan trik terkenal di buku pedoman infeksi malware.

Teknik malware dikenal sebagai BYOVD, kependekan dari “bawa driver Anda sendiri yang rentan” memudahkan penyerang dengan kontrol administratif untuk melewati perlindungan kernel Windows. Penyerang hanya menginstal salah satu dari lusinan driver pihak ketiga dengan kerentanan yang diketahui. Kemudian penyerang mengeksploitasi kerentanan tersebut untuk mendapatkan akses instan ke beberapa wilayah Windows yang paling dibentengi.

Namun, ternyata Windows tidak mengunduh dan menerapkan pembaruan dengan benar ke daftar blokir driver, yang membuat pengguna rentan terhadap serangan BYOVD baru.

Driver biasanya memungkinkan komputer untuk bekerja dengan printer, kamera, atau perangkat periferal lainnya—atau untuk melakukan hal lain seperti menyediakan analisis tentang fungsi perangkat keras komputer. Agar banyak driver dapat bekerja, mereka memerlukan saluran langsung ke kernel, inti dari sistem operasi tempat kode paling sensitif berada. Untuk alasan ini, Microsoft sangat membentengi kernel dan mengharuskan semua driver ditandatangani secara digital dengan sertifikat yang memverifikasi bahwa mereka telah diperiksa dan berasal dari sumber tepercaya.

Meski begitu, bagaimanapun, driver yang sah terkadang mengandung kerentanan kerusakan memori atau kelemahan serius lainnya yang, ketika dieksploitasi, memungkinkan peretas untuk menyalurkan kode berbahaya mereka langsung ke kernel. Bahkan setelah pengembang menambal kerentanan, driver lama dan buggy tetap menjadi kandidat yang sangat baik untuk serangan BYOVD karena sudah ditandatangani. Dengan menambahkan driver semacam ini ke alur eksekusi serangan malware, peretas dapat menghemat waktu pengembangan dan pengujian selama bermingguminggu.

YOVD telah menjadi fakta kehidupan setidaknya selama satu dekade. Malware yang dijuluki “Slingshot” menggunakan BYOVD setidaknya sejak 2012, dan pendatang awal lainnya ke adegan BYOVD termasuk LoJax, InvisiMole, dan RobbinHood.

Salah satu serangan semacam itu akhir tahun lalu dilakukan oleh kelompok Lazarus yang didukung pemerintah Korea Utara. Itu menggunakan driver Dell yang dinonaktifkan dengan kerentanan tingkat tinggi untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Dalam serangan BYOVD terpisah beberapa bulan lalu, penjahat dunia maya memasang ransomware BlackByte dengan menginstal dan kemudian mengeksploitasi driver buggy untuk MSI AfterBurner 4.6.2.15658 MicroStar, sebuah utilitas overclocking kartu grafis yang banyak digunakan.

Microsoft sangat menyadari ancaman BYOVD dan telah bekerja pada pertahanan untuk menghentikan serangan ini, terutama dengan membuat mekanisme untuk menghentikan Windows memuat driver yang ditandatangani tetapi rentan.

Mekanisme paling umum untuk pemblokiran driver menggunakan kombinasi dari apa yang disebut integritas memori dan HVCI, kependekan dari HypervisorProtected Code Integrity. Mekanisme terpisah untuk mencegah driver buruk ditulis ke disk dikenal sebagai ASR, atau Attack Surface Reduction.

Sumber: Arstechnica

Bug Kritis di PLC SIMATIC Siemens Dapat Membiarkan Penyerang Mencuri Kunci Kriptografis

by

Kerentanan di Siemens Simatic Programmable Logic Controller (PLC) dapat dieksploitasi untuk mengambil kunci kriptografi pribadi global yang dikodekan secara keras dan mengambil kendali perangkat.

Kerentanan kritis, diberi pengenal CVE-2022-38465, diberi peringkat 9,3 pada skala penilaian CVSS dan telah ditangani oleh Siemens sebagai bagian dari pembaruan keamanan yang dikeluarkan pada 11 Oktober 2022.

Daftar produk dan versi yang terpengaruh ada di bawah –

  • Keluarga Pengendali Drive SIMATIC (semua versi sebelum 2.9.2)
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2, termasuk varian SIPLUS (semua versi sebelum 21.9)
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC, termasuk varian SIPLUS (semua versi)
  • Keluarga CPU SIMATIC S7-1200, termasuk varian SIPLUS (semua versi sebelum 4.5.0)
  • Keluarga CPU SIMATIC S7-1500, termasuk CPU ET200 terkait dan varian SIPLUS (semua versi sebelum V2.9.2)
  • Pengontrol Perangkat Lunak SIMATIC S7-1500 (semua versi sebelum 21.9), dan SIMATIC S7-PLCSIM Lanjutan (semua versi sebelum 4.0)

Claroty mengatakan bahwa ia bisa mendapatkan hak baca dan tulis ke pengontrol dengan mengeksploitasi kelemahan yang diungkapkan sebelumnya di PLC Siemens (CVE-2020-15782), yang memungkinkan pemulihan kunci pribadi.

Melakukan hal itu tidak hanya akan mengizinkan penyerang untuk menghindari kontrol akses dan mengesampingkan kode asli, tetapi juga mendapatkan kontrol penuh atas setiap PLC per lini produk Siemens yang terpengaruh.

CVE-2022-38465 mencerminkan kelemahan parah lainnya yang diidentifikasi dalam Rockwell Automation PLCs (CVE-2021-22681) tahun lalu dan yang dapat memungkinkan musuh untuk terhubung dari jarak jauh ke pengontrol, dan mengunggah kode berbahaya, mengunduh informasi dari PLC, atau instal firmware baru.

Sebagai solusi dan mitigasi, Siemens merekomendasikan pelanggan untuk menggunakan komunikasi PG/PC dan HMI lama hanya di lingkungan jaringan tepercaya dan akses aman ke Portal TIA dan CPU untuk mencegah koneksi yang tidak sah.

Perusahaan manufaktur industri Jerman juga telah mengambil langkah untuk mengenkripsi komunikasi antara stasiun teknik, PLC, dan panel HMI dengan Transport Layer Security (TLS) di TIA Portal versi 17, sambil memperingatkan bahwa “kemungkinan pelaku jahat menyalahgunakan kunci pribadi global sebagai meningkat.”

Temuan ini merupakan yang terbaru dari serangkaian kelemahan utama yang ditemukan pada perangkat lunak yang digunakan dalam jaringan industri. Awal Juni ini, Claroty merinci lebih dari selusin masalah dalam sistem manajemen jaringan (NMS) Siemens SINEC yang dapat disalahgunakan untuk mendapatkan kemampuan eksekusi kode jarak jauh.

Kemudian pada April 2022, perusahaan membuka dua kerentanan di Rockwell Automation PLCs (CVE-2022-1159 dan CVE-2022-1161) yang dapat dieksploitasi untuk memodifikasi program pengguna dan mengunduh kode berbahaya ke pengontrol.

Sumber: The Hackernews