Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Fortinet mengatakan bug bypass auth kritis dieksploitasi dalam serangan

by

Fortinet telah mengkonfirmasi bahwa kerentanan keamanan bypass otentikasi kritis yang ditambal minggu lalu sedang dieksploitasi di alam liar.

Kelemahan keamanan (CVE-2022-40684) adalah bypass autentikasi pada antarmuka administratif yang memungkinkan pelaku ancaman jarak jauh untuk masuk ke firewall FortiGate, proxy web FortiProxy, dan FortiSwitch Manager (FSWM).

“Sebuah bypass otentikasi menggunakan jalur alternatif atau kerentanan saluran [CWE-288] di FortiOS, FortiProxy dan FortiSwitchManager memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi pada antarmuka administratif melalui permintaan HTTP atau HTTPS yang dibuat khusus,” kata Fortinet dalam sebuah advisory.

Perusahaan tersebut merilis pembaruan keamanan untuk mengatasi kelemahan ini pada hari Kamis. Mereka juga memperingatkan beberapa pelanggannya melalui email untuk menonaktifkan antarmuka pengguna manajemen jarak jauh pada perangkat yang terpengaruh “dengan sangat mendesak.”

Fortinet telah merilis security patch dan meminta pelanggan untuk memperbarui perangkat yang rentan ke FortiOS 7.0.7 atau 7.2.2 dan yang lebih baru, FortiProxy 7.0.7 atau 7.2.1 dan yang lebih baru, dan FortiSwitchManager 7.2.1 atau yang lebih baru untuk mempertahankan perangkat mereka dari serangan.

Fortinet juga memberikan informasi tentang bagaimana pelanggan dapat memblokir serangan yang masuk meskipun mereka tidak dapat segera memasang pembaruan keamanan.

Selengkapnya: Fortiguard | Bleeping Computer

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Microsoft Teams dianggap tidak aman untuk digunakan oleh peneliti keamanan

    by

    Firma riset keamanan siber yang berbasis di California, Vectra, telah menemukan kelemahan pada Microsoft Teams versi desktop yang berpotensi di mana token autentikasi disimpan dalam teks biasa, yang membuatnya rentan terhadap serangan pihak ketiga.

    Masalah ini memengaruhi aplikasi Teams berdasarkan kerangka kerja Electron perusahaan, yang berjalan di mesin Windows, macOS, dan Linux.

    Vectra mengatakan bahwa kredensial ini secara teoritis dapat dicuri oleh penyerang yang memiliki akses sistem lokal atau jarak jauh. Microsoft menyadari kerentanan ini, meskipun perusahaan tampaknya tidak terburu-buru untuk memperbaikinya.

    Peretas dengan akses yang diperlukan dapat mencuri data dari pengguna Teams online dan berpotensi menirunya saat mereka offline.

    Identitas ini kemudian dapat digunakan di seluruh aplikasi seperti Outlook atau Skype dengan menghindari persyaratan otentikasi multifaktor (MFA).

    “Bahkan lebih merusak, penyerang dapat merusak komunikasi yang sah dalam suatu organisasi dengan selektif menghancurkan, exfiltrating, atau terlibat dalam serangan phishing yang ditargetkan,” Connor Peoples, arsitek keamanan di Vectra, mengatakan. Dia mencatat bahwa kerentanan khusus ini hanya ada pada versi desktop Teams karena kurangnya “kontrol keamanan tambahan untuk melindungi data cookie.”

    Untuk menyampaikan maksudnya ke Microsoft, Vectra bahkan mengembangkan bukti konsep yang merinci eksploitasi, memungkinkan para peneliti untuk mengirim pesan ke akun individu yang token aksesnya dikompromikan.

    Meskipun platform Electron memudahkan pembuatan aplikasi untuk desktop, platform ini tidak menyertakan langkah-langkah keamanan penting seperti enkripsi atau lokasi file yang dilindungi sistem, standar.

    Cybersecurity Dark Reading (melalui Engadget) mendekati perusahaan untuk mengomentari kerentanan Teams dan menerima tanggapan yang cukup hangat, dan mengatakan bahwa celah keamanan ini “tidak memenuhi standar kami untuk layanan segera karena mengharuskan penyerang untuk terlebih dahulu mendapatkan akses ke jaringan sasaran.” Namun, perusahaan tidak mengesampingkan kemungkinan perbaikan yang diluncurkan di masa depan.

    Pengguna disarankan untuk tidak menggunakan aplikasi desktop Microsoft Teams hingga perbaikan. Sebagai alternatif lain, gunakan aplikasi web Teams yang memiliki perlindungan tambahan.

    Sumber: Android Police

    Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

    by

    Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

    Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

    Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

    Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

    Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

    Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

    Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

    Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

    Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

    Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

    Sumber: Bleeping Computer

    Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

    by

    Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

    Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

    Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

    Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

    • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
    • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

      • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

      Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

      Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

      Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

      Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

      Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

      Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

      Sumber : Bleeping Computer

    VPN iOS Telah Membocorkan Lalu Lintas Selama Bertahun-tahun, Klaim Peneliti [Diperbarui]

    by

    (Pembaruan, 18 Agustus, 14:40: Pendiri dan CEO Proton Andy Yen mengatakan dalam sebuah pernyataan: “Fakta bahwa ini masih menjadi masalah mengecewakan untuk sedikitnya. Kami pertama kali memberi tahu Apple secara pribadi tentang masalah ini dua tahun lalu. Apple menolak untuk memperbaiki masalah, itulah sebabnya kami mengungkapkan kerentanan untuk melindungi publik. Keamanan jutaan orang ada di tangan Apple, mereka adalah satu-satunya yang dapat memperbaiki masalah, tetapi mengingat kurangnya tindakan selama dua tahun terakhir tahun, kami tidak terlalu optimis Apple akan melakukan hal yang benar.”)

    Kisah asli: Seorang peneliti keamanan mengatakan bahwa perangkat iOS Apple tidak sepenuhnya mengarahkan semua lalu lintas jaringan melalui VPN seperti yang diharapkan pengguna, masalah keamanan potensial yang telah diketahui oleh pembuat perangkat selama bertahun-tahun.

    Michael Horowitz, seorang blogger dan peneliti keamanan komputer lama, dengan gamblang dalam posting blog yang terus diperbarui. “VPN di iOS rusak,” katanya.

    VPN pihak ketiga mana pun tampaknya berfungsi pada awalnya, memberi perangkat alamat IP baru, server DNS, dan terowongan untuk lalu lintas baru, tulis Horowitz. Tetapi sesi dan koneksi yang dibuat sebelum VPN diaktifkan tidak berhenti dan, dalam temuan Horowitz dengan log router tingkat lanjut, masih dapat mengirim data di luar terowongan VPN saat sedang aktif.

    Dengan kata lain, Anda mungkin mengharapkan klien VPN untuk mematikan koneksi yang ada sebelum membuat koneksi yang aman sehingga mereka dapat dibangun kembali di dalam terowongan. Tetapi VPN iOS tampaknya tidak dapat melakukan ini, kata Horowitz, sebuah temuan yang didukung oleh laporan serupa dari Mei 2020.

    “Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

    Perusahaan privasi Proton sebelumnya melaporkan kerentanan bypass VPN iOS yang dimulai setidaknya di iOS 13.3.1. Seperti posting Horowitz, blog ProtonVPN mencatat bahwa VPN biasanya menutup semua koneksi yang ada dan membukanya kembali di dalam terowongan VPN, tetapi itu tidak terjadi di iOS. Sebagian besar koneksi yang ada pada akhirnya akan berakhir di dalam terowongan, tetapi beberapa, seperti layanan pemberitahuan push Apple, dapat bertahan selama berjam-jam.

    Masalah utama dengan koneksi non-tunnel yang bertahan adalah bahwa mereka dapat tidak terenkripsi dan bahwa alamat IP pengguna dan apa yang mereka sambungkan dapat dilihat oleh ISP dan pihak lain. “Mereka yang berisiko tinggi karena kelemahan keamanan ini adalah orang-orang di negara-negara di mana pengawasan dan pelanggaran hak-hak sipil biasa terjadi,” tulis ProtonVPN saat itu. Itu mungkin bukan masalah mendesak bagi pengguna VPN biasa, tetapi ini penting.

    ProtonVPN mengkonfirmasi bahwa bypass VPN bertahan dalam tiga pembaruan berikutnya untuk iOS 13. ProtonVPN menunjukkan dalam posting blognya bahwa Apple akan menambahkan fungsionalitas untuk memblokir koneksi yang ada, tetapi fungsi yang ditambahkan ini tampaknya tidak membuat perbedaan dalam hasil Horowitz.

    Horowitz menguji aplikasi ProtonVPN pada pertengahan 2022 di iPad iOS 15.4.1 dan menemukan bahwa itu masih memungkinkan koneksi non-tunnel yang persisten ke layanan push Apple. Fungsi Kill Switch ditambahkan ke ProtonVPN, yang menjelaskan fungsinya sebagai memblokir semua lalu lintas jaringan jika terowongan VPN hilang, tidak mencegah kebocoran, menurut Horowitz.

    Horowitz menguji lagi di iOS 15.5 dengan penyedia VPN dan aplikasi iOS yang berbeda (OVPN, menjalankan protokol WireGuard). iPad-nya terus mengajukan permintaan ke layanan Apple dan Amazon Web Services.

    ProtonVPN telah menyarankan solusi yang “hampir sama efektifnya” dengan menutup semua koneksi secara manual saat memulai VPN: Sambungkan ke server VPN, aktifkan mode pesawat, lalu matikan. “Koneksi Anda yang lain juga harus terhubung kembali di dalam terowongan VPN, meskipun kami tidak dapat menjamin ini 100%,” tulis ProtonVPN. Horowitz menyarankan bahwa fungsi Mode Pesawat iOS sangat membingungkan sehingga menjadikannya bukan jawaban.

    Posting Horowitz tidak menawarkan secara spesifik tentang bagaimana iOS dapat memperbaiki masalah ini. Dia juga tidak membahas VPN yang menawarkan “penerowongan terpisah”, yang berfokus pada janji VPN yang menangkap semua lalu lintas jaringan. Sementara itu, Horowitz merekomendasikan router VPN khusus seharga $130 sebagai solusi VPN yang benar-benar aman.

    VPN, terutama penawaran komersial, terus menjadi bagian rumit dari keamanan dan privasi Internet. Memilih “VPN terbaik” telah lama menjadi tantangan. VPN dapat diturunkan oleh kerentanan, server tidak terenkripsi, pialang data yang rakus, atau dimiliki oleh Facebook.

    Sumber: Ars Technica

    Video musik Janet Jackson menyatakan eksploitasi keamanan siber

    by

    Video musik untuk hit pop Janet Jackson tahun 1989, Rhythm Nation, telah diakui sebagai eksploitasi untuk kerentanan keamanan siber setelah Microsoft melaporkannya dapat merusak komputer laptop lama.

    Kisah tersebut merinci bagaimana “produsen komputer besar menemukan bahwa memutar video musik untuk Rhythm Nation milik Janet Jackson akan merusak model laptop tertentu.”

    Penyelidikan lebih lanjut mengungkapkan bahwa beberapa mesin pabrikan juga mogok. Terkadang memutar video di satu laptop akan membuat laptop lain di dekatnya mogok. Ini misterius karena lagunya sebenarnya tidak seburuk itu.

    Investigasi mengungkapkan bahwa semua laptop yang mogok berbagi hard disk drive 5400 RPM yang sama.

    Pabrikan yang menemukan masalah tampaknya menambahkan filter khusus di saluran audio untuk mendeteksi dan menghapus frekuensi yang mengganggu selama pemutaran audio.

    Beberapa mesin modern memiliki hard disk drive, apalagi drive yang berputar dengan kecepatan sangat lambat 5400 putaran per menit. Juga, hampir tidak ada orang yang mendengarkan Janet Jackson lagi.

    Register tetap melaporkan berita ini karena The Mitre Corporation telah melihat cocok untuk mendaftarkannya pada daftar Common Vulnerabilities and Exposures (CVEs) – daftar pasti kerentanan keamanan siber yang perlu kita semua waspadai.

    Ini terdaftar sebagai CVE-2022-38392 dan telah diakui oleh vendor keamanan Tenable.

    Meskipun bug tersebut tampak lucu, serangan saluran samping adalah ancaman nyata. Peneliti Israel Mordechai Guri telah menemukan cara untuk menyerang komputer termasuk dengan membuat memori memancarkan radiasi dalam pita yang sama yang digunakan oleh Wi-Fi dan mengkodekan informasi ke dalam emisi tersebut.

    Oleh karena itu, pemilik laptop dengan hard disk lama, lambat, harus sangat berhati-hati jika mereka mendengar lagu Janet Jackson saat bekerja – itulah sebabnya kami tidak menyertakan Rhythm Nation dalam cerita ini.

    Sumber: The Register

    Manfaatkan kelemahan Realtek kritis yang memengaruhi banyak perangkat jaringan

    by

    Kode eksploitasi telah dirilis untuk kerentanan kritis yang memengaruhi perangkat jaringan dengan sistem RTL819x Realtek pada chip (SoC), yang diperkirakan berjumlah jutaan.

    Cacat diidentifikasi sebagai CVE-2022-27255 dan penyerang jarak jauh dapat mengeksploitasinya untuk mengkompromikan perangkat yang rentan dari berbagai produsen peralatan asli (OEM), mulai dari router dan titik akses hingga repeater sinyal.

    Para peneliti dari perusahaan keamanan siber Faraday Security di Argentina menemukan kerentanan di SDK Realtek untuk sistem operasi eCos open-source dan mengungkapkan detail teknisnya minggu lalu di konferensi peretas DEFCON.

    Empat peneliti (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) yang dianggap menemukan kerentanan adalah mahasiswa ilmu komputer di Universitas Buenos Aires.

    Presentasi mereka mencakup seluruh upaya yang mengarah untuk menemukan masalah keamanan, mulai dari memilih target hingga menganalisis firmware dan mengeksploitasi kerentanan, dan mengotomatiskan deteksi pada gambar firmware lainnya.

    CVE-2022-27255 adalah buffer overflow berbasis tumpukan dengan skor keparahan 9,8 dari 10 yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode tanpa otentikasi dengan menggunakan paket SIP yang dibuat khusus dengan data SDP berbahaya.

    Realtek mengatasi masalah pada bulan Maret dengan mencatat bahwa hal itu mempengaruhi seri rtl819x-eCos-v0.x dan seri rtl819x-eCos-v1.x dan dapat dieksploitasi melalui antarmuka WAN.

    Empat peneliti dari Faraday Security telah mengembangkan kode eksploitasi proof-of-concept (PoC) untuk CVE-2022-27255 yang bekerja pada router Nexxt Nebula 300 Plus.

    Para peneliti mencatat bahwa CVE-2022-27255 adalah kerentanan tanpa klik, yang berarti bahwa eksploitasi diam dan tidak memerlukan interaksi dari pengguna.

    Penyerang yang mengeksploitasi kerentanan ini hanya membutuhkan alamat IP eksternal dari perangkat yang rentan.

    Johannes Ullrich, Dekan Riset SANS mengatakan bahwa penyerang jarak jauh dapat mengeksploitasi kerentanan untuk tindakan berikut:

    • merusak perangkat
    • jalankan kode arbitrer
    • membangun Backdoor untuk ketekunan
    • merutekan ulang lalu lintas jaringan
    • mencegat lalu lintas jaringan

    Ullrich memperingatkan bahwa jika eksploitasi untuk CVE-2022-27255 berubah menjadi worm, itu bisa menyebar ke internet dalam hitungan menit.

    Meskipun patch telah tersedia sejak Maret, Ullrich memperingatkan bahwa kerentanan mempengaruhi “banyak (jutaan) perangkat” dan bahwa perbaikan tidak mungkin menyebar ke semua perangkat.

    Ini karena beberapa vendor menggunakan Realtek SDK yang rentan untuk peralatan berdasarkan SoC RTL819x dan banyak dari mereka belum merilis pembaruan firmware.

    Tidak jelas berapa banyak perangkat jaringan yang menggunakan chip RTL819x tetapi versi RTL819xD dari SoC hadir dalam produk dari lebih dari 60 vendor. Diantaranya ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, dan Zyxel.

    Peneliti mengatakan bahwa:

    • Perangkat yang menggunakan firmware yang dibangun di sekitar Realtek eCOS SDK sebelum Maret 2022 rentan
    • Anda rentan bahkan jika Anda tidak mengekspos fungsionalitas antarmuka admin apa pun
    • Penyerang dapat menggunakan satu paket UDP ke port arbitrer untuk mengeksploitasi kerentanan
    • Kerentanan ini kemungkinan akan paling memengaruhi router, tetapi beberapa perangkat IoT yang dibangun di sekitar SDK Realtek juga mungkin terpengaruh

    Ulrich membuat aturan Snort di sini yang dapat mendeteksi eksploitasi PoC. Itu mencari pesan “INVITE” dengan string “m=audio” dan terpicu ketika ada lebih dari 128 byte (ukuran buffer yang dialokasikan oleh Realtek SDK) dan jika tidak ada yang merupakan carriage return.

    Pengguna harus memeriksa apakah peralatan jaringan mereka rentan dan menginstal pembaruan firmware dari vendor yang dirilis setelah Maret, jika tersedia. Selain itu, organisasi dapat mencoba memblokir permintaan UDP yang tidak diminta.

    Sumber: Bleeping Computer