Vulnerability

OSV-Scanner: Pemindai kerentanan gratis untuk perangkat lunak sumber terbuka

December 24, 2022 by Søren

“OSV.dev memungkinkan semua ekosistem sumber terbuka dan basis data kerentanan yang berbeda untuk menerbitkan dan menggunakan informasi dalam satu format yang sederhana, tepat, dan dapat dibaca mesin,” jelas Rex Pan, seorang insinyur perangkat lunak di Tim Keamanan Sumber Terbuka Google.

“Secara keseluruhan OSV.dev sekarang mendukung 16 ekosistem, termasuk semua ekosistem bahasa utama, distribusi Linux (Debian dan Alpine), serta Android, Kernel Linux, dan OSS-Fuzz. Ini berarti database OSV.dev sekarang menjadi database kerentanan sumber terbuka terbesar dari jenisnya, dengan total lebih dari 38.000 penasihat dari 15.000 penasihat setahun yang lalu.”

OSV-Scanner berfungsi sebagai frontend ke database OSV.dev.

Pertama melalui file kunci proyek (file yang menyimpan informasi grafik dependensi), SBOM, dan direktori git untuk hash komit terbaru, kemudian mencantumkan dependensi transitif dan versi yang digunakan dalam proyek pengembang, dan terakhir membandingkan daftar tersebut dengan OSV basis data (melalui API OSV.dev).

OSV-Scanner dapat diinstal di Linux, macOS atau Windows. Itu juga telah terintegrasi dalam pemeriksaan Kerentanan OpenSSF Scorecard.

“Untuk membuat daftar dependensi, Anda dapat mengarahkan OSV-Scanner ke direktori proyek Anda, atau secara manual meneruskan jalur ke file manifes individual,” kata Google. Alat ini dapat dikonfigurasi untuk mengabaikan kerentanan tertentu.

Google berencana untuk mengubah OSV-Scanner menjadi alat manajemen kerentanan lengkap dengan mengintegrasikan lebih jauh dengan alur kerja pengembang (melalui tindakan CI mandiri), menambahkan fitur seperti remediasi otomatis kerentanan dengan membuat peningkatan versi minimal, dan dengan meningkatkan dukungan kerentanan C/C++ .

Security Flaw Windows Kritis Dapat Menyaingi WannaCry

December 22, 2022 by Coffee Bean

Kerentanan yang lebih serius daripada EternalBlue telah ada di Windows selama beberapa waktu, sebelum akhirnya ditemukan dan ditambal, ungkap para ahli.

Beritanya tidak ada orang tahu persis betapa berbahayanya itu. Pada kenyataannya, ini memungkinkan pelaku ancaman untuk menjalankan kode berbahaya tanpa memerlukan otentikasi. Lebih jauh lagi, ini dapat menyebar, memungkinkan pelaku ancaman untuk memicu reaksi berantai dari eksploitasi yang menggandakan diri pada titik akhir rentan lainnya. Dengan kata lain, malware yang menyalahgunakan cacat tersebut dapat menyebar ke seluruh perangkat seperti api.
Bagi mereka yang memiliki memori lebih pendek, EternalBlue adalah zero-day buatan NSA untuk Windows yang melahirkan WannaCry, mungkin ancaman ransomware global paling dahsyat yang pernah muncul.

Ketika Microsoft pertama kali menambalnya tiga bulan lalu, diyakini bahwa cacat tersebut hanya memungkinkan pelaku ancaman untuk mengambil beberapa informasi sensitif dari perangkat, dan dengan demikian, memberi label sebagai “penting”. Sekarang, perusahaan mengubah peringkat tersebut, melabelinya sebagai “kritis”, dengan skor keparahan 8,1.

Tidak seperti EternalBlue, yang merupakan zero-day dan meninggalkan pakar keamanan dan pembuat perangkat lunak yang berebut untuk membuat perbaikan, tambalan untuk kelemahan ini telah tersedia selama tiga bulan sekarang, jadi efeknya seharusnya agak terbatas.

Bug LEGO BrickLink memungkinkan peretas membajak akun, merusak server

December 18, 2022 by Søren

Analis keamanan telah menemukan dua kerentanan keamanan API di BrickLink.com, pasar barang bekas dan vintage resmi LEGO Group untuk batu bata LEGO.

BrickLink adalah komunitas online penggemar LEGO terbesar di dunia, dengan lebih dari satu juta anggota terdaftar.

Dua masalah keamanan API yang ditemukan oleh Salt Security dapat memungkinkan penyerang mengambil alih akun anggota, mengakses dan mencuri informasi identitas pribadi (PII) yang disimpan di platform, atau bahkan mendapatkan akses ke data produksi internal dan membahayakan server internal.

Analis Salt Security menemukan kerentanan saat bereksperimen dengan bidang masukan pengguna di situs web BrickLink.

Yang pertama adalah cacat cross-site scripting (XSS) di kotak dialog “Temukan Nama Pengguna” di bagian pencarian kupon, yang memungkinkan penyerang menyuntikkan dan mengeksekusi kode pada mesin target menggunakan tautan yang dibuat khusus.

Menggunakan ID Sesi target yang diekspos di halaman berbeda, penyerang dapat memanfaatkan kelemahan XSS untuk membajak sesi dan mengambil alih akun target.

Mengakses akun berarti membuka semua data yang disimpan di platform, termasuk detail pribadi, alamat email, alamat pengiriman, riwayat pesanan, kupon, umpan balik yang diterima, item yang diinginkan, dan riwayat pesan.

Cacat kedua terletak pada halaman “Unggah ke Daftar Dicari”, di mana pengguna dapat mengunggah daftar XML yang berisi bagian LEGO yang ingin mereka temukan dan beli.

Dengan mengeksploitasi kelemahan dalam mekanisme penguraian titik akhir, analis Salt Security meluncurkan serangan injeksi Entitas Eksternal XML (XXE) yang berhasil, menambahkan referensi ke entitas eksternal pada file mereka.

Serangan XXE memungkinkan mereka untuk membaca file di server web dan mengeksekusi serangan pemalsuan permintaan sisi server (SSRF), yang dapat menyebabkan pengusiran token AWS EC2 untuk server.

Selengkapnya: Bleeping Computer

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

December 16, 2022 by Flamango

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

‘Vulnerabilities’ Ditemukan di Sebagian Besar Pengontrol Industri

December 16, 2022 by Coffee Bean

Tiga perempat perangkat yang menjaga fasilitas seperti instalasi pengelolahan air dan listrik tetap aman dan beroperasi memiliki kerentanan keamanan siber yang parah dan belum diperbaiki.

Ini adalah poin data terbaru tentang ancaman yang, ketika memanfaatkannya, dapat menyebabkan banyak malapetaka:

The Student worm memusnahkan sekitar seperlima sentrifugal nuklir Iran lebih dari satu dekade lalu dengan menargetkan pengontrol industri.
Industroyer malware menyerang sistem kontrol industri pada tahun 2016 untuk mematikan listrik ke beberapa bagian Kyiv, Ukraina, selama satu jam
Seorang peretas secara singkat mampu meningkatkan tingkat alkali di pabrik pengelolahan air di Oldsmar, Florida, tahun lalu ke tingkat yang berbahaya bagi manusia. Untungnya, seorang operator pabrik memperhatikan peretas tersebut dan dapat dengan cepat menggagalkannya.

Mengapa begitu rentan?
Usia sistem ini berarti mereka kadang-kadang berjalan pada perangkat lunak yang tidak lagi diperbarui dan didukung oleh produsen, Bort, pendiri perusahaan keamanan siber SCYTHE, memberi tahu saya. Perangkat dirancang dengan mempertimbangkan ketersediaan dan keamanan, bukan keamanan.

Namun, tidak semua angka microsodt begitu suram.

Perusahaan menemukan bahwa pengungkapan kerentanan paling parah pada peralatan kontrol industri yang diproduksi oleh vendor populer melonjak 78 persen dari tahun 2020 ke 2022.
Itu tidak berarti ada lebih banyak kerentanan — hanya saja lebih banyak yang ditemukan dan diungkapkan.
“Itu sangat positif,” kata Vasu Jakkal, wakil presiden korporat untuk keamanan, kepatuhan, identitas, manajemen, dan privasi di Microsoft kepada saya.

Apa yang orang lain lakukan tentang hal itu
Banyak upaya pemerintah untuk mengamankan perangkat dan sistem ini digabungkan ke dalam inisiatif lain.

Misalnya, Badan keamanan siber dan infrastruktur telah mengundang pakar industri sistem kontrol industri untuk bergabung dalam program untuk berkolaborasi guna mengurangi ancaman siber.

Satu program khusus sistem kontrol industri yang mendapatkan hasil yang baik dari Energy Department’s Office of Cybersecurity, Energy Security and Emergency Response adalah inisiatif yang secara sukarela menghubungkan vendor dengan Laboratorium Nasional unutk mengirimkan peralatan untuk pengujian keamanan, kata Bort

Sementara itu, di Eropa, peraturan keamanan siber yang diusulkan yang dikenal sebagai Undang-Undang Ketahanan Siber akan mewajibkan produk perangkat lunak dan perangkat keras untuk memenuhi tolok ukur keamanan tertentu berdasarkan seberapa “kritis” mereka dianggao.

sumber : The Washington Post

Jaringan Berbagi Info Terverifikasi FBI ‘InfraGard’ Diretas

December 15, 2022 by Coffee Bean

InfraGard, sebuah program yang dijalankan oleh Biro Investigasi Federal AS (FBI) untuk membangun kemitraan berbagi informasi ancaman dunia maya dan fisik dengan sektor swasta, minggu ini melihat basis data informasi kontaknya di lebih dari 80.000 anggota dijual di Inggris- forum kejahatan dunia maya bahasa. Sementara itu, para peretas yang bertanggung jawab berkomunikasi langsung dengan anggota melalui portal InfraGard online — menggunakan akun baru dengan identitas samaran CEO industri keuangan yang diperiksa oleh FBI sendiri.

Program InfraGard FBI seharusnya memeriksa Siapa Siapa dari orang-orang kunci dalam peran sektor swasta yang melibatkan keamanan dunia maya dan fisik di perusahaan yang mengelola sebagian besar infrastruktur penting negara

FBI mengatakan mengetahui potensi akun palsu yang terkait dengan Portal InfraGard dan secara aktif menyelidiki masalah ini.

Anggota forum Pelanggaran yang menggunakan pegangan “USDoD” dan yang avatarnya adalah stempel Departemen Pertahanan AS.

Utas penjualan InfraGard USDoD di Pelanggaran.

USDoD mengatakan mereka memperoleh akses ke sistem InfraGard FBI dengan mengajukan akun baru menggunakan nama, Nomor Jaminan Sosial, tanggal lahir, dan detail pribadi lainnya dari seorang CEO di sebuah perusahaan yang kemungkinan besar akan diberikan keanggotaan InfraGard.

Saat ini kepala perusahaan keuangan besar AS yang memiliki dampak langsung pada kelayakan kredit sebagian besar orang Amerika.

USDoD mengatakan alamat email mereka atas nama CEO menerima balasan yang mengatakan bahwa aplikasi telah disetujui.

USDoD mengatakan data pengguna InfraGard tersedia dengan mudah melalui Application Programming Interface (API)

USDoD mengakui bahwa harga yang mereka minta sebesar $50.000 untuk database InfraGard mungkin sedikit tinggi, mengingat ini adalah daftar orang yang cukup mendasar yang sudah sangat sadar akan keamanan. Selain itu, hanya sekitar setengah dari akun pengguna yang berisi alamat email, dan sebagian besar bidang basis data lainnya

USDoD mengatakan mereka berharap akun palsu itu akan bertahan cukup lama bagi mereka untuk menyelesaikan pengiriman pesan langsung sebagai CEO ke eksekutif lain menggunakan portal perpesanan InfraGuard.

Pada November 2021, KrebsOnSecurity merinci bagaimana Pompompurin menyalahgunakan kerentanan di portal online FBI yang dirancang untuk berbagi informasi dengan otoritas penegak hukum negara bagian dan lokal.

Update, 11:15 malam. ET: FBI baru saja mengonfirmasi bahwa mereka mengetahui potensi akun palsu yang terkait dengan portal InfraGard. Ceritanya sekarang termasuk pernyataan lengkap mereka.

sumber : KERBSonSECURITY

NSA Mengatakan Peretas Cina Mengeksploitasi Bug Zero-day

December 15, 2022 by Flamango

Badan Keamanan Nasional AS memperingatkan bahwa peretas yang didukung pemerintah China mengeksploitasi kerentanan zero-day di dua produk jaringan Citrix yang banyak digunakan untuk mendapatkan akses ke jaringan yang ditargetkan.

Kerentanan yang dilacak sebagai CVE-2022-27518, memengaruhi Citrix ADC, pengontrol pengiriman aplikasi, dan Citrix Gateway, alat akses jarak jauh, dan keduanya populer di jaringan perusahaan. Kerentanan dengan peringkat kritis memungkinkan penyerang yang tidak diautentikasi untuk menjalankan kode berbahaya dari jarak jauh pada perangkat yang rentan.

Dalam sebuah blog, Kepala Keamanan dan Kepercayaan Citrix, Peter Lefkowitz, menuliskan bahwa Citrix mengetahui sejumlah kecil serangan yang ditargetkan di alam liar menggunakan kerentanan ini. Namun, Citrix belum dapat menentukan industri yang menjadi target maupun yang telah banyak disusupi.

NSA mengatakan bahwa APT5, grup peretas China yang terkenal, telah secara aktif menargetkan Citrix ADC untuk masuk ke organisasi tanpa harus mencuri kredensial terlebih dahulu, memberikan panduan perburuan ancaman untuk tim keamanan, dan meminta pembagian intelijen antara sektor publik dan swasta.

Tahun lalu, APT5 mengeksploitasi kerentanan zero-day di sebuah produk jaringan lain untuk menembus jaringan A.S. yang terlibat dalam penelitian dan pengembangan pertahanan.

Selengkapnya: TechCrunch+

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

December 14, 2022 by Coffee Bean

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
Citrix ADC 12.1-FIPS before 12.1-55.291
Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings