Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Kerentanan keamanan siber ini paling populer di kalangan peretas saat ini – sudahkah Anda menambalnya?

by

Menurut analisis oleh peneliti keamanan siber di Digital Shadows, kerentanan yang paling sering dibahas di antara penjahat siber di forum bawah tanah selama tiga bulan terakhir adalah CVE-2017-11882 – kelemahan keamanan di Microsoft Office yang pertama kali diungkapkan pada 2017.

Ketika berhasil dieksploitasi, kerentanan ini memungkinkan penjahat cyber untuk mengeksekusi kode jarak jauh pada sistem Windows yang rentan, menyediakan cara bagi penyerang untuk menjatuhkan malware secara diam-diam ke mesin.

Kerentanan paling populer kedua selama periode pelaporan adalah Follina (CVE-2022-30190), kerentanan zero-day dengan tingkat keparahan tinggi di Microsoft Word, yang muncul tahun sebelumnya.

Follina memungkinkan penyerang untuk mengeksekusi kode jarak jauh dan menyebarkan malware untuk mendapatkan akses ke sistem; kerentanan telah dieksploitasi secara aktif oleh kelompok peretas yang didukung negara dan geng penjahat dunia maya. Patch tersedia untuk memperbaiki kerentanan ini.

Kerentanan paling populer ketiga adalah CVE-2022-2294, kerentanan zero-day di Google Chrome, pertama kali diungkapkan dan ditambal pada bulan Juli. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan, sehingga tetap menjadi metode serangan populer untuk menargetkan pengguna Google Chrome.

Meskipun secara teratur menerapkan pembaruan keamanan untuk semua jenis perangkat lunak di seluruh jaringan perusahaan dapat menjadi tantangan, ini adalah salah satu hal terbaik yang dapat dilakukan bisnis untuk membantu melindungi jaringan dan pengguna mereka agar tidak menjadi korban serangan siber – terutama jika mereka berfokus pada menambal beberapa kerentanan yang paling sering dieksploitasi.

Selengkapnya: ZDNET

Kerentanan Berusia 22 Tahun Dilaporkan di Perpustakaan Database SQLite

by

Kerentanan tingkat tinggi telah diungkapkan di perpustakaan database SQLite, yang diperkenalkan sebagai bagian dari perubahan kode sejak Oktober 2000 dan dapat memungkinkan penyerang untuk merusak atau mengontrol program.

Dilacak sebagai CVE-2022-35737 (skor CVSS: 7,5), masalah berusia 22 tahun memengaruhi SQLite versi 1.0.12 hingga 3.39.1, dan telah diatasi dalam versi 3.39.2 yang dirilis pada 21 Juli 2022.

“CVE-2022-35737 dapat dieksploitasi pada sistem 64-bit, dan eksploitabilitas bergantung pada bagaimana program dikompilasi,” kata peneliti Trail of Bits Andreas Kellas dalam tulisan teknis yang diterbitkan hari ini.

“Eksekusi kode arbitrer dikonfirmasi ketika perpustakaan dikompilasi tanpa stack canaries, tetapi tidak dikonfirmasi ketika stack canary hadir, dan penolakan layanan dikonfirmasi dalam semua kasus.”

Diprogram dalam C, SQLite adalah mesin database yang paling banyak digunakan, disertakan secara default di Android, iOS, Windows, dan macOS, serta browser web populer seperti Google Chrome, Mozilla Firefox, dan Apple Safari.

Kerentanan yang ditemukan oleh Trail of Bits menyangkut bug overflow integer yang terjadi ketika input string yang sangat besar dilewatkan sebagai parameter ke implementasi SQLite dari fungsi printf, yang, pada gilirannya, menggunakan fungsi lain untuk menangani pemformatan string (“sqlite3_str_vappendf “).

Namun, persenjataan yang berhasil dari bank cacat pada prasyarat bahwa string berisi jenis substitusi format %Q, %q, atau %w, berpotensi menyebabkan crash program ketika data yang dikendalikan pengguna ditulis di luar batas tumpukan- buffer yang dialokasikan.

“Jika format string berisi ‘!’ karakter khusus untuk mengaktifkan pemindaian karakter unicode, maka dimungkinkan untuk mencapai eksekusi kode arbitrer dalam kasus terburuk, atau menyebabkan program hang dan loop (hampir) tanpa batas waktu,” jelas Kellas.

Kerentanan juga merupakan contoh skenario yang pernah dianggap tidak praktis beberapa dekade lalu mengalokasikan string 1GB sebagai input menjadi layak dengan munculnya sistem komputasi 64-bit.

Sumber: The Hackernews

Peretas Mulai Mengeksploitasi Kerentanan Teks Apache Commons “Text4Shell” Kritis

by

Perusahaan keamanan WordPress Wordfence pada hari Kamis mengatakan mulai mendeteksi upaya eksploitasi yang menargetkan cacat yang baru diungkapkan di Apache Commons Text pada 18 Oktober 2022.

Kerentanan, dilacak sebagai CVE-2022-42889 alias Text4Shell, telah diberi peringkat keparahan 9,8 dari kemungkinan 10,0 pada skala CVSS dan memengaruhi versi 1,5 hingga 1,9 dari perpustakaan.

Ini juga mirip dengan kerentanan Log4Shell yang sekarang terkenal karena masalah berakar pada cara substitusi string yang dilakukan selama pencarian DNS, skrip, dan URL dapat menyebabkan eksekusi kode arbitrer pada sistem yang rentan saat meneruskan input yang tidak tepercaya.

“Penyerang dapat mengirim muatan yang dibuat dari jarak jauh menggunakan pencarian ‘script,’ ‘dns,’ dan ‘url’ untuk mencapai eksekusi kode jarak jauh yang sewenang-wenang,” tim Zscaler ThreatLabZ menjelaskan.

Eksploitasi cacat yang berhasil dapat memungkinkan aktor ancaman untuk membuka koneksi shell terbalik dengan aplikasi yang rentan hanya melalui muatan yang dibuat khusus, secara efektif membuka pintu untuk serangan lanjutan.

Pengguna yang memiliki ketergantungan langsung pada Apache Commons Text disarankan untuk meningkatkan ke versi tetap untuk mengurangi potensi ancaman. Menurut Maven Repository, sebanyak 2.593 proyek menggunakan perpustakaan, meskipun Flashpoint mencatat bahwa sangat sedikit dari yang terdaftar menggunakan metode yang rentan.

Cacat Teks Apache Commons juga mengikuti kelemahan keamanan kritis lainnya yang diungkapkan dalam Konfigurasi Apache Commons pada Juli 2022 (CVE-2022-33980, skor CVSS: 9,8), yang dapat mengakibatkan eksekusi kode arbitrer melalui fungsionalitas interpolasi variabel.

Selengkapnya: The Hacker News

Bug VMware dengan peringkat keparahan 9,8 dieksploitasi untuk menginstal malware buatan penyihir

by

Peretas telah mengeksploitasi kerentanan yang sekarang ditambal di VMware Workspace ONE Access dalam kampanye untuk menginstal berbagai ransomware dan penambang cryptocurrency, seorang peneliti di perusahaan keamanan Fortinet mengatakan pada hari Kamis.

CVE-2022-22954 adalah kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access yang membawa peringkat keparahan 9,8 dari kemungkinan 10. VMware mengungkapkan dan menambal kerentanan pada 6 April.

Dalam 48 jam, peretas merekayasa balik pembaruan dan mengembangkan eksploitasi kerja yang kemudian mereka gunakan untuk mengkompromikan server yang belum menginstal perbaikan.

Akses VMware Workspace ONE membantu administrator mengonfigurasi rangkaian aplikasi yang dibutuhkan karyawan di lingkungan kerja mereka.

Pada bulan Agustus, para peneliti di Fortiguard Labs melihat lonjakan tiba-tiba dalam upaya eksploitasi dan perubahan besar dalam taktik. Padahal sebelum para peretas memasang muatan yang memanen kata sandi dan mengumpulkan data lain, gelombang baru membawa sesuatu yang lain—khususnya, ransomware yang dikenal sebagai RAR1ransom, penambang cryptocurrency yang dikenal sebagai GuardMiner, dan Mirai, perangkat lunak yang menyatukan perangkat Linux menjadi botnet besar untuk digunakan dalam serangan penolakan layanan terdistribusi.

“Meskipun kerentanan kritis CVE-2022-22954 sudah ditambal pada bulan April, masih ada beberapa kampanye malware yang mencoba mengeksploitasinya,” tulis peneliti Fortiguard Labs Cara Lin.

Penyerang, tambahnya, menggunakannya untuk menyuntikkan muatan dan mencapai eksekusi kode jarak jauh pada server yang menjalankan produk.

Selengkapnya: ars TECHNICA

Cacat RCE Teks Apache Commons, Haruskah Anda khawatir?

by

Cacat eksekusi kode jarak jauh (RCE) di library Teks Apache Commons membuat beberapa orang khawatir bahwa itu bisa berubah menjadi Log4Shell berikutnya. Namun, sebagian besar peneliti keamanan siber mengatakan itu sama sekali tidak mengkhawatirkan.

Apache Commons Text adalah library Java open-source populer dengan “sistem interpolasi” yang memungkinkan pengembang untuk memodifikasi, mendekode, menghasilkan, dan melepaskan string berdasarkan pencarian string yang dimasukkan.

Misalnya, meneruskan pencarian string ${base64Decoder:SGVsbG9Xb3JsZCE=} ke sistem interpolasi akan menyebabkan library mengonversinya ke nilai dekode base64 ‘HelloWorld!’.

Kerentanan CVE-2022-42889 baru di Apache Commons Text, dijuluki “Text4Shell,” disebabkan oleh evaluasi skrip yang tidak aman oleh sistem interpolasi yang dapat memicu eksekusi kode saat memproses input berbahaya dalam konfigurasi default library.

Masalah ini ditemukan oleh analis ancaman GitHub Alvaro Munoz dan dilaporkan ke Apache pada 9 Maret 2022.

Namun, pengembang library open-source membutuhkan waktu 7 bulan, hingga 12 Oktober 2022, untuk merilis perbaikan di versi 1.10.0, yang menonaktifkan interpolasi.

Haruskah Anda khawatir?
Karena penyebaran library yang rentan secara luas, dan karena cacat tersebut memengaruhi versi yang ada sejak 2018, beberapa awalnya khawatir bahwa itu dapat menyebabkan kerusakan yang meluas seperti kerentanan Log4Shell.

Namun berdasarkan laporan dari Rapid7, tidak semua versi antara 1.5 dan 1.9 tampak rentan dan bahwa potensi eksploitasinya terhubung ke versi JDK yang digunakan.

Bahkan dengan eksploitasi proof of concept (PoC) yang diperbarui menggunakan mesin JEXL sebagai jalur eksploitasi melewati batasan JDK, para peneliti masih tidak terlalu khawatir.

Tim keamanan Apache mengatakan bahwa cakupan kelemahannya tidak seserius Log4Shell, menjelaskan bahwa interpolasi string adalah fitur yang terdokumentasi. Oleh karena itu, kecil kemungkinannya bahwa aplikasi yang menggunakan library akan secara tidak sengaja melewatkan input yang tidak aman tanpa validasi.

Sementara kelemahan tingkat keparahan kritis tetap tidak ditambal selama tujuh bulan dan terpapar pada upaya eksploitasi, tidak ada laporan pelecehan di alam liar bahkan setelah eksploitasi dilepaskan.

Meskipun kita mungkin akan melihat beberapa aktor ancaman yang mengeksploitasi CVE-2022-42889 di masa depan, mungkin cakupannya akan terbatas.

Untuk saat ini, pengguna disarankan untuk meningkatkan ke versi 1.10 atau yang lebih baru sesegera mungkin untuk memperbaiki kekurangannya.

Sumber: Bleeping Computer

Microsoft memperbaiki kegagalan handshake Windows TLS dalam pembaruan out-of-band

by

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk mengatasi masalah yang disebabkan oleh pembaruan keamanan Windows Oktober 2022 yang memicu kegagalan handshake SSL/TLS pada platform klien dan server.

Pada perangkat yang terpengaruh, pengguna akan melihat kesalahan SEC_E_ILLEGAL_MESSAGE dalam aplikasi saat koneksi ke server mengalami masalah.

“Kami mengatasi masalah yang mungkin memengaruhi beberapa jenis koneksi Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Koneksi ini mungkin mengalami kegagalan handshake,” Microsoft menjelaskan.

“Untuk pengembang, koneksi yang terpengaruh cenderung menerima satu atau lebih catatan diikuti oleh sebagian catatan dengan ukuran kurang dari 5 byte dalam buffer input tunggal.”

Masalah umum yang dibahas dalam pembaruan OOB hari ini memengaruhi beberapa rilis dan edisi Windows, termasuk:

  • Klien: Windows 11, versi 22H2; Windows 11, versi 21H2; Windows 10, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10 Perusahaan LTSC 2019; Windows 10 Perusahaan LTSC 2016; Windows 10 Perusahaan 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; WindowsServer 2019; WindowsServer 2016; Windows Server 2012 R2; WindowsServer 2012; Windows Server 2008 R2 SP1

Pembaruan tidak dapat disebarkan melalui Pembaruan Windows, untuk menginstalnya Anda dapat mengunduh dari Katalog Pembaruan Microsoft dan mengimpornya secara manual ke WSUS dan Microsoft Endpoint Configuration Manager.
Microsoft telah merilis paket mandiri dan pembaruan kumulatif:

Pembaruan kumulatif:
Windows 11, versi 21H2: KB5020387
Windows Server 2022: KB5020436
Windows 10, versi 20H2; Windows 10, versi 21H1; Windows 10, versi 22H1; Windows 10 Enterprise LTSC 2021: KB5020435
Windows 10 Perusahaan LTSC 2019; Windows Server 2019: KB5020438
Pembaruan Mandiri:
Windows 8.1; Windows Server 2012 R2: KB5020447
Windows Server 2012: KB5020449
Windows 7 SP1; Windows Server 2008 R2 SP1: KB5020448

Perusahaan masih mengerjakan perbaikan untuk Windows 10 2016 LTSB, Windows Server 2016, dan Windows 10 2015 LTSB.

Setelah menyebarkan pembaruan, Layanan Cluster mungkin gagal untuk memulai karena Pengandar Jaringan Cluster tidak ditemukan karena pembaruan untuk pengandar kelas PnP yang digunakan oleh layanan.

Bulan lalu, Microsoft mengatakan bahwa mereka secara tidak sengaja mencantumkan pembaruan pratinjau Windows September di Layanan Pembaruan Server Windows (WSUS).

Redmond menambahkan bahwa hingga pembaruan dihapus dari WSUS, itu masih dapat menyebabkan masalah pemasangan pembaruan keamanan di beberapa lingkungan terkelola.

Selengkapnya: Bleeping Computer

Kerentanan RCE Kritis Ditemukan di Perangkat Lunak Peretasan Cobalt Strike Populer

by

HelpSystems, perusahaan di balik platform perangkat lunak Cobalt Strike, telah merilis pembaruan keamanan out-of-band untuk mengatasi kerentanan eksekusi kode jarak jauh yang memungkinkan penyerang mengambil kendali sistem yang ditargetkan.

Cobalt Strike adalah kerangka kerja tim merah komersial yang terutama digunakan untuk simulasi musuh, tetapi versi perangkat lunak yang retak telah disalahgunakan secara aktif oleh operator ransomware dan kelompok ancaman persisten lanjutan (APT) yang berfokus pada spionase.

Alat pasca-eksploitasi terdiri dari server tim, yang berfungsi sebagai komponen perintah-dan-kontrol (C2), dan suar, malware default yang digunakan untuk membuat koneksi ke server tim dan menjatuhkan muatan tahap berikutnya.

Masalah ini, dilacak sebagai CVE-2022-42948, memengaruhi Cobalt Strike versi 4.7.1, dan berasal dari tambalan tidak lengkap yang dirilis pada 20 September 2022, untuk memperbaiki kerentanan skrip lintas situs (XSS) (CVE-2022-39197) yang dapat menyebabkan eksekusi kode jarak jauh.

“Kerentanan XSS dapat dipicu dengan memanipulasi beberapa bidang input UI sisi klien, dengan mensimulasikan check-in implan Cobalt Strike atau dengan mengaitkan implan Cobalt Strike yang berjalan pada host,” kata peneliti IBM X-Force, Rio Sherri dan Ruben Boonen. dalam sebuah tulisan.

Namun, ditemukan bahwa eksekusi kode jarak jauh dapat dipicu dalam kasus tertentu menggunakan kerangka Java Swing, perangkat antarmuka pengguna grafis yang digunakan untuk merancang Cobalt Strike.

“Komponen tertentu dalam Java Swing akan secara otomatis menafsirkan teks apa pun sebagai konten HTML jika dimulai dengan ,” Greg Darwin, manajer pengembangan perangkat lunak di HelpSystems, menjelaskan dalam sebuah posting. “Menonaktifkan penguraian otomatis tag html di seluruh klien sudah cukup untuk mengurangi perilaku ini.”

Ini berarti bahwa aktor jahat dapat mengeksploitasi perilaku ini melalui tag HTML, menggunakannya untuk memuat muatan khusus yang dihosting di server jauh dan menyuntikkannya ke dalam bidang catatan serta menu penjelajah file grafis di Cobalt menyerang UI.

Temuan ini muncul sedikit lebih dari seminggu setelah Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) memperingatkan senjata lanjutan dari alat yang sah seperti Cobalt Strike dalam serangan yang ditujukan pada sektor perawatan kesehatan.

Sumber: The Hackernews

Bagaimana kesalahan Microsoft membuka jutaan PC untuk serangan malware yang kuat

by

Selama hampir dua tahun, Microsoft merusak pertahanan utama Windows yang membuat pelanggan terbuka terhadap teknik infeksi malware yang sangat efektif dalam beberapa bulan terakhir.

Microsoft dengan tegas menegaskan bahwa Pembaruan Windows akan secara otomatis menambahkan driver perangkat lunak baru ke daftar blokir yang dirancang untuk menggagalkan trik terkenal di buku pedoman infeksi malware.

Teknik malware dikenal sebagai BYOVD, kependekan dari “bawa driver Anda sendiri yang rentan” memudahkan penyerang dengan kontrol administratif untuk melewati perlindungan kernel Windows. Penyerang hanya menginstal salah satu dari lusinan driver pihak ketiga dengan kerentanan yang diketahui. Kemudian penyerang mengeksploitasi kerentanan tersebut untuk mendapatkan akses instan ke beberapa wilayah Windows yang paling dibentengi.

Namun, ternyata Windows tidak mengunduh dan menerapkan pembaruan dengan benar ke daftar blokir driver, yang membuat pengguna rentan terhadap serangan BYOVD baru.

Driver biasanya memungkinkan komputer untuk bekerja dengan printer, kamera, atau perangkat periferal lainnya—atau untuk melakukan hal lain seperti menyediakan analisis tentang fungsi perangkat keras komputer. Agar banyak driver dapat bekerja, mereka memerlukan saluran langsung ke kernel, inti dari sistem operasi tempat kode paling sensitif berada. Untuk alasan ini, Microsoft sangat membentengi kernel dan mengharuskan semua driver ditandatangani secara digital dengan sertifikat yang memverifikasi bahwa mereka telah diperiksa dan berasal dari sumber tepercaya.

Meski begitu, bagaimanapun, driver yang sah terkadang mengandung kerentanan kerusakan memori atau kelemahan serius lainnya yang, ketika dieksploitasi, memungkinkan peretas untuk menyalurkan kode berbahaya mereka langsung ke kernel. Bahkan setelah pengembang menambal kerentanan, driver lama dan buggy tetap menjadi kandidat yang sangat baik untuk serangan BYOVD karena sudah ditandatangani. Dengan menambahkan driver semacam ini ke alur eksekusi serangan malware, peretas dapat menghemat waktu pengembangan dan pengujian selama bermingguminggu.

YOVD telah menjadi fakta kehidupan setidaknya selama satu dekade. Malware yang dijuluki “Slingshot” menggunakan BYOVD setidaknya sejak 2012, dan pendatang awal lainnya ke adegan BYOVD termasuk LoJax, InvisiMole, dan RobbinHood.

Salah satu serangan semacam itu akhir tahun lalu dilakukan oleh kelompok Lazarus yang didukung pemerintah Korea Utara. Itu menggunakan driver Dell yang dinonaktifkan dengan kerentanan tingkat tinggi untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Dalam serangan BYOVD terpisah beberapa bulan lalu, penjahat dunia maya memasang ransomware BlackByte dengan menginstal dan kemudian mengeksploitasi driver buggy untuk MSI AfterBurner 4.6.2.15658 MicroStar, sebuah utilitas overclocking kartu grafis yang banyak digunakan.

Microsoft sangat menyadari ancaman BYOVD dan telah bekerja pada pertahanan untuk menghentikan serangan ini, terutama dengan membuat mekanisme untuk menghentikan Windows memuat driver yang ditandatangani tetapi rentan.

Mekanisme paling umum untuk pemblokiran driver menggunakan kombinasi dari apa yang disebut integritas memori dan HVCI, kependekan dari HypervisorProtected Code Integrity. Mekanisme terpisah untuk mencegah driver buruk ditulis ke disk dikenal sebagai ASR, atau Attack Surface Reduction.

Sumber: Arstechnica