Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Cacat Zimbra yang belum ditambal sedang diserang memungkinkan peretas untuk melakukan backdoor server

by

Kerentanan eksekusi kode yang tidak ditambal dalam perangkat lunak Kolaborasi Zimbra sedang dieksploitasi secara aktif oleh penyerang yang menggunakan serangan ke server pintu belakang.

Serangan dimulai paling lambat 7 September, ketika seorang pelanggan Zimbra melaporkan beberapa hari kemudian bahwa server yang menjalankan mesin penyaringan spam Amavis perusahaan memproses email yang berisi lampiran berbahaya.

Dalam hitungan detik, pemindai menyalin file Java berbahaya ke server dan kemudian menjalankannya. Dengan itu, penyerang telah menginstal web shell, yang kemudian dapat mereka gunakan untuk masuk dan mengambil kendali server.

Zimbra belum merilis tambalan yang memperbaiki kerentanan. Sebagai gantinya, perusahaan menerbitkan panduan ini yang menyarankan pelanggan untuk memastikan pengarsipan file yang dikenal sebagai pax diinstal.

Kecuali pax diinstal, Amavis memproses lampiran yang masuk dengan cpio, pengarsip alternatif yang mengetahui kerentanan yang tidak pernah diperbaiki.

“Jika paket pax tidak diinstal, Amavis akan kembali menggunakan cpio,” tulis karyawan Zimbra Barry de Graaff. “Sayangnya fall-back diimplementasikan dengan buruk (oleh Amavis) dan akan memungkinkan penyerang yang tidak diautentikasi untuk membuat dan menimpa file di server Zimbra, termasuk webroot Zimbra.”

Posting selanjutnya menjelaskan cara menginstal pax. Utilitas ini dimuat secara default pada distribusi Ubuntu di Linux, tetapi harus diinstal secara manual di sebagian besar distribusi lainnya. Kerentanan Zimbra dilacak sebagai CVE-2022-41352.

Selengkapnya: ars TECHNICA

Fortinet Memperingatkan Cacat Bypass Otentikasi Baru yang Mempengaruhi FortiGate dan FortiProxy

by

Fortinet secara pribadi telah memperingatkan pelanggannya tentang kelemahan keamanan yang memengaruhi firewall FortiGate dan proksi web FortiProxy yang berpotensi memungkinkan penyerang melakukan tindakan tidak sah pada perangkat yang rentan.

Dilacak sebagai CVE-2022-40684 (skor CVSS: 9,6), kelemahan kritis berkaitan dengan kerentanan bypass otentikasi yang dapat mengizinkan musuh yang tidak diautentikasi untuk melakukan operasi sewenang-wenang pada antarmuka administratif melalui permintaan HTTP(S) yang dibuat khusus.
Keamanan cyber

Masalah ini berdampak pada versi berikut, dan telah diatasi di FortiOS versi 7.0.7 dan 7.2.2, dan FortiProxy versi 7.0.7 dan 7.2.1 dirilis minggu ini:

  • FortiOS – Dari 7.0.0 hingga 7.0.6 dan dari 7.2.0 hingga 7.2.1
  • FortiProxy – Dari 7.0.0 hingga 7.0.6 dan 7.2.0

“Karena kemampuan untuk mengeksploitasi masalah ini dari jarak jauh, Fortinet sangat menyarankan semua pelanggan dengan versi rentan untuk melakukan peningkatan segera,” perusahaan memperingatkan dalam peringatan yang dibagikan oleh peneliti keamanan yang menggunakan alias Gitworm di Twitter.

Sebagai solusi sementara, perusahaan merekomendasikan pengguna untuk menonaktifkan Administrasi HTTPS yang terhubung ke internet hingga pemutakhiran dapat dilakukan, atau sebagai alternatif, menerapkan kebijakan firewall untuk “lalu lintas masuk lokal.”

Ketika dihubungi untuk memberikan komentar, Fortinet mengakui nasihat itu dan mencatat bahwa itu menunda pemberitahuan publik sampai pelanggannya menerapkan perbaikan.

“Komunikasi yang tepat waktu dan berkelanjutan dengan pelanggan kami adalah komponen kunci dalam upaya kami untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Komunikasi pelanggan sering kali merinci panduan terbaru dan merekomendasikan langkah selanjutnya untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya.”

Selengkapnya: The Hacker News

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Peretas yang Disponsori Negara Kemungkinan Mengeksploitasi MS Exchange 0-Day Melawan ~10 Organisasi

    by

    Microsoft pada hari Jumat mengungkapkan bahwa satu grup aktivitas pada Agustus 2022 mencapai akses awal dan melanggar server Exchange dengan merantai dua kelemahan zero-day yang baru diungkapkan dalam serangkaian serangan terbatas yang ditujukan pada kurang dari 10 organisasi secara global.

    “Serangan ini menginstal web shell Chopper untuk memfasilitasi akses hands-on-keyboard, yang digunakan penyerang untuk melakukan pengintaian Active Directory dan eksfiltrasi data,” kata Microsoft Threat Intelligence Center (MSTIC) dalam analisis baru.

    Persenjataan kerentanan diperkirakan akan meningkat dalam beberapa hari mendatang, Microsoft lebih lanjut memperingatkan, karena aktor jahat mengkooptasi eksploitasi ke dalam toolkit mereka, termasuk menyebarkan ransomware, karena “akses yang sangat istimewa yang diberikan sistem Exchange kepada penyerang.”

    Raksasa teknologi itu mengaitkan serangan yang sedang berlangsung dengan tingkat kepercayaan menengah ke organisasi yang disponsori negara, menambahkan bahwa mereka sudah menyelidiki serangan ini ketika Zero Day Initiative mengungkapkan kelemahannya ke Microsoft Security Response Center (MSRC) awal bulan lalu pada 8-9 September 2022.

    Kedua kerentanan telah secara kolektif dijuluki ProxyNotShell, karena fakta bahwa “itu adalah jalur yang sama dan pasangan SSRF/RCE” sebagai ProxyShell tetapi dengan otentikasi, menunjukkan tambalan yang tidak lengkap.

    Masalah, yang dirangkai untuk mencapai eksekusi kode jarak jauh, tercantum di bawah ini:

    • CVE-2022-41040 (skor CVSS: 8,8) – Peningkatan Kerentanan Privilege Server Microsoft Exchange
    • CVE-2022-41082 (skor CVSS: 8,8) – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

    Selengkapnya: The Hacker News

    Sophos memperingatkan bug RCE firewall baru yang dieksploitasi dalam serangan

    by

    Sophos hari ini memperingatkan bahwa kerentanan keamanan injeksi kode kritis dalam produk Firewall perusahaan sedang dieksploitasi secara liar.

    Dilacak sebagai CVE-2022-3236, cacat ditemukan di Portal Pengguna dan Webadmin dari Sophos Firewall, memungkinkan penyerang untuk mengeksekusi kode (RCE).

    Perusahaan mengatakan telah merilis perbaikan terbaru untuk versi Sophos Firewall yang terpengaruh oleh bug keamanan ini (v19.0 MR1 (19.0.1) dan yang lebih lama) yang akan diluncurkan secara otomatis ke semua instance karena pembaruan otomatis diaktifkan secara default.

    “Tidak ada tindakan yang diperlukan untuk pelanggan Sophos Firewall dengan fitur ‘Izinkan pemasangan otomatis perbaikan terbaru’ yang diaktifkan pada versi yang diperbaiki (lihat bagian Remediasi di bawah). Diaktifkan adalah pengaturan default,” jelas Sophos.

    Namun, perusahaan menambahkan bahwa pengguna Sophos Firewall versi lama harus meningkatkan ke versi yang didukung untuk menerima patch CVE-2022-3236.

    Ini juga memberikan info terperinci tentang mengaktifkan fitur penginstalan hotfix otomatis dan memeriksa apakah hotfix berhasil diinstal.

    Sophos juga memberikan solusi bagi pelanggan yang tidak dapat segera menambal perangkat lunak rentan yang akan mengharuskan mereka untuk memastikan bahwa Portal Pengguna dan Webadmin firewall tidak terkena akses WAN.

    “Nonaktifkan akses WAN ke Portal Pengguna dan Webadmin dengan mengikuti praktik terbaik akses perangkat dan sebagai gantinya gunakan VPN dan/atau Sophos Central (lebih disukai) untuk akses dan manajemen jarak jauh,” tambah perusahaan.

    Selengkapnya: Bleeping Computer

    Microsoft Teams dianggap tidak aman untuk digunakan oleh peneliti keamanan

    by

    Firma riset keamanan siber yang berbasis di California, Vectra, telah menemukan kelemahan pada Microsoft Teams versi desktop yang berpotensi di mana token autentikasi disimpan dalam teks biasa, yang membuatnya rentan terhadap serangan pihak ketiga.

    Masalah ini memengaruhi aplikasi Teams berdasarkan kerangka kerja Electron perusahaan, yang berjalan di mesin Windows, macOS, dan Linux.

    Vectra mengatakan bahwa kredensial ini secara teoritis dapat dicuri oleh penyerang yang memiliki akses sistem lokal atau jarak jauh. Microsoft menyadari kerentanan ini, meskipun perusahaan tampaknya tidak terburu-buru untuk memperbaikinya.

    Peretas dengan akses yang diperlukan dapat mencuri data dari pengguna Teams online dan berpotensi menirunya saat mereka offline.

    Identitas ini kemudian dapat digunakan di seluruh aplikasi seperti Outlook atau Skype dengan menghindari persyaratan otentikasi multifaktor (MFA).

    “Bahkan lebih merusak, penyerang dapat merusak komunikasi yang sah dalam suatu organisasi dengan selektif menghancurkan, exfiltrating, atau terlibat dalam serangan phishing yang ditargetkan,” Connor Peoples, arsitek keamanan di Vectra, mengatakan. Dia mencatat bahwa kerentanan khusus ini hanya ada pada versi desktop Teams karena kurangnya “kontrol keamanan tambahan untuk melindungi data cookie.”

    Untuk menyampaikan maksudnya ke Microsoft, Vectra bahkan mengembangkan bukti konsep yang merinci eksploitasi, memungkinkan para peneliti untuk mengirim pesan ke akun individu yang token aksesnya dikompromikan.

    Meskipun platform Electron memudahkan pembuatan aplikasi untuk desktop, platform ini tidak menyertakan langkah-langkah keamanan penting seperti enkripsi atau lokasi file yang dilindungi sistem, standar.

    Cybersecurity Dark Reading (melalui Engadget) mendekati perusahaan untuk mengomentari kerentanan Teams dan menerima tanggapan yang cukup hangat, dan mengatakan bahwa celah keamanan ini “tidak memenuhi standar kami untuk layanan segera karena mengharuskan penyerang untuk terlebih dahulu mendapatkan akses ke jaringan sasaran.” Namun, perusahaan tidak mengesampingkan kemungkinan perbaikan yang diluncurkan di masa depan.

    Pengguna disarankan untuk tidak menggunakan aplikasi desktop Microsoft Teams hingga perbaikan. Sebagai alternatif lain, gunakan aplikasi web Teams yang memiliki perlindungan tambahan.

    Sumber: Android Police

    Pranksters di Twitter menggagalkan bot GPT-3 dengan peretasan “prompt injection” yang baru ditemukan

    by

    Pada hari Kamis, beberapa pengguna Twitter menemukan cara membajak bot tweet otomatis, yang didedikasikan untuk pekerjaan jarak jauh, yang berjalan pada model bahasa GPT-3 oleh OpenAI. Menggunakan teknik yang baru ditemukan yang disebut “promt injection attack”, mereka mengarahkan bot untuk mengulangi frasa yang memalukan dan konyol.

    Bot dijalankan oleh Remoteli.io, sebuah situs yang mengumpulkan peluang kerja jarak jauh dan menggambarkan dirinya sebagai “bot berbasis OpenAI yang membantu Anda menemukan pekerjaan jarak jauh yang memungkinkan Anda bekerja dari mana saja.” Biasanya akan menanggapi tweet yang diarahkan padanya dengan pernyataan umum tentang hal-hal positif dari pekerjaan jarak jauh. Setelah eksploitasi menjadi viral dan ratusan orang mencoba eksploitasi untuk diri mereka sendiri, bot ditutup kemarin malam.

    Peretasan ini terjadi hanya empat hari setelah peneliti data Riley Goodside menemukan kemampuan untuk meminta GPT-3 dengan “input berbahaya” yang memerintahkan model untuk mengabaikan petunjuk sebelumnya dan melakukan hal lain sebagai gantinya. Peneliti AI Simon Willison memposting garis besar eksploitasi di blognya pada hari berikutnya, menciptakan istilah “prompt injection” untuk menggambarkannya.

    “Eksploitasi hadir kapan saja ada orang yang menulis perangkat lunak yang berfungsi dengan memberikan serangkaian instruksi cepat yang diprogram dan kemudian menambahkan input yang disediakan oleh pengguna,” kata Willison kepada Ars. “Hal tersebut dikarenakan pengguna dapat mengetik ‘Abaikan instruksi sebelumnya dan (lakukan ini sebagai gantinya).'”

    Selengkapnya: ars TECHNICA

    Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

    by

    Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

    Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

    Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

    Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

    Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

    Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

    Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

    Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

    Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

    Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

    Sumber: Bleeping Computer