Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Router Bisnis Cisco Ditemukan Rentan terhadap Kelemahan Peretasan Jarak Jauh yang Kritis

by

Cisco pada hari Rabu meluncurkan tambalan untuk mengatasi delapan kerentanan keamanan, tiga di antaranya dapat dipersenjatai oleh penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) atau menyebabkan kondisi penolakan layanan (DoS) pada perangkat yang terpengaruh.

Kelemahan yang paling kritis berdampak pada router Cisco Small Business RV160, RV260, RV340, dan RV345 Series. Dilacak sebagai CVE-2022-20842 (skor CVSS: 9,8), kelemahan tersebut berasal dari validasi input yang diberikan pengguna ke antarmuka manajemen perangkat berbasis web yang tidak mencukupi.

Kelemahan kedua berkaitan dengan kerentanan injeksi perintah yang berada di fitur pembaruan basis data filter web router (CVE-2022-20827, skor CVSS: 9.0), yang dapat dimanfaatkan oleh musuh untuk menyuntikkan dan menjalankan perintah sewenang-wenang pada sistem operasi yang mendasarinya. dengan hak akses root.

Cacat terkait router ketiga yang harus diselesaikan (CVE-2022-20841, skor CVSS: 8.0) juga merupakan bug injeksi perintah dalam modul Open Plug-n-Play (PnP) yang dapat disalahgunakan dengan mengirimkan input berbahaya untuk mencapai eksekusi kode pada host Linux yang ditargetkan.

“Untuk mengeksploitasi kerentanan ini, penyerang harus memanfaatkan posisi man-in-the-middle atau memiliki pijakan yang mapan pada perangkat jaringan tertentu yang terhubung ke router yang terpengaruh,” kata pembuat peralatan jaringan tersebut.

Juga ditambal oleh Cisco adalah lima kelemahan keamanan menengah yang memengaruhi Rapat Webex, Mesin Layanan Identitas, Manajer Komunikasi Terpadu, dan Platform Pengiriman Aplikasi BroadWorks.

Perusahaan tidak menawarkan solusi untuk memperbaiki masalah, menambahkan tidak ada bukti kerentanan ini dieksploitasi di alam liar. Konon, pelanggan disarankan untuk bergerak cepat untuk menerapkan pembaruan.

The Hacker News

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

by

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Seorang Mahasiswa Menemukan Bug di Perutean Email Cloudflare yang Memungkinkan Anda Membaca Email Setiap Pengguna

by

Tahun lalu, perusahaan IT Cloudflare meluncurkan layanan perutean email, yang memberi pengguna kemampuan untuk mengatur sejumlah besar alamat yang terhubung ke kotak masuk yang sama.

Perutean email dapat menjadi alat privasi yang kuat, karena memungkinkan Anda untuk menyembunyikan alamat email Anda yang sebenarnya di balik jaringan alamat sementara atau “dapat dibakar”.

Sayangnya, seperti yang ditunjukkan dalam penelitian yang diterbitkan Rabu oleh seorang mahasiswa dari Denmark, layanan Cloudflare memiliki bug raksasa di dalamnya. Cacatnya, ketika dieksploitasi dengan benar, memungkinkan pengguna mana pun untuk membaca—atau bahkan memanipulasi—email pengguna lain.

Albert Pedersen, yang saat ini menjadi mahasiswa di Skive College di Midtjylland, menulis bahwa ia menemukan kerentanan invasif pada bulan Desember. Dalam sebuah tulisan yang diterbitkan di situs webnya, Pedersen menjelaskan bahwa bug tersebut akan memungkinkan peretas untuk “memodifikasi konfigurasi perutean domain apa pun menggunakan layanan.”

Kerentanan, yang telah dikonfirmasi oleh Cloudflare tetapi dikatakan tidak pernah dieksploitasi, melibatkan cacat dalam sistem “verifikasi kepemilikan zona” program, yang berarti bahwa peretas dapat mengonfigurasi ulang perutean dan penerusan email untuk domain email yang tidak dimiliki oleh mereka.

Manipulasi eksploit yang tepat akan memungkinkan seseorang yang mengetahui bug tersebut untuk merutekan ulang email pengguna ke alamat mereka sendiri. Itu juga akan memungkinkan peretas untuk mencegah email tertentu dikirim ke target sama sekali.

Dalam tulisannya, Pedersen mencatat bahwa tidak sulit untuk menemukan daftar alamat email online yang dilampirkan ke layanan Cloudflare. Menggunakan salah satu daftar itu, orang jahat bisa dengan mudah menargetkan siapa saja yang menggunakan layanan penerusan.

Setelah menemukan eksploit, Pedersen berhasil mereproduksinya beberapa kali menggunakan beberapa domain pribadi dan memutuskan untuk melaporkan masalah tersebut ke program hadiah bug Cloudflare. Program ini akhirnya memberinya total $6.000 untuk usahanya. Pedersen juga mengatakan blognya diterbitkan dengan izin dari Cloudflare.

Dalam email ke Gizmodo, perwakilan perusahaan menegaskan kembali bahwa bug telah diperbaiki segera setelah ditemukan: “Seperti yang dirangkum dalam blog peneliti, kerentanan ini diungkapkan melalui program bug bounty kami. Kami kemudian menyelesaikan masalah dan memverifikasi bahwa kerentanan belum dieksploitasi.”

Untung saja tidak, karena jika seorang peretas mendapatkan eksploitasi ini, mereka dapat menyebabkan kekacauan kotak masuk yang nyata. Dalam tulisannya, Pederson mencatat bahwa penjahat dunia maya dapat menggunakan bug ini untuk mengatur ulang kata sandi, yang akan mengancam akun lain yang terhubung ke alamat email yang dieksploitasi:

“Ini bukan hanya masalah privasi yang besar, tetapi karena fakta bahwa tautan pengaturan ulang kata sandi sering dikirim ke alamat email pengguna, aktor jahat juga berpotensi mendapatkan kendali atas akun apa pun yang ditautkan ke alamat email itu. Ini adalah contoh bagus mengapa Anda harus menggunakan otentikasi 2 faktor,” tulisnya.

Sumber: GIZMODO

VMware Merilis Patch untuk Beberapa Cacat Baru yang Mempengaruhi Banyak Produk

by

VMware telah merilis pembaruan untuk mengatasi 10 kelemahan keamanan yang memengaruhi beberapa produk yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan tindakan jahat.

Masalah, dilacak dari CVE-2022-31656 hingga CVE-2022-31665 (skor CVSS: 4,7 – 9,8), memengaruhi VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Kelemahan paling parah adalah CVE-2022-31656 (skor CVSS: 9,8), kerentanan bypass otentikasi yang memengaruhi pengguna domain lokal yang dapat dimanfaatkan oleh aktor jahat dengan akses jaringan untuk mendapatkan hak administratif.

Juga diselesaikan oleh VMware adalah tiga kerentanan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, dan CVE-2022-31665) terkait dengan JDBC dan injeksi SQL yang dapat dipersenjatai oleh musuh dengan administrator dan akses jaringan.

Di tempat lain, ia juga telah memperbaiki kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31663) yang dikatakan sebagai akibat dari sanitasi pengguna yang tidak tepat, yang dapat menyebabkan aktivasi kode JavaScript berbahaya.

Mengakhiri tambalan adalah tiga bug eskalasi hak istimewa lokal (CVE-2022-31660, CVE-2022-31661, dan CVE-2022-31664) yang mengizinkan aktor dengan akses lokal untuk meningkatkan hak istimewa ke “root”, kerentanan injeksi URL ( CVE-2022-31657), dan bug traversal jalur (CVE-2022-31662).

Sementara keberhasilan eksploitasi CVE-2022-31657 memungkinkan untuk mengarahkan ulang pengguna yang diautentikasi ke domain arbitrer, CVE-2022-31662 dapat melengkapi penyerang untuk membaca file dengan cara yang tidak sah.

VMware mengatakan tidak mengetahui eksploitasi kerentanan ini di alam liar, tetapi mendesak pelanggan yang menggunakan produk rentan untuk segera menerapkan tambalan untuk mengurangi potensi ancaman.

Sumber: The Hacker News

VMware mendesak admin untuk segera menambal bug bypass auth kritis

by

VMware telah memperingatkan admin hari ini untuk menambal kelemahan keamanan bypass otentikasi kritis yang memengaruhi pengguna domain lokal di beberapa produk dan memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan hak istimewa admin.

Cacat (CVE-2022-31656) dilaporkan oleh Petrus Viet dari VNG Security, yang menemukan bahwa itu berdampak pada VMware Workspace ONE Access, Identity Manager, dan vRealize Automation.

VMware menilai tingkat keparahan kerentanan keamanan ini sebagai hal yang kritis, dengan skor dasar CVSSv3 9,8/10.

Perusahaan juga menambal beberapa bug keamanan lain yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, CVE-2022-31665) dan meningkatkan hak istimewa ke ‘root’ (CVE-2022-31660, CVE- 2022-31661, CVE-2022-31664) pada server yang belum ditambal.

Daftar lengkap produk VMware yang terpengaruh oleh kerentanan ini meliputi:

  • VMware Workspace ONE Akses (Akses)
  • VMware Workspace ONE Access Connector (Konektor Akses)
  • Manajer Identitas VMware (vIDM)
  • Konektor Manajer Identitas VMware (Konektor vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Menurut VMware, tidak ada bukti bahwa kerentanan bypass otentikasi CVE-2022-31656 kritis dieksploitasi dalam serangan.

VMware menyediakan tautan unduhan tambalan dan instruksi instalasi terperinci di situs web basis pengetahuannya.

Perusahaan juga membagikan solusi sementara untuk pelanggan yang tidak dapat segera menambal peralatan mereka terhadap CVE-2022-31656.

Langkah-langkah yang dirinci oleh VMware mengharuskan admin untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan dan masuk melalui SSH untuk memulai kembali layanan cakrawala-ruang kerja.

Namun, VMware tidak merekomendasikan penggunaan solusi ini dan mengatakan satu-satunya cara untuk mengatasi kelemahan bypass auth CVE-2022-31656 sepenuhnya adalah dengan menambal produk yang rentan.

Perusahaan juga menyediakan dokumen dukungan dengan daftar pertanyaan dan jawaban mengenai bug kritis yang ditambal hari ini.

Pada bulan Mei, VMware menambal kerentanan kritis yang hampir identik, bug bypass otentikasi lain (CVE-2022-22972) yang ditemukan oleh Bruno López dari Innotec Security di Workspace ONE Access, VMware Identity Manager (vIDM), dan vRealize Automation.

Sumber: Arstechnica

Peretas memindai kerentanan dalam waktu 15 menit setelah pengungkapan

by

Administrator sistem memiliki lebih sedikit waktu untuk menambal kerentanan keamanan yang diungkapkan daripada yang diperkirakan sebelumnya, karena laporan baru menunjukkan pelaku ancaman memindai titik akhir yang rentan dalam waktu 15 menit setelah CVE baru diungkapkan kepada publik.

Menurut Laporan Respons Insiden Unit 42 Palo Alto 2022, peretas terus-menerus memantau papan buletin vendor perangkat lunak untuk pengumuman kerentanan baru yang dapat mereka manfaatkan untuk akses awal ke jaringan perusahaan atau untuk melakukan eksekusi kode jarak jauh.

Namun, kecepatan di mana aktor ancaman mulai memindai kerentanan menempatkan administrator sistem di garis bidik saat mereka berlomba untuk menambal bug sebelum dieksploitasi.

Karena pemindaian tidak terlalu menuntut, bahkan penyerang berketerampilan rendah dapat memindai internet untuk titik akhir yang rentan dan menjual temuan mereka di pasar web gelap tempat peretas yang lebih cakap tahu cara mengeksploitasinya.

Kemudian, dalam beberapa jam, upaya eksploitasi aktif pertama diamati, sering kali mengenai sistem yang tidak pernah memiliki kesempatan untuk ditambal.

Unit 42 menyajikan CVE-2022-1388 sebagai contoh, kerentanan eksekusi perintah jarak jauh yang tidak diautentikasi yang kritis yang berdampak pada produk F5 BIG-IP.

Cacat itu terungkap pada 4 Mei 2022, dan menurut Unit 42, dalam waktu sepuluh jam sejak pengumuman CVE, mereka telah mencatat 2.552 upaya pemindaian dan eksploitasi.

Ini adalah perlombaan antara pembela dan aktor jahat, dan margin untuk penundaan di kedua sisi berkurang setiap tahun yang berlalu.

Berdasarkan data yang dikumpulkan oleh Palo Alto, kerentanan yang paling banyak dieksploitasi untuk akses jaringan di Semester 1 2022 adalah rantai eksploitasi “ProxyShell”, yang menyumbang 55% dari total insiden eksploitasi yang tercatat. ProxyShell adalah serangan yang dieksploitasi dengan menyatukan tiga kerentanan yang dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

Log4Shell mengikuti di tempat kedua dengan 14%, berbagai CVE SonicWall menyumbang 7%, ProxyLogon memiliki 5%, sedangkan RCE di Zoho ManageEngine ADSelfService Plus dieksploitasi dalam 3% kasus.

Cacat yang paling banyak dieksploitasi di H1 2022 (Unit 42)

Seperti yang terlihat dari statistik ini, bagian terbesar dalam volume eksploitasi ditangkap oleh kelemahan semi-lama dan bukan yang terbaru.

Sistem yang lebih berharga dan terlindungi lebih baik yang adminnya cepat menerapkan pembaruan keamanan ditargetkan dengan zero-days atau serangan yang terungkap segera setelah pengungkapan kelemahan.

Perlu juga dicatat bahwa menurut Unit 42, mengeksploitasi kerentanan perangkat lunak untuk pelanggaran jaringan awal menyumbang sekitar sepertiga dari metode yang digunakan.

Dalam 37% kasus, phishing adalah cara yang lebih disukai untuk mencapai akses awal. Pemaksaan kasar atau menggunakan kredensial yang disusupi adalah cara peretas menembus jaringan di 15% kasus.

Akhirnya, menggunakan trik rekayasa sosial terhadap karyawan istimewa atau menyuap orang dalam yang nakal untuk membantu akses jaringan sama dengan 10% dari insiden.

Dengan administrator sistem, admin jaringan, dan profesional keamanan yang sudah berada di bawah tekanan yang signifikan saat mereka mencoba untuk mengikuti ancaman keamanan terbaru dan masalah OS, kecepatan di mana pelaku ancaman menargetkan perangkat mereka hanya menambah tekanan tambahan.

Oleh karena itu, sangat penting untuk menjauhkan perangkat dari Internet jika memungkinkan, dan hanya memaparkannya melalui VPN atau gerbang keamanan lainnya. Dengan membatasi akses ke server, admin tidak hanya mengurangi risiko eksploitasi, tetapi juga memberikan waktu tambahan untuk menerapkan pembaruan keamanan sebelum kerentanan dapat ditargetkan secara internal.

Sayangnya, beberapa layanan harus diekspos secara publik, mengharuskan admin untuk memperketat keamanan sebanyak mungkin melalui daftar akses, hanya menampilkan port dan layanan yang diperlukan, dan menerapkan pembaruan secepat mungkin.

Sumber: Bleeping Computer

Situs web PrestaShop rentan terhadap serangan SQL Injection

by

Situs web PrestaShop dilaporkan rentan terhadap kerentanan Injeksi SQL utama (dilacak sebagai CVE-2022-36408) dan telah dieksploitasi secara liar sejak Juli 2022.

Didirikan pada tahun 2007, PrestaShop adalah platform e-commerce open source freemium yang digunakan oleh ratusan ribu pemilik situs web untuk menjual produk dan layanan secara online.

Versi PrestaShop 1.6.0.10 hingga 1.7.x (sebelum 1.7.8.7) rentan terhadap “rantai kerentanan yang sebelumnya tidak diketahui” terkait dengan injeksi SQL dan kerentanan injeksi penyimpanan cache MySQL Smarty. Akibatnya, penyerang jarak jauh dapat mengeksekusi kode arbitrer.

“Tim pengelola telah disadarkan bahwa aktor jahat mengeksploitasi kombinasi kerentanan keamanan yang diketahui dan tidak diketahui untuk menyuntikkan kode berbahaya di situs web PrestaShop, memungkinkan mereka untuk mengeksekusi instruksi sewenang-wenang, dan berpotensi mencuri informasi pembayaran pelanggan,” tulis PrestaShop dalam sebuah posting blog. .

Menurut PrestaShop, penyerang biasanya mengikuti langkah-langkah ini untuk meluncurkan serangan terhadap toko-toko yang rentan:

  • Penyerang mengirimkan permintaan POST ke situs web yang rentan untuk mengeksploitasi kerentanan injeksi SQL.
    Setelah kira-kira satu detik, penyerang mengirimkan permintaan GET ke beranda (tanpa parameter), yang membuat file PHP bernama blm.php di direktori root situs web.
  • Penyerang kemudian mengirimkan permintaan GET ke file baru blm.php, sehingga memungkinkan penyerang untuk mengeksekusi instruksi sewenang-wenang.
  • Akibatnya, pelaku jahat kemudian dapat sepenuhnya berkompromi dengan situs web dan menyuntikkan formulir pembayaran palsu melalui halaman checkout front-office.

Matt Morrow, dari perusahaan keamanan Securi, juga menemukan situs web PrestaShop yang terinfeksi yang berisi malware PrestaShop Skimmer yang disembunyikan di Modul One Page Checkout. Akibatnya, ditemukan injeksi kode yang menggantikan formulir kartu pembayaran situs web korban.

PrestaShop merilis pembaruan baru pada 25 Juli untuk versi terbaru PrestaShop 1.7.8.7 yang memperkuat penyimpanan cache MySQL Smarty terhadap serangan injeksi kode.

Pemilik toko sangat dianjurkan untuk mengupgrade situs web mereka ke versi terbaru sesegera mungkin ke alamat CVE-2022-36408..

Namun, PrestaShop juga memperingatkan pemilik toko untuk “mewaspadai bahwa meningkatkan perangkat lunak Anda mungkin tidak cukup untuk mengamankan toko Anda jika sudah diretas.” Pemilik situs dapat menghubungi spesialis keamanan jika perlu untuk melakukan audit penuh dan menghapus malware apa pun jika terdeteksi.

Sumber: Secure Zoo

Pelanggaran Data Twitter Mengekspos Detail Kontak untuk 5,4 Juta Akun; Dijual Seharga $30k

by

Pelanggaran data Twitter telah memungkinkan penyerang mendapatkan akses ke detail kontak dari 5,4 juta akun. Twitter telah mengkonfirmasi kerentanan keamanan yang memungkinkan data diekstraksi.

Data – yang menghubungkan pegangan Twitter dengan nomor telepon dan alamat email – telah ditawarkan untuk dijual di forum peretasan, seharga $30.000.

Restore Privacy melaporkan bahwa pelanggaran itu dimungkinkan oleh kerentanan yang ditemukan kembali pada bulan Januari.

Kemungkinan penyerang memperoleh database nomor telepon dan alamat email yang ada yang diperoleh dari pelanggaran layanan lain, dan kemudian menggunakan detail ini untuk mencari ID Twitter yang sesuai.

Belum ada cara untuk memeriksa apakah akun Anda termasuk dalam pelanggaran data Twitter. Seperti biasa, perlu waspada terhadap serangan phishing – email yang mengaku berasal dari Apple, bank Anda, PayPal, penyedia email, dan sebagainya, dan yang meminta Anda untuk masuk ke akun Anda.

Taktik phishing yang umum adalah pesan yang memberi tahu Anda bahwa akun Anda berisiko dihapus, atau mengirim tanda terima palsu untuk pembelian bernilai tinggi, bersama dengan tautan untuk menyengketakan tagihan.

Perlindungan utama di sini adalah jangan pernah mengklik tautan yang dikirim melalui email. Selalu gunakan bookmark Anda sendiri, atau ketik URL yang dikenal.

Sumber: 9to5Mac