Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Cacat Keamanan iOS Ini Perlu Ditangani Di Setiap Aplikasi

by

Cacat dalam cara iOS menangani pencopotan pemasangan aplikasi berarti bahwa data Rantai Kunci yang sensitif tidak dihapus saat konten pengguna aplikasi lainnya dihapus. Ini memengaruhi sebagian besar aplikasi, bahkan aplikasi yang tidak langsung menggunakan Keychain.

Saat pengguna mencopot pemasangan aplikasi dari iPhone atau iPad mereka, mereka benar-benar mengharapkan data aplikasi tersebut dihapus sepenuhnya. Namun, ternyata, iOS tidak menghapus beberapa data paling sensitif yang mungkin disimpan oleh aplikasi, termasuk kata sandi dan token keamanan. Data itu akan tetap ada di perangkat Anda setelah aplikasi dihapus.

Dan faktanya, pengguna tidak memiliki cara untuk menghapus data ini sama sekali, kecuali menghapus seluruh ponsel mereka. Ini dapat menyebabkan masalah perusak privasi lainnya. Bayangkan situasi di mana seseorang menghapus semua aplikasi mereka untuk menyerahkan telepon kepada orang lain.

Cara yang tepat untuk melakukan ini tentu saja adalah dengan menggunakan fungsi “Hapus iPhone”, tetapi tidak semua konsumen mengetahuinya, Mereka akan menganggap bahwa semua data mereka telah dihapus. Namun pada kenyataannya pengguna baru berpotensi memiliki akses ke semua akun pemilik sebelumnya hanya dengan menginstal ulang aplikasi yang relevan.

Sebagian besar aplikasi tidak menggunakan Keychain secara langsung, karena mereka menggunakan perpustakaan pihak ketiga yang berfungsi untuk mereka (Firebase misalnya). Cacat ini memengaruhi aplikasi apa pun yang menggunakan Keychain secara langsung atau tidak langsung.

Jadi hal terbaik berikutnya adalah menghapus data Keychain setiap kali Anda mendeteksi bahwa aplikasi telah diinstal ulang. Itu tidak akan mencegah data tidak aktif di ponsel Anda, tetapi itu akan mencegahnya digunakan saat seharusnya tidak.

Kode terlihat seperti ini untuk aplikasi SwiftUI:

struct MyApp: App {
init() {
// Find if this is a first run of a fresh install
let defaults = UserDefaults.standard

// If the “IsSubsequentRun” key doesn’t exist, it’s a fresh
// install
if !defaults.bool(forKey: “IsSubsequentRun”) {

// …so we delete the whole keychain
deleteEntireKeychain()

// And set the key to true, so we know it’s not a fresh
// install any more.
defaults.set(true, forKey: “IsSubsequentRun”)
}
}
}

Untuk aplikasi UIKit, kode di dalam init() seharusnya diletakkan di fungsi app(_:didFinishLaunchingWithOptions:) AppDelegate Anda.
Dalam kedua kasus tersebut, pastikan kode dijalankan sebelum menginisialisasi pustaka apa pun yang mungkin menggunakan data Rantai Kunci (seperti Firebase).
Terakhir, tambahkan fungsi berikut yang dapat digunakan untuk menghapus seluruh data Rantai Kunci aplikasi Anda:

import Security

func deleteEntireKeychain() {
let secItemClasses = [
kSecClassGenericPassword,
kSecClassInternetPassword,
kSecClassCertificate,
kSecClassKey,
kSecClassIdentity
]

// Query every item in each security class
for secItemClass in secItemClasses {
let query: NSDictionary = [
kSecClass: secItemClass,
kSecAttrSynchronizable: kSecAttrSynchronizableAny
]

// …and delete those items
SecItemDelete(query)
}
}

Ini adalah kelemahan keamanan yang merusak privasi. Ini menyebabkan data sensitif yang diharapkan pengguna telah dihapus, pada kenyataannya bertahan. Tidak ada solusi lengkap. Namun, kode di atas setidaknya akan menjamin bahwa data apa pun yang sebelumnya harus dihapus, tidak dapat digunakan di aplikasi Anda.

Sumber : Medium

Server Microsoft SQL Rentan yang ditargetkan dengan Cobalt Strike

by

Analis ancaman telah mengamati gelombang serangan baru yang memasang suar Cobalt Strike pada Microsoft SQL Server yang rentan, yang mengarah ke infiltrasi yang lebih dalam dan infeksi malware berikutnya.

Serangan dimulai dengan pelaku ancaman memindai server dengan port TCP terbuka 1433, yang kemungkinan besar merupakan server MS-SQL yang menghadap publik. Penyerang kemudian melakukan serangan brute-forcing dan kamus untuk memecahkan kata sandi. Agar serangan bekerja dengan salah satu metode, kata sandi target harus lemah.

Setelah penyerang mendapatkan akses ke akun admin dan masuk ke server, peneliti ASEC telah melihat mereka menjatuhkan penambang koin seperti Lemon Duck, KingMiner, dan Vollgar. Selain itu, aktor ancaman mem-backdoor server dengan Cobalt Strike untuk membangun kegigihan dan melakukan gerakan lateral.

Cobalt Strike diunduh melalui proses shell perintah (cmd.exe dan powershell.exe) ke MS-SQL yang disusupi dan disuntikkan serta dieksekusi di MSBuild.exe untuk menghindari deteksi.

Proses yang mengunduh Cobalt Strike (ASEC)

Setelah dieksekusi, suar disuntikkan ke dalam proses wwanmm.dll Windows yang sah dan menunggu perintah penyerang sambil tetap tersembunyi di dalam file pustaka sistem.

Kode dan string yang digunakan untuk menodai dll (ASEC)

Cobalt Strike adalah alat pengujian pena (keamanan ofensif) komersial yang disalahgunakan secara ekstensif oleh penjahat dunia maya yang menganggap fitur-fitur canggihnya sangat berguna untuk operasi jahat mereka.

Alat senilai $3.500 per lisensi dimaksudkan untuk membantu peretas etis dan tim merah mensimulasikan serangan nyata terhadap organisasi yang ingin meningkatkan sikap keamanan mereka, tetapi sejak versi yang diretas bocor, penggunaannya oleh pelaku ancaman menjadi tidak terkendali.

Sekarang digunakan oleh Squirrelwaffle, Emotet, operator malware, serangan oportunistik, grup penargetan Linux, musuh canggih, dan biasanya oleh geng ransomware saat melakukan serangan.

Alasan mengapa pelaku ancaman sangat menyalahgunakannya adalah fungsionalitasnya yang kaya yang mencakup hal-hal berikut:

  • Eksekusi perintah
  • Pencatatan kunci
  • Operasi file
  • Proksi SOCKS
  • Peningkatan hak istimewa
  • Mimikatz (mencuri kredensial)
  • Pemindaian port

Selain itu, agen Cobalt Strike yang disebut “suar” adalah kode shell tanpa file, sehingga kemungkinan terdeteksi oleh alat keamanan berkurang, terutama dalam sistem yang dikelola dengan buruk.

Untuk melindungi server MS-SQL Anda dari serangan jenis ini, gunakan kata sandi admin yang kuat, tempatkan server di belakang firewall, catat semuanya dan pantau tindakan yang mencurigakan, terapkan pembaruan keamanan yang tersedia, dan gunakan pengontrol akses data untuk memeriksa dan menerapkan kebijakan pada setiap transaksi.

Sumber : Bleeping Computer

Peneliti membuat eksploitasi untuk bug Magento yang kritis, saran pembaruan Adobe

by

Peneliti keamanan telah membuat kode eksploit untuk CVE-2022-24086, kerentanan kritis yang memengaruhi AdobeCommerce dan Magento Open Source yang ditambal oleh Adobe dalam pembaruan out-of-band Minggu lalu.

Kerentanan, yang dilihat Adobe sebagai “dieksploitasi di alam liar dalam serangan yang sangat terbatas,” menerima skor keparahan 9,8 dari 10 dan musuh yang mengeksploitasinya dapat mencapai eksekusi kode jarak jauh pada sistem yang terpengaruh tanpa perlu mengautentikasi.

Sebelumnya hari ini, Adobe memperbarui penasehat keamanannya untuk CVE-2022-24086 menambahkan masalah baru yang sekarang dilacak sebagai CVE-2022-24087, yang memiliki skor keparahan yang sama dan dapat menyebabkan hasil yang sama ketika dimanfaatkan dalam serangan.

Keduanya merupakan kerentanan Validasi Input yang Tidak Tepat dan perusahaan merilis tambalan untuk Adobe Commerce dan Magento Open Source untuk mengatasi dua masalah keamanan tersebut.

Dalam sebuah tweet hari ini, Tim Ofensif dari perusahaan keamanan siber Positive Technologies mengumumkan bahwa mereka menciptakan eksploitasi yang andal untuk CVE-2022-24086.

Para peneliti mengatakan kepada BleepingComputer bahwa penyerang yang memanfaatkan bug bisa mendapatkan “akses penuh ke sistem target dengan hak server web.”

Mereka memperingatkan bahwa mencoba memblokir upaya eksploitasi dengan menyiapkan firewall aplikasi web (WAF) bukanlah solusi yang andal karena ada banyak cara untuk memanfaatkan bug, “tanpa konstruksi spesifik dan tidak dapat dilepas dalam permintaan.”

Peneliti Positive Technologies memberi tahu kami bahwa mengembangkan “eksploitasi lengkap adalah tugas yang cukup sulit” jika detail teknis tidak tersedia. Namun, setelah hambatan ini dihilangkan, menyerang target yang rentan “cukup mudah dan sederhana.”

Toko online adalah target utama bagi peretas yang didorong secara finansial yang mengincar data kartu pembayaran, biasanya ditangkap oleh skimmer web – skrip berbahaya yang disuntikkan ke dalam formulir pembayaran.

Selain itu, seperti yang dicatat Adobe, beberapa pelaku ancaman sudah memanfaatkan CVE-2022-2408 dalam serangan terbatas. Menurut perkiraan para peneliti, ada lebih dari 17.000 situs web yang rentan, beberapa di antaranya dari “bisnis besar”.

Para peneliti mengatakan bahwa mereka tidak memiliki rencana untuk mempublikasikan kode eksploitasi proof-of concept (PoC) yang mereka buat atau untuk membagikannya secara pribadi dalam industri infosec.

Keputusan ini terutama dimotivasi oleh sejumlah besar situs web yang menjalankan produk Adobe Commerce dan Magento yang belum ditambal.

Sumber : Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

by

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Google Chrome 98 update

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek

Kelemahan PHP Everywhere RCE mengancam ribuan situs WordPress

by

Para peneliti menemukan tiga kerentanan eksekusi kode jarak jauh (RCE) kritis di plugin ‘PHP Everywhere’ untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia.

PHP Everywhere adalah plugin yang memungkinkan admin WordPress untuk memasukkan kode PHP di halaman, posting, bilah sisi, atau blok Gutenberg apa pun, dan menggunakannya untuk menampilkan konten dinamis berdasarkan ekspresi PHP yang dievaluasi.

Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh kontributor atau pelanggan, memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya.

Berikut adalah deskripsi singkat tentang kekurangannya:

  • CVE-2022-24663 – Cacat eksekusi kode jarak jauh yang dapat dieksploitasi oleh pelanggan mana pun dengan mengizinkan mereka mengirim permintaan dengan parameter ‘kode pendek’ yang disetel ke PHP Everywhere, dan mengeksekusi kode PHP sewenang-wenang di situs. (Skor CVSS v3: 9,9)
  • CVE-2022-24664 – Kerentanan RCE yang dapat dieksploitasi oleh kontributor melalui metabox plugin. Penyerang akan membuat postingan, menambahkan metabox kode PHP, dan kemudian mempratinjaunya. (Skor CVSS v3: 9,9)
  • CVE-2022-24665 – Cacat RCE dapat dieksploitasi oleh kontributor yang memiliki kemampuan ‘edit_posts’ dan dapat menambahkan blok PHP Everywhere Gutenberg. Pengaturan keamanan default pada versi plugin yang rentan tidak pada ‘hanya admin’ sebagaimana mestinya. (Skor CVSS v3: 9,9)

Sementara dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi pelanggan di situs.

Dalam semua kasus, mengeksekusi kode arbitrer di situs dapat menyebabkan pengambilalihan situs secara lengkap, yang merupakan skenario terburuk dalam keamanan situs web.

Vendor merilis pembaruan keamanan pada 10 Januari 2022, dengan versi 3.0.0, yang mengalami peningkatan nomor versi utama karena memerlukan penulisan ulang kode yang substansial.

Sementara pengembang memperbaiki pembaruan bulan lalu, tidak jarang admin tidak memperbarui situs dan plugin WordPress mereka secara teratur. Menurut statistik unduhan di WordPress.org, hanya 15.000 pemasangan dari 30.000 yang telah memperbarui plugin sejak bug diperbaiki.

Oleh karena itu, karena parahnya kerentanan ini, semua pengguna PHP Everywhere sangat disarankan untuk memastikan bahwa mereka telah mengupgrade ke PHP Everywhere versi 3.0.0 yang merupakan versi terbaru yang tersedia saat ini.

Sumber : Bleeping Computer

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer