Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Microsoft menemukan kelemahan desktop Linux yang memberikan root kepada pengguna yang tidak tepercaya

by

Microsoft menemukan kerentanan yang memudahkan orang-orang yang memiliki akses di banyak sistem desktop Linux untuk mendapatkan hak sistem root, peningkatan terbaru dari kelemahan hak istimewa yang terungkap di OS open source.

Karena sistem operasi telah dikeraskan untuk menahan kompromi dalam beberapa tahun terakhir, kerentanan elevasi hak istimewa (EoP) telah menjadi unsur penting bagi sebagian besar peretasan yang sukses.

Mereka dapat dieksploitasi bersama dengan kerentanan lain yang sering dianggap kurang parah, mereka memberikan akses lokal dan yang pertama meningkatkan akses root. Dari sana, musuh dengan akses fisik atau hak sistem terbatas dapat menyebarkan pintu belakang atau mengeksekusi kode pilihan mereka.

Nimbuspwn, seperti yang disebut Microsoft sebagai ancaman EoP, adalah dua kerentanan yang berada di networkd-dispatcher, komponen di banyak distribusi Linux yang mengirimkan perubahan status jaringan dan dapat menjalankan berbagai skrip untuk merespons status baru.

Cacat, dilacak sebagai CVE-2022-29799 dan CVE-2022-29800, menggabungkan ancaman termasuk traversal direktori, balapan symlink, dan kondisi balapan time-of-check time-of-use (TOCTOU). Setelah meninjau kode sumber Networkd -dispatcher, peneliti Microsoft Jonathan Bar Or memperhatikan bahwa komponen yang dikenal sebagai “_run_hooks_for_state” mengimplementasikan logika berikut:

Daftar daftar skrip yang tersedia dengan menjalankan metode “get_script_list”, yang memanggil metode “scripts_in_path” terpisah yang dimaksudkan untuk mengembalikan semua file yang disimpan di direktori “/etc/networkd-dispatcher/.d”.

Run_hooks_for_state membiarkan sistem Linux terbuka untuk kerentanan direktori-traversal, yang ditetapkan sebagai CVE-2022-29799, karena tidak ada fungsi yang digunakannya secara memadai membersihkan status yang digunakan untuk membangun jalur skrip yang tepat dari input berbahaya. Peretas dapat mengeksploitasi kelemahan untuk keluar dari direktori dasar “/etc/networkd-dispatcher”.

Run-hooks_for_state berisi cacat terpisah, CVE-2022-29800, yang membuat sistem rentan terhadap kondisi balapan TOCTOU karena ada waktu tertentu antara skrip ditemukan dan skrip dijalankan.

Musuh dapat mengeksploitasi kerentanan yang terakhir ini untuk mengganti skrip yang diyakini networkd-dispatcher dimiliki oleh root dengan skrip jahat pilihan musuh. Untuk memastikan Linux mengeksekusi skrip berbahaya yang disediakan peretas daripada skrip yang sah, peretas menanam beberapa skrip hingga akhirnya berhasil.

Seorang peretas dengan akses minimal ke desktop yang rentan dapat menyatukan eksploitasi untuk kerentanan ini yang memberikan akses root penuh.

Untuk mendapatkan akses root yang persisten, peneliti menggunakan alur eksploit untuk membuat pintu belakang. Proses untuk ini adalah:

Salin /bin/sh ke /tmp/sh.
Mengubah /tmp/sh baru menjadi biner Set-UID (SUID)
Jalankan /tmp/sh -p. Bendera “-p” diperlukan karena cangkang modern menjatuhkan hak istimewa berdasarkan desain.

Eksploitasi proof-of-concept hanya berfungsi jika dapat menggunakan nama bus “org.freedesktop.network1”. Peneliti menemukan beberapa lingkungan di mana ini terjadi, termasuk Linux Mint, di mana systemd-networkd secara default tidak memiliki nama bus org.freedodesktop.network1 saat boot.

Peneliti juga menemukan beberapa proses yang berjalan sebagai pengguna jaringan systemd, yang diizinkan untuk menggunakan nama bus yang diperlukan untuk menjalankan kode arbitrer dari lokasi yang dapat ditulis di dunia. Proses yang rentan mencakup beberapa plugin gpgv, yang diluncurkan saat apt-get menginstal atau meningkatkan, dan Erlang Port Mapper Daemon, yang memungkinkan menjalankan kode arbitrer dalam beberapa skenario.

Kerentanan telah ditambal di networkd-dispatcher, meskipun tidak segera jelas kapan atau dalam versi apa, dan upaya untuk menjangkau pengembang tidak segera berhasil. Orang yang menggunakan versi Linux yang rentan harus menambal sistem mereka sesegera mungkin.

Sumber : Arstechnica

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Kesalahan Palo Alto Networks mengekspos kasus dukungan pelanggan, lampiran

by

Sebuah bug di dasbor dukungan Palo Alto Networks (PAN) mengekspos ribuan tiket dukungan pelanggan ke individu yang tidak berwenang, BleepingComputer telah mempelajarinya.

Informasi yang terungkap termasuk, nama dan informasi kontak (bisnis) dari orang yang membuat tiket dukungan, percakapan antara anggota staf Palo Alto Networks dan pelanggan.

Bukti yang dibagikan dengan BleepingComputer menunjukkan beberapa tiket dukungan berisi lampiran—seperti log firewall, konfigurasi dump, dan aset debug lainnya yang dibagikan dengan staf PAN oleh pelanggan.

Palo Alto Networks, penyedia terkemuka produk keamanan siber dan jaringan serta firewall, mengatakan kepada BleepingComputer bahwa masalah tersebut kini telah diperbaiki—sekitar delapan hari setelah dilaporkan.

Saat menyadari kesalahan akses, pelanggan memberi tahu BleepingComputer bahwa mereka segera memberi tahu Palo Alto Networks, baik dengan mengajukan “permintaan dukungan kritis” dan menghubungi anggota PAN tertentu di LinkedIn.

BleepingComputer menghubungi PAN untuk lebih memahami ruang lingkup dan dampak kebocoran data ini.

PAN mengatakan bahwa tidak ada data yang diunduh dan menyiratkan bahwa cakupan kebocoran tetap terbatas hanya pada satu pelanggan:

“Kami diberitahu tentang masalah yang memungkinkan pelanggan resmi untuk melihat sebagian kecil kasus dukungan, yang biasanya tidak dapat mereka lihat,” kata juru bicara Palo Alto Networks kepada BleepingComputer.

“Kami segera memulai penyelidikan dan mengidentifikasi itu karena kesalahan kesalahan konfigurasi izin dalam sistem pendukung.”

“Analisis kami mengkonfirmasi tidak ada data yang diunduh atau diubah, dan masalah ini segera diperbaiki.”

Namun, perhatikan, perbaikan bug memakan waktu sekitar delapan hari, setelah itu akses pelanggan tersebut ke 1.900 tiket yang tidak terkait dicabut.

PAN tidak menjawab apakah memberi tahu pelanggan yang informasinya terpengaruh oleh bug kebocoran data, atau jika berencana melakukannya.

Saat ini, perusahaan mengatakan, tidak ada tindakan pelanggan yang diperlukan dan yakin bahwa produk dan layanannya aman.

Selengkapnya: Bleeping Computer

Cacat keamanan kriptografik Java telah ditambal

by

Java versi 15 hingga 18 mengandung cacat dalam validasi tanda tangan ECDSA-nya yang membuatnya sepele bagi penjahat untuk menandatangani file dan data lain secara digital seolah-olah mereka adalah organisasi yang sah.

Oleh karena itu, penjahat dunia maya dapat menyebarkan unduhan berbahaya yang ditandatangani secara kriptografis dan informasi palsu seolah-olah itu nyata, dan aplikasi serta layanan Java yang terpengaruh tidak akan mengetahui perbedaannya.

Cakupan kerusakan yang dapat terjadi sangat luas: komunikasi terenkripsi, token otentikasi, pembaruan kode, dan banyak lagi, yang dibangun di atas kode cacat Oracle dapat ditumbangkan, dan sejauh menyangkut program yang ditulis dengan Java, data terlihat sah dan dapat dipercaya.

Kesalahan itu ditambal bulan ini oleh Oracle di antara lebih dari 500 kerentanan yang ditangani oleh raksasa basis data kuartal ini – jadi, seperti biasa, perbarui lebih awal dan perbarui sesering mungkin.

ECDSA adalah singkatan dari Elliptic Curve Digital Signature Algorithm. Ini menggunakan kriptografi kurva eliptik, yang implementasinya telah mengalami berbagai masalah selama bertahun-tahun.

Meskipun Oracle hanya memberikan kelemahan keamanan terbaru ini (CVE-2022-21449) peringkat keparahan 7,5 dari 10, konsultan keamanan ForgeRock yang mengatakan telah mengetahuinya, dan mengungkapkannya secara pribadi, pada bulan November menilai kerentanan sepuluh.

Yang sangat menarik tentang masalah ini adalah sangat mudah untuk dieksploitasi, dan kesalahan pemrograman yang jelas. Bug tersebut diperkenalkan ketika bagian dari kode verifikasi tanda tangan Java 15 ditulis ulang dari C++ asli ke dalam Java itu sendiri termasuk kode verifikasi ECDSA.

Untuk menyederhanakan apa yang terjadi, tanda tangan ECDSA terdiri dari sepasang angka, disebut sebagai (r, s). Untuk memverifikasi tanda tangan, kode melakukan beberapa matematika yang melibatkan hash (sidik jari, jika Anda mau) dari data, kunci publik dari organisasi atau orang mana pun yang menandatangani data secara digital, r, dan s; satu sisi persamaan menggunakan r, sisi lain r dan s.

Kedua sisi perhitungan ini harus sama agar pemeriksaan tanda tangan lolos. Itu berarti data ditandatangani secara digital oleh kunci pribadi penandatangan, yang menunjukkan bahwa data berasal dari atau disetujui oleh penandatangan. Jika pemeriksaan tanda tangan gagal, itu kemungkinan berarti siapa pun yang menandatangani data bukanlah seperti yang mereka katakan (karena mereka tidak memiliki akses ke rahasia, kunci pribadi yang sesuai dengan kunci publik yang diberikan) dan data tidak boleh tepercaya.

Secara teori, agar tanda tangan valid, (r, s) tidak boleh (0, 0) karena beberapa matematika melibatkan perkalian angka-angka ini dengan nilai lain. Bug muncul karena kode C++ asli memeriksa bahwa r dan s bukan nol, dan tidak akan menerima tanda tangan jika memang demikian. Kode Java baru tidak memeriksa, itu hanya melanjutkan dan dihitung dengan nilai-nilai.

Hasilnya adalah bahwa dalam versi kode yang terpengaruh, siapa pun yang menunjukkan tanda tangan kosong akan diterima. Jalur verifikasi normal masih berfungsi dengan baik, itulah sebabnya hal ini tidak diperhatikan dua tahun lalu. Itu baru saja menerima (0,0), dan berhasil memvalidasinya.

Dan ini adalah di atas kelemahan eksekusi kode jarak jauh gazillon, tanpa otentikasi yang diperlukan untuk mengeksploitasi, di produk Oracle lainnya. ®

Cacat ini telah dijelaskan oleh Neil Madden dari ForgeRock sebagai kerentanan kertas psikis, setelah perangkat plot dari episode Doctor Who 2007. Hering kutu buku Anda yang rendah hati menganggapnya lebih seperti kartu imp dari novel 1987 A A Attanasio In Other Worlds:

Anda akan menerima artefak ketiga dan terakhir, pelat magnet penghubung imp. Kelihatannya identik dengan kartu charge, hanya saja warnanya putih bersih. Masukkan ke dalam sistem komputer bank mana pun dan Anda akan dikreditkan dengan sejumlah besar modal nyata.

Sumber : The Register

Hot Patch Log4Shell AWS Rentan Terhadap Pelarian Kontainer dan Eskalasi Hak Istimewa

by

Setelah Log4Shell, AWS merilis beberapa solusi hot patch yang memantau aplikasi Java yang rentan dan kontainer Java dan menambalnya dengan cepat. Setiap solusi sesuai dengan lingkungan yang berbeda, meliputi server mandiri, kluster Kubernetes, kluster Elastic Container Service (ECS) dan Fargate. Hot patch tidak eksklusif untuk lingkungan AWS dan dapat diinstal ke cloud atau lingkungan lokal apa pun.

Peneliti Unit 42 mengidentifikasi masalah keamanan yang parah dalam solusi patching ini dan bermitra dengan AWS untuk memulihkannya. Setelah menginstal layanan patch ke server atau cluster, setiap kontainer di lingkungan itu dapat memanfaatkannya untuk mengambil alih host yang mendasarinya. Misalnya, jika Anda menginstal hot patch ke kluster Kubernetes, setiap kontainer di kluster Anda sekarang dapat melarikan diri sampai Anda menonaktifkan hot patch-nya atau meningkatkan ke versi tetap. Selain kontainer, proses yang unprivilege juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root.

Kontainer dapat lolos terlepas mereka menjalankan aplikasi Java atau host menjalankan Bottlerocket, distribusi Linux AWS yang mengeras untuk kontainer. Kontainer yang berjalan dengan nama pengguna atau sebagai pengguna non-root juga terpengaruh. Unit 42 menugaskan CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 dan CVE-2022-0071 untuk melacak kerentanan.

AWS merilis versi tetap untuk setiap solusi patch panas pada 19 April:

  • Versi 1.1-16 dari paket log4j-cve-2021-44228-hotpatch, yang menggabungkan layanan hot patch.
  • Versi 1.1-16 dari kubernetes-log4j-cve-2021-44228-node-agent Daemonset, yang menginstal paket yang diperbarui.
  • Versi 1.02 dari Hotdog, solusi hot patch untuk host Bottlerocket berdasarkan kait Open Container Initiative (OCI).

Unit 42 menyarankan siapa saja yang menginstal salah satu hot patch ini untuk meningkatkan ke versi tetap. Perhatikan bahwa mulai dari 17 Desember 2021, paket JDK (instalasi Java) di Amazon Linux secara otomatis menginstal paket log4j-cve-2021-44228-hotpatch. Atau, pengguna yang yakin aplikasi mereka ditambal terhadap Log4Shell dapat menonaktifkan layanan hot patch mengikuti instruksi di bagian mitigasi di bawah ini.

Prisma Cloud mendeteksi paket patch panas dan akan memperingatkan host yang menjalankan versi rentan.

Selengkapnya: Paloalto Networks

CISA memperingatkan penyerang yang sekarang mengeksploitasi bug Windows Print Spooler

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan tiga kelemahan keamanan baru ke daftar bug yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal di Windows Print Spooler.

Kerentanan tingkat keparahan tinggi ini (dilacak sebagai CVE-2022-22718) berdampak pada semua versi Windows sesuai dengan saran Microsoft dan telah ditambal selama Patch Februari 2022 pada hari Selasa.

Satu-satunya informasi yang dibagikan Microsoft tentang kelemahan keamanan ini adalah bahwa pelaku ancaman dapat mengeksploitasinya secara lokal dalam serangan dengan kompleksitas rendah tanpa interaksi pengguna.

Redmond menambal beberapa bug Windows Print Spooler lainnya dalam 12 bulan terakhir, termasuk kerentanan eksekusi kode jarak jauh PrintNightmare yang kritis.

Setelah detail teknis dan eksploitasi proof-of-concept (POC) untuk PrintNightmare secara tidak sengaja bocor, CISA memperingatkan admin untuk menonaktifkan layanan Windows Print Spooler pada Pengontrol Domain dan sistem yang tidak digunakan untuk mencetak untuk memblokir kemungkinan serangan masuk.

Minggu lalu, CISA menambahkan bug eskalasi hak istimewa lainnya di Driver Sistem File Log Umum Windows ke daftar kelemahan yang dieksploitasi di alam liar, bug yang dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA) dan ditambal oleh Microsoft selama Patch Selasa bulan ini. .

Menurut arahan operasional yang mengikat November (BOD 22-01), semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan Tereksploitasi yang Diketahui (KEV).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 10 Mei, untuk menambal kerentanan CVE-2022-22718 yang sekarang aktif dieksploitasi dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan ini hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk memperbaiki elevasi bug hak istimewa Windows Print Spooler ini untuk menggagalkan upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan dua kerentanan keamanan lama ke katalog KEV-nya hari ini, juga disalahgunakan dalam serangan yang sedang berlangsung.

Nama Kerentanan CVE Tanggal Ditambahkan

  • CVE-2022-22718 Microsoft Windows Print Spooler Privilege Eskalasi Kerentanan 2022-04-19
  • CVE-2018-6882 Zimbra Collaboration Suite (ZCS) Skrip Lintas Situs (XSS) 2022-04-19
  • CVE-2019-3568 WhatsApp VOIP Stack Buffer Overflow Kerentanan 2022-04-19

Sejak BOD 22-01 binding directive dikeluarkan, CISA telah menambahkan ratusan bug keamanan ke dalam daftar kerentanan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk mencegah pelanggaran.

Sumber : Bleeping Computer

Bug driver firmware Lenovo UEFI memengaruhi lebih dari 100 model laptop

by

Lenovo telah menerbitkan nasihat keamanan tentang kerentanan yang berdampak pada Unified Extensible Firmware Interface (UEFI) yang dimuat pada setidaknya 100 model laptopnya.

Total tiga masalah keamanan ditemukan, dua di antaranya memungkinkan penyerang untuk menonaktifkan perlindungan untuk chip memori flash SPI tempat firmware UEFI disimpan dan untuk mematikan fitur UEFI Secure Boot, yang memastikan sistem dimuat hanya saat boot. kode yang dipercaya oleh Original Equipment Manufacturer (OEM).

Eksploitasi yang berhasil dari yang ketiga, yang diidentifikasi sebagai CVE-2021-3970, dapat memungkinkan penyerang lokal untuk mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi.

Ketiga kerentanan ditemukan oleh peneliti ESET dan dilaporkan secara bertanggung jawab kepada Lenovo pada Oktober tahun lalu. Mereka memengaruhi lebih dari 100 model laptop konsumen, termasuk IdeaPad 3, Legion 5 Pro-16ACH6 H, dan Yoga Slim 9-14ITL05, yang kemungkinan berarti jutaan pengguna dengan perangkat yang rentan.

Para peneliti di ESET memperingatkan bahwa dua kerentanan terkait UEFI (CVE-2021-3971 dan CVE-2021-3972) dapat digunakan oleh penyerang untuk “menyebarkan dan berhasil mengeksekusi flash SPI atau implan ESP.”

Kedua masalah keamanan terkait UEFI dalam produk Lenovo dihasilkan dari pengenalan dua driver firmware UEFI ke dalam produksi bernama SecureBackDoor dan SecureBackDoorPeim – yang hanya digunakan selama proses manufaktur. Penasihat keamanan dari Lenovo menjelaskan kerentanan seperti ini:

  • CVE-2021-3971: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur lama pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru disertakan dalam gambar BIOS dapat memungkinkan penyerang dengan hak yang lebih tinggi untuk memodifikasi wilayah perlindungan firmware dengan memodifikasi variabel NVRAM.
  • CVE-2021-3972: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk memodifikasi pengaturan boot aman dengan memodifikasi variabel NVRAM.

ESET telah memberikan analisis teknis terperinci dari tiga kerentanan yang ditemukan dengan mencatat bahwa “ancaman UEFI bisa sangat tersembunyi dan berbahaya” karena mereka mengeksekusi “di awal proses boot, sebelum mentransfer kontrol ke sistem operasi.”

Ini berarti bahwa sebagian besar mitigasi dan solusi keamanan yang aktif di tingkat OS tidak berguna dan eksekusi muatan hampir tidak dapat dihindari dan tidak terdeteksi.

Perusahaan keamanan siber telah menemukan dua implan seperti itu di masa lalu, keduanya digunakan di alam liar oleh pelaku ancaman:

  • Lojax – ditemukan pada tahun 2018 dan digunakan oleh aktor yang didukung negara Rusia dilacak sebagai APT28, Fancy Bear, Sednit, Strontium, dan Sofacy
  • ESPecter – diidentifikasi pada tahun 2021 dan aktif sejak 2012 (sebagai bootkit untuk sistem berbasis BIOS) untuk kegigihan pada Partisi Sistem EFI (ESP)

Ini bukan satu-satunya ancaman UEFI yang ditemukan. Kaspersky menerbitkan laporan tentang MosaicRegressor pada tahun 2020, tentang FinSpy pada tahun 2021, dan MoonBounce pada bulan Januari tahun ini.

Untuk melindungi dari serangan yang berasal dari kerentanan di atas, Lenovo merekomendasikan pengguna perangkat yang terpengaruh untuk memperbarui versi firmware sistem ke versi terbaru yang tersedia.

Ini dapat dilakukan dengan menginstal pembaruan secara manual dari halaman dukungan perangkat atau dengan bantuan utilitas untuk memperbarui driver sistem yang disediakan oleh perusahaan.

CISA memerintahkan agensi untuk memperbaiki VMware, bug Chrome yang dieksploitasi secara aktif

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sembilan kelemahan keamanan ke daftar bug yang dieksploitasi secara aktif, termasuk cacat eskalasi hak istimewa VMware dan Google Chrome zero-day yang dapat digunakan untuk eksekusi kode jarak jauh.

Kerentanan VMware (CVE-2022-22960) telah ditambal pada tanggal 6 April, dan memungkinkan penyerang untuk meningkatkan hak istimewa untuk melakukan root pada server yang rentan karena izin yang tidak tepat dalam skrip dukungan.

Chrome zero-day juga disertakan dalam katalog CISA’s Known Exploited Vulnerabilities (KEV), bug yang dilacak sebagai CVE-2022-1364 dan memungkinkan eksekusi kode jarak jauh karena kelemahan kebingungan tipe V8.

Semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus menambal sistem mereka terhadap bug keamanan ini setelah ditambahkan ke daftar KEV CISA menurut arahan operasional yang mengikat November (BOD 22-01).

Mereka diberi waktu tiga minggu untuk mengurangi kekurangan hingga 6 Mei untuk memastikan bahwa upaya eksploitasi yang sedang berlangsung akan diblokir.

CISA menambahkan tujuh kerentanan keamanan lainnya ke katalognya hari ini, semuanya disalahgunakan dalam serangan yang sedang berlangsung.

CVE Table

Pada hari Kamis, CISA juga menambahkan bug eksekusi kode jarak jauh VMware kritis (CVE-2022-22954), sekarang digunakan dalam serangan untuk menyebarkan muatan cryptominer.

Selengkapnya: Bleeping Computer