Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Bug Linux baru memberikan akses root di semua distro utama

by

Kerentanan Linux baru yang dikenal sebagai ‘Dirty Pipe’ memungkinkan pengguna lokal untuk mendapatkan hak akses root melalui eksploitasi yang tersedia untuk umum.

Peneliti keamanan Max Kellermann secara bertanggung jawab mengungkapkan kerentanan ‘Dirty Pipe’ dan menyatakan bahwa itu mempengaruhi Linux Kernel 5.8 dan versi yang lebih baru, bahkan pada perangkat Android.

Kerentanan dilacak sebagai CVE-2022-0847 dan memungkinkan pengguna yang tidak memiliki hak istimewa untuk menyuntikkan dan menimpa data dalam file read-only, termasuk proses SUID yang berjalan sebagai root.

Kellerman menyatakan bahwa kerentanan tersebut mirip dengan kerentanan Dirty COW (CVE-2016-5195) yang diperbaiki pada tahun 2016.

Sebagai bagian dari pengungkapan Dirty Pipe, Kellerman merilis eksploit proof-of-concept (PoC) yang memungkinkan pengguna lokal untuk memasukkan data mereka sendiri ke dalam file read-only yang sensitif, menghapus batasan atau memodifikasi konfigurasi untuk memberikan akses yang lebih besar.

Misalnya, peneliti keamanan Phith0n mengilustrasikan bagaimana mereka dapat menggunakan exploit untuk memodifikasi file /etc/passwd sehingga pengguna root tidak memiliki kata sandi. Setelah perubahan ini dibuat, pengguna yang tidak memiliki hak istimewa cukup menjalankan perintah ‘su root’ untuk mendapatkan akses ke akun root.

Namun, eksploitasi yang diperbarui oleh peneliti keamanan BLASTY juga dirilis secara publik hari ini yang membuatnya lebih mudah untuk mendapatkan hak akses root dengan menambal perintah /usr/bin/su untuk menjatuhkan shell root di /tmp/sh dan kemudian menjalankan skrip.

Setelah dieksekusi, pengguna mendapatkan hak akses root, seperti yang ditunjukkan oleh BleepingComputer di bawah ini di Ubuntu 20.04.3 LTS yang menjalankan kernel generik 5.13.0-27.

Sumber: Bleeping Computer

Kerentanan tersebut diungkapkan secara bertanggung jawab kepada berbagai pengelola Linux mulai 20 Februari 2022, termasuk tim keamanan kernel Linux dan Tim Keamanan Android.

Sementara bug telah diperbaiki di kernel Linux 5.16.11, 5.15.25, dan 5.10.102, banyak server terus menjalankan kernel usang yang membuat rilis eksploitasi ini menjadi masalah signifikan bagi administrator server.

Sumber: Bleeping Computer

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

by

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Cacat Keamanan iOS Ini Perlu Ditangani Di Setiap Aplikasi

by

Cacat dalam cara iOS menangani pencopotan pemasangan aplikasi berarti bahwa data Rantai Kunci yang sensitif tidak dihapus saat konten pengguna aplikasi lainnya dihapus. Ini memengaruhi sebagian besar aplikasi, bahkan aplikasi yang tidak langsung menggunakan Keychain.

Saat pengguna mencopot pemasangan aplikasi dari iPhone atau iPad mereka, mereka benar-benar mengharapkan data aplikasi tersebut dihapus sepenuhnya. Namun, ternyata, iOS tidak menghapus beberapa data paling sensitif yang mungkin disimpan oleh aplikasi, termasuk kata sandi dan token keamanan. Data itu akan tetap ada di perangkat Anda setelah aplikasi dihapus.

Dan faktanya, pengguna tidak memiliki cara untuk menghapus data ini sama sekali, kecuali menghapus seluruh ponsel mereka. Ini dapat menyebabkan masalah perusak privasi lainnya. Bayangkan situasi di mana seseorang menghapus semua aplikasi mereka untuk menyerahkan telepon kepada orang lain.

Cara yang tepat untuk melakukan ini tentu saja adalah dengan menggunakan fungsi “Hapus iPhone”, tetapi tidak semua konsumen mengetahuinya, Mereka akan menganggap bahwa semua data mereka telah dihapus. Namun pada kenyataannya pengguna baru berpotensi memiliki akses ke semua akun pemilik sebelumnya hanya dengan menginstal ulang aplikasi yang relevan.

Sebagian besar aplikasi tidak menggunakan Keychain secara langsung, karena mereka menggunakan perpustakaan pihak ketiga yang berfungsi untuk mereka (Firebase misalnya). Cacat ini memengaruhi aplikasi apa pun yang menggunakan Keychain secara langsung atau tidak langsung.

Jadi hal terbaik berikutnya adalah menghapus data Keychain setiap kali Anda mendeteksi bahwa aplikasi telah diinstal ulang. Itu tidak akan mencegah data tidak aktif di ponsel Anda, tetapi itu akan mencegahnya digunakan saat seharusnya tidak.

Kode terlihat seperti ini untuk aplikasi SwiftUI:

struct MyApp: App {
init() {
// Find if this is a first run of a fresh install
let defaults = UserDefaults.standard

// If the “IsSubsequentRun” key doesn’t exist, it’s a fresh
// install
if !defaults.bool(forKey: “IsSubsequentRun”) {

// …so we delete the whole keychain
deleteEntireKeychain()

// And set the key to true, so we know it’s not a fresh
// install any more.
defaults.set(true, forKey: “IsSubsequentRun”)
}
}
}

Untuk aplikasi UIKit, kode di dalam init() seharusnya diletakkan di fungsi app(_:didFinishLaunchingWithOptions:) AppDelegate Anda.
Dalam kedua kasus tersebut, pastikan kode dijalankan sebelum menginisialisasi pustaka apa pun yang mungkin menggunakan data Rantai Kunci (seperti Firebase).
Terakhir, tambahkan fungsi berikut yang dapat digunakan untuk menghapus seluruh data Rantai Kunci aplikasi Anda:

import Security

func deleteEntireKeychain() {
let secItemClasses = [
kSecClassGenericPassword,
kSecClassInternetPassword,
kSecClassCertificate,
kSecClassKey,
kSecClassIdentity
]

// Query every item in each security class
for secItemClass in secItemClasses {
let query: NSDictionary = [
kSecClass: secItemClass,
kSecAttrSynchronizable: kSecAttrSynchronizableAny
]

// …and delete those items
SecItemDelete(query)
}
}

Ini adalah kelemahan keamanan yang merusak privasi. Ini menyebabkan data sensitif yang diharapkan pengguna telah dihapus, pada kenyataannya bertahan. Tidak ada solusi lengkap. Namun, kode di atas setidaknya akan menjamin bahwa data apa pun yang sebelumnya harus dihapus, tidak dapat digunakan di aplikasi Anda.

Sumber : Medium

Server Microsoft SQL Rentan yang ditargetkan dengan Cobalt Strike

by

Analis ancaman telah mengamati gelombang serangan baru yang memasang suar Cobalt Strike pada Microsoft SQL Server yang rentan, yang mengarah ke infiltrasi yang lebih dalam dan infeksi malware berikutnya.

Serangan dimulai dengan pelaku ancaman memindai server dengan port TCP terbuka 1433, yang kemungkinan besar merupakan server MS-SQL yang menghadap publik. Penyerang kemudian melakukan serangan brute-forcing dan kamus untuk memecahkan kata sandi. Agar serangan bekerja dengan salah satu metode, kata sandi target harus lemah.

Setelah penyerang mendapatkan akses ke akun admin dan masuk ke server, peneliti ASEC telah melihat mereka menjatuhkan penambang koin seperti Lemon Duck, KingMiner, dan Vollgar. Selain itu, aktor ancaman mem-backdoor server dengan Cobalt Strike untuk membangun kegigihan dan melakukan gerakan lateral.

Cobalt Strike diunduh melalui proses shell perintah (cmd.exe dan powershell.exe) ke MS-SQL yang disusupi dan disuntikkan serta dieksekusi di MSBuild.exe untuk menghindari deteksi.

Proses yang mengunduh Cobalt Strike (ASEC)

Setelah dieksekusi, suar disuntikkan ke dalam proses wwanmm.dll Windows yang sah dan menunggu perintah penyerang sambil tetap tersembunyi di dalam file pustaka sistem.

Kode dan string yang digunakan untuk menodai dll (ASEC)

Cobalt Strike adalah alat pengujian pena (keamanan ofensif) komersial yang disalahgunakan secara ekstensif oleh penjahat dunia maya yang menganggap fitur-fitur canggihnya sangat berguna untuk operasi jahat mereka.

Alat senilai $3.500 per lisensi dimaksudkan untuk membantu peretas etis dan tim merah mensimulasikan serangan nyata terhadap organisasi yang ingin meningkatkan sikap keamanan mereka, tetapi sejak versi yang diretas bocor, penggunaannya oleh pelaku ancaman menjadi tidak terkendali.

Sekarang digunakan oleh Squirrelwaffle, Emotet, operator malware, serangan oportunistik, grup penargetan Linux, musuh canggih, dan biasanya oleh geng ransomware saat melakukan serangan.

Alasan mengapa pelaku ancaman sangat menyalahgunakannya adalah fungsionalitasnya yang kaya yang mencakup hal-hal berikut:

  • Eksekusi perintah
  • Pencatatan kunci
  • Operasi file
  • Proksi SOCKS
  • Peningkatan hak istimewa
  • Mimikatz (mencuri kredensial)
  • Pemindaian port

Selain itu, agen Cobalt Strike yang disebut “suar” adalah kode shell tanpa file, sehingga kemungkinan terdeteksi oleh alat keamanan berkurang, terutama dalam sistem yang dikelola dengan buruk.

Untuk melindungi server MS-SQL Anda dari serangan jenis ini, gunakan kata sandi admin yang kuat, tempatkan server di belakang firewall, catat semuanya dan pantau tindakan yang mencurigakan, terapkan pembaruan keamanan yang tersedia, dan gunakan pengontrol akses data untuk memeriksa dan menerapkan kebijakan pada setiap transaksi.

Sumber : Bleeping Computer

Kerentanan dalam program Linux memungkinkan eskalasi hak istimewa lokal, lapor peneliti

by

Kerentanan yang baru diungkapkan dalam program Linux dapat dieksploitasi untuk peningkatan hak istimewa lokal — dan pada akhirnya untuk memperoleh hak akses root, kata peneliti di vendor keamanan siber Qualys hari ini.

Kerentanan (CVE-2021-44731) — yang memengaruhi sistem Snap Canonical untuk mengemas dan menyebarkan perangkat lunak — tidak dapat dieksploitasi dari jarak jauh. Namun, “jika penyerang dapat masuk sebagai pengguna yang tidak memiliki hak istimewa, kerentanan dapat dengan cepat dieksploitasi untuk mendapatkan hak akses root,” kata para peneliti dalam sebuah posting blog.

Snap digunakan untuk sistem operasi berbasis Linux seperti Ubuntu, dan paketnya disebut sebagai “snaps.” Platform snap “telah dikembangkan untuk membawa instalasi aplikasi yang aman ke Ubuntu dan distribusi Linux lainnya,” kata Canonical dalam sebuah pernyataan yang diberikan kepada VentureBeat pada hari Kamis.

Melalui publikasi Pengembang XDA baru-baru ini, “Aplikasi Snap lebih portabel daripada perangkat lunak Linux tradisional, dan kebanyakan dari mereka dikemas untuk mencegah beberapa masalah keamanan umum.”

Alat untuk menggunakan snap, sementara itu, disebut snapd – dan alat ini bekerja “di berbagai distribusi Linux dan memungkinkan pengembang perangkat lunak hulu untuk mendistribusikan aplikasi mereka langsung ke pengguna,” kata peneliti Qualys dalam posting tersebut.

Selengkapnya: Venture Beat

Peneliti membuat eksploitasi untuk bug Magento yang kritis, saran pembaruan Adobe

by

Peneliti keamanan telah membuat kode eksploit untuk CVE-2022-24086, kerentanan kritis yang memengaruhi AdobeCommerce dan Magento Open Source yang ditambal oleh Adobe dalam pembaruan out-of-band Minggu lalu.

Kerentanan, yang dilihat Adobe sebagai “dieksploitasi di alam liar dalam serangan yang sangat terbatas,” menerima skor keparahan 9,8 dari 10 dan musuh yang mengeksploitasinya dapat mencapai eksekusi kode jarak jauh pada sistem yang terpengaruh tanpa perlu mengautentikasi.

Sebelumnya hari ini, Adobe memperbarui penasehat keamanannya untuk CVE-2022-24086 menambahkan masalah baru yang sekarang dilacak sebagai CVE-2022-24087, yang memiliki skor keparahan yang sama dan dapat menyebabkan hasil yang sama ketika dimanfaatkan dalam serangan.

Keduanya merupakan kerentanan Validasi Input yang Tidak Tepat dan perusahaan merilis tambalan untuk Adobe Commerce dan Magento Open Source untuk mengatasi dua masalah keamanan tersebut.

Dalam sebuah tweet hari ini, Tim Ofensif dari perusahaan keamanan siber Positive Technologies mengumumkan bahwa mereka menciptakan eksploitasi yang andal untuk CVE-2022-24086.

Para peneliti mengatakan kepada BleepingComputer bahwa penyerang yang memanfaatkan bug bisa mendapatkan “akses penuh ke sistem target dengan hak server web.”

Mereka memperingatkan bahwa mencoba memblokir upaya eksploitasi dengan menyiapkan firewall aplikasi web (WAF) bukanlah solusi yang andal karena ada banyak cara untuk memanfaatkan bug, “tanpa konstruksi spesifik dan tidak dapat dilepas dalam permintaan.”

Peneliti Positive Technologies memberi tahu kami bahwa mengembangkan “eksploitasi lengkap adalah tugas yang cukup sulit” jika detail teknis tidak tersedia. Namun, setelah hambatan ini dihilangkan, menyerang target yang rentan “cukup mudah dan sederhana.”

Toko online adalah target utama bagi peretas yang didorong secara finansial yang mengincar data kartu pembayaran, biasanya ditangkap oleh skimmer web – skrip berbahaya yang disuntikkan ke dalam formulir pembayaran.

Selain itu, seperti yang dicatat Adobe, beberapa pelaku ancaman sudah memanfaatkan CVE-2022-2408 dalam serangan terbatas. Menurut perkiraan para peneliti, ada lebih dari 17.000 situs web yang rentan, beberapa di antaranya dari “bisnis besar”.

Para peneliti mengatakan bahwa mereka tidak memiliki rencana untuk mempublikasikan kode eksploitasi proof-of concept (PoC) yang mereka buat atau untuk membagikannya secara pribadi dalam industri infosec.

Keputusan ini terutama dimotivasi oleh sejumlah besar situs web yang menjalankan produk Adobe Commerce dan Magento yang belum ditambal.

Sumber : Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

by

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Google Chrome 98 update

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek