Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Target Internet Paling Menggoda

by

Jumlah aset yang terpapar terus meningkat, tetapi strategi keamanan yang ada tidak mengikuti. Permukaan serangan semakin kompleks, dan bagian yang sangat sulit adalah mencari tahu di mana harus fokus. Untuk setiap 1.000 aset di permukaan serangan, seringkali hanya ada satu yang benar-benar menarik bagi penyerang. Tapi bagaimana seorang bek bisa tahu yang mana itu?

Randori meneliti perangkat lunak yang terpapar internet apa yang paling menggoda bagi penyerang dengan menggunakan enam atribut yaitu: enumerabilitas, eksploitabilitas, kekritisan, penerapan, potensi pasca-eksploitasi, dan potensi penelitian.

Log4j
Tim penyerang kami melakukan eksploitasi dalam waktu satu jam, dan dapat menggunakannya di lingkungan VMware langsung pada hari yang sama. Meskipun komunitas keamanan secepat mungkin menerapkan tambalan dan strategi perbaikan, kemungkinan ada beberapa layanan yang masih menjalankan kode yang rentan. Karena sangat mudah untuk dieksploitasi dan variasi baru dari kerentanan Log4Shell kemungkinan besar akan muncul, itu akan menempati peringkat tinggi dalam daftar penyerang mana pun.

VPN
VPN sering kali tidak ditambal, salah konfigurasi, dan tidak terlindungi dengan baik. Jika penyerang mengeksploitasi perangkat yang satu ini, mereka dapat menjangkau perangkat tambahan yang dilindunginya. Mereka juga dikenal sebagai target eksploitasi; sebenarnya kami menemukan 9,8 CVE pada produk Global Protect Palo Alto.

Solarwinds versi lama
Penyerang kemungkinan menempatkannya di urutan teratas daftar mereka karena 1) ada eksploitasi yang diketahui; 2) Solarwinds biasanya merupakan teknologi mission-critical untuk bisnis yang dapat memberikan akses istimewa kepada penyerang; dan 3) banyak digunakan. Satu eksploitasi dapat digunakan untuk melawan banyak orang.

Versi lama Microsoft IIS 6
Microsoft IIS 6 TIDAK didukung selama lebih dari setengah dekade. Penyerang menyukai perangkat lunak lama yang terbuka yang tidak lagi didukung. Pada tahun 2015 Dengan banyak kelemahan publik yang diketahui dan penerapan yang tinggi, IIS 6 adalah sesuatu yang mungkin diasumsikan oleh beberapa orang sebagai honeypot, tetapi penyerang lebih tahu—ini adalah target yang menarik.

Versi Microsoft OWA yang lebih lama
Ingat pelanggaran Windows Exchange dari tahun lalu yang berdampak pada 30.000 perusahaan? Terlepas dari risikonya, banyak perusahaan terus mengekspos OWA ke internet. Beberapa kerentanan yang diketahui dapat memberikan akses jarak jauh kepada penyerang dan diketahui dieksploitasi secara aktif.

Semakin banyak penyerang tahu tentang suatu sistem, semakin menggoda. Salah satu aspek yang sering menaikkan skor godaan OWA misalnya adalah penggunaan pengaturan default yang mengekspos informasi versi rinci. Layanan yang mengekspos nama, versi, dan lebih baik lagi, informasi konfigurasi, memudahkan penyerang untuk memeriksa silang untuk melihat apakah ada kerentanan publik yang diketahui atau eksploitasi yang dipersenjatai terhadap versi spesifik itu dan untuk mengonfirmasi apakah eksploitasi akan mendarat.

Tidak ada sistem yang akan sepenuhnya aman, tetapi membatasi informasi yang dapat dilakukan penyerang dari gerbang akan sangat membantu untuk menghilangkan angin dari layar mereka.

Ini bisa berarti menambahkan pencatatan/pemantauan, firewall aplikasi web, atau segmentasi ke aset penting di permukaan serangan — atau bahkan membuat sistem offline sepenuhnya jika mereka tidak perlu berkomunikasi dengan internet.

Selengkapnya : Threat Post

Bug Agen McAfee memungkinkan peretas menjalankan kode dengan hak istimewa SISTEM Windows

by

McAfee Enterprise telah menambal kerentanan keamanan yang ditemukan dalam perangkat lunak Agen McAfee perusahaan untuk Windows yang memungkinkan penyerang meningkatkan hak istimewa dan mengeksekusi kode arbitrer dengan hak istimewa SISTEM.

Perusahaan telah memperbaiki kelemahan eskalasi hak istimewa lokal (LPE) tingkat keparahan tinggi yang dilacak sebagai CVE-2022-0166 dan ditemukan oleh analis kerentanan CERT/CC Will Dormann mengeluarkan pembaruan keamanan dengan merilis McAfee Agent 5.7.5 pada 18 Januari.

Semua versi Agen McAfee sebelum 5.7.5 rentan dan memungkinkan penyerang yang tidak memiliki hak untuk menjalankan kode menggunakan hak akun NT AUTHORITY\SYSTEM, tingkat hak istimewa tertinggi pada sistem Windows, yang digunakan oleh OS dan layanan OS.

“Agen McAfee berisi layanan istimewa yang menggunakan komponen OpenSSL ini. Seorang pengguna yang dapat menempatkan file openssl.cnf yang dibuat khusus pada jalur yang sesuai mungkin dapat mencapai eksekusi kode arbitrer dengan hak istimewa SISTEM.”

Setelah eksploitasi yang berhasil, pelaku ancaman dapat terus-menerus mengeksekusi muatan berbahaya dan berpotensi menghindari deteksi selama serangan.

Meskipun hanya dapat dieksploitasi secara lokal, pelaku ancaman biasanya mengeksploitasi jenis kelemahan keamanan ini selama tahap serangan selanjutnya, setelah menyusup ke mesin target untuk meningkatkan izin guna mendapatkan kegigihan dan lebih lanjut membahayakan sistem.

Ini bukan pertama kalinya peneliti keamanan menemukan kerentanan saat menganalisis produk keamanan Windows McAfee.

Misalnya, pada September 2021, perusahaan menambal bug eskalasi hak istimewa Agen McAfee lainnya (CVE-2020-7315) yang ditemukan oleh peneliti keamanan Tenable Clément Notin yang memungkinkan pengguna lokal untuk mengeksekusi kode arbitrer dan mematikan antivirus.

Dua tahun sebelumnya, McAfee memperbaiki kerentanan keamanan yang memengaruhi semua edisi perangkat lunak Antivirus untuk Windows (yaitu, Perlindungan Total, Anti-Virus Plus, dan Keamanan Internet) dan memungkinkan penyerang potensial untuk meningkatkan hak istimewa dan mengeksekusi kode dengan otoritas akun SISTEM.

Sumber : Bleeping Computer

Eksploitasi pada Dark Souls 3 dapat membuat peretas mengendalikan seluruh komputer Anda

by

Eksploitasi eksekusi kode jarak jauh (RCE) berbahaya yang ditemukan di Dark Souls 3 dapat membuat aktor jahat mengendalikan komputer Anda, menurut laporan dari Dexerto.

Eksploitasi terlihat beraksi selama aliran Twitch The__Grim__Sleeper dari Dark Souls 3 online. Di akhir streaming (1:20:22), game The__Grim__Sleeper crash, dan suara robot milik generator text-to-speech Microsoft tiba-tiba mulai mengkritik gameplay-nya.

The__Grim__Sleeper kemudian melaporkan bahwa Microsoft PowerShell terbuka dengan sendirinya, pertanda bahwa seorang peretas menggunakan program tersebut untuk menjalankan skrip yang memicu fitur text-to-speech.

Namun, kemungkinan ini bukan peretas jahat — postingan tangkapan layar di Perselisihan SpeedSouls dapat mengungkapkan niat sebenarnya “peretas”.

Menurut posting tersebut, “peretas” tahu tentang kerentanan dan berusaha menghubungi pengembang Dark Souls FromSoftware tentang masalah ini.

Dia laporan tersebut diabaikan, jadi dia mulai menggunakan peretasan pada streamer untuk menarik perhatian pada masalah tersebut.

Blue Sentinel, mod anti-cheat buatan komunitas untuk Dark Souls 3, telah ditambal untuk melindungi dari kerentanan RCE.

Dalam sebuah posting di r/darksouls3 subreddit, seorang pengguna menjelaskan bahwa (semoga) hanya empat orang yang tahu cara mengeksekusi peretasan RCE — dua di antaranya adalah pengembang Blue Sentinel, dan dua lainnya adalah orang-orang “yang mengerjakannya,” mungkin mengacu pada individu yang membantu mengungkap masalah.

Namun, untuk saat ini, mungkin yang terbaik adalah menjauh dari Dark Souls online sampai perbaikan resmi dirilis.

Seorang perwakilan Bandai Namco mengomentari posting Reddit sebagai tanggapan atas masalah ini, dengan menyatakan: “Terima kasih banyak atas pingnya, laporan tentang topik ini telah dikirimkan ke tim internal yang relevan sebelumnya hari ini, informasinya sangat dihargai!” The Verge menghubungi Bandai Namco untuk meminta komentar tetapi tidak segera mendapat tanggapan.

Selengkapnya: The Verge

Aplikasi Olimpiade Cina Yang Wajib Diinstal Memiliki Dua Lubang Keamanan

by

Penggunaan aplikasi Olimpiade China, MY2022, adalah wajib bagi semua orang yang menghadiri Olimpiade tahun ini di Beijing, baik sebagai atlet atau hanya menonton dari stadion.

Aplikasi ini mengumpulkan data pribadi yang sensitif – seperti detail paspor, data medis, dan riwayat perjalanan – dan analisis oleh peneliti keamanan mengungkapkan bahwa kode tersebut memiliki dua lubang keamanan yang dapat mengungkap informasi ini:

Citizen Lab, yang juga memainkan peran kunci dalam mengidentifikasi ponsel yang disusupi oleh spyware Pegasus, melakukan analisis.

[Kami menemukan] dua kerentanan keamanan di MY2022 terkait dengan keamanan transmisi data pengguna. Pertama, kami menjelaskan kerentanan di mana MY2022 gagal memvalidasi sertifikat SSL, sehingga gagal memvalidasi kepada siapa ia mengirim data terenkripsi yang sensitif. Kedua, kami menjelaskan transmisi data yang gagal dilindungi oleh MY2022 dengan enkripsi apa pun.

Selain itu, versi Android berisi daftar kata-kata terlarang – meskipun ini belum digunakan secara aktif.

Dibundel dengan MY2022 versi Android, kami menemukan file bernama “illegalwords.txt” yang berisi daftar 2.442 kata kunci yang umumnya dianggap sensitif secara politik di China. Namun, meskipun disertakan dalam aplikasi, kami tidak dapat menemukan fungsi apa pun di mana kata kunci ini digunakan untuk melakukan penyensoran. Tidak jelas apakah daftar kata kunci ini sepenuhnya tidak aktif, dan, jika demikian, apakah daftar tersebut sengaja tidak aktif. Namun, aplikasi berisi fungsi kode yang dirancang untuk menerapkan daftar ini ke arah penyensoran, meskipun saat ini fungsi ini tampaknya tidak dipanggil.

Selengkapnya: 9to5mac

Olimpiade Musim Dingin: Atlet Disarankan Menggunakan Pembakar Telepon Beijing

by

Aplikasi Olimpiade Musim Dingin Beijing yang harus digunakan semua peserta Olimpiade mengandung kelemahan keamanan yang membuat pengguna terkena pelanggaran data, kata para analis.

Aplikasi My2022 akan digunakan oleh atlet, anggota audiens dan media untuk pemantauan Covid setiap hari.

Aplikasi ini juga akan menawarkan obrolan suara, transfer file, dan berita Olimpiade.

Tetapi kelompok cybersecurity Citizen Lab mengatakan aplikasi itu gagal memberikan enkripsi pada banyak filenya. China telah menepis kekhawatiran tersebut.

Pertanyaan tentang aplikasi datang di tengah meningkatnya peringatan tentang keamanan teknologi pengunjung menjelang Olimpiade, yang dimulai pada 4 Februari.

Orang-orang yang menghadiri Olimpiade Beijing harus membawa ponsel pembakar dan membuat akun email untuk waktu mereka di China, perusahaan keamanan cyber Internet 2.0 mengatakan pada hari Selasa.

Beberapa negara juga dilaporkan telah mengatakan kepada para atlet untuk meninggalkan perangkat utama mereka di rumah.

Masalah sensor

Laporan Citizen Lab mengatakan telah menemukan daftar “kata kunci sensor” yang dibangun ke dalam aplikasi, dan fitur yang memungkinkan orang untuk menandai ekspresi “sensitif secara politik” lainnya.

Daftar kata-kata termasuk nama-nama pemimpin Cina dan lembaga pemerintah, serta referensi untuk pembunuhan 1989 demonstran pro-demokrasi di Lapangan Tiananmen, dan kelompok agama Falun Gong, yang dilarang di Cina.

Para analis mencatat bahwa fitur dan kelemahan keamanan ini tidak jarang terjadi pada aplikasi di China tetapi menimbulkan risiko bagi pengguna.

Analis mengatakan file “kata-kata ilegal” tampaknya saat ini tidak aktif, tetapi tidak jelas.

Semua pengunjung Ke Olimpiade diharuskan mengunduh aplikasi 14 hari sebelum keberangkatan mereka ke China, dan menggunakannya untuk merekam setiap hari status Covid mereka.

Untuk pengunjung asing mereka juga perlu mengunggah informasi sensitif yang sudah diserahkan kepada pemerintah China – seperti rincian paspor dan riwayat perjalanan dan medis.

Citizen Lab mengatakan kelemahan transmisi dalam perangkat lunak aplikasi dapat menyebabkan eksploitasi data yang mudah oleh peretas, jika ditargetkan.

Dalam sebuah laporan pada hari Selasa, outlet media pemerintah China Global Times menepis kekhawatiran tentang aplikasi tersebut, dengan mengatakan “semua informasi pribadi akan dienkripsi untuk memastikan privasi”.

Ini membandingkan aplikasi dengan aplikasi yang telah digunakan di Olimpiade Tokyo.

Sumber: BBC

Bug Pusat Kontak Cisco yang Kritis Mengancam Kerusakan Layanan Pelanggan

by

Bug keamanan kritis yang memengaruhi portofolio Unified Contact Center Enterprise (UCCE) Cisco dapat memungkinkan peningkatan hak istimewa dan pengambilalihan platform.

Cisco UCCE adalah platform layanan pelanggan lokal yang mampu mendukung hingga 24.000 agen layanan pelanggan menggunakan saluran yang mencakup suara masuk, suara keluar, respons suara interaktif keluar (IVR), dan saluran digital. Ini juga menawarkan umpan balik melalui IVR pasca-panggilan, email, dan survei intersep web; dan berbagai opsi pelaporan untuk mengumpulkan informasi tentang kinerja agen untuk digunakan dalam menetapkan metrik dan menginformasikan intelijen bisnis.

Bug yang dimaksud (CVE-2022-20658) adalah yang sangat buruk, dengan peringkat kritis 9,6 dari 10 pada skala kerentanan-keparahan CVSS, dan dapat memungkinkan penyerang jarak jauh yang diautentikasi untuk meningkatkan hak istimewa mereka menjadi administrator, dengan kemampuan untuk membuat akun administrator lain.

Ini secara khusus ada di antarmuka manajemen berbasis web dari Cisco Unified Contact Center Management Portal (Unified CCMP) dan Cisco Unified Contact Center Domain Manager (Unified CCDM) dan berasal dari fakta bahwa server bergantung pada mekanisme otentikasi yang ditangani oleh sisi klien. Itu membuka pintu bagi penyerang yang memodifikasi perilaku sisi klien untuk melewati mekanisme perlindungan.

Dipersenjatai dengan akun admin tambahan, penyerang dapat mengakses dan memodifikasi telepon dan sumber daya pengguna di semua platform yang terkait dengan Cisco Unified CCMP yang rentan.

Seseorang dapat memperkirakan malapetaka operasional dan identitas merek yang dapat ditimbulkan oleh penyerang dengan melumpuhkan sistem layanan pelanggan perusahaan besar belum lagi kerusakan yang dapat dilakukan dengan akses ke kumpulan data informasi pribadi yang harus disimpan oleh sistem di perusahaan ‘ pelanggan, termasuk komunikasi telepon dan email.

Namun, untuk berhasil mengeksploitasi kerentanan, penyerang memerlukan kredensial “Pengguna Tingkat Lanjut” yang valid, sehingga bug perlu dirantai dengan yang lain untuk akses awal.

Ada tambalan yang tersedia untuk masalah ini, tetapi tidak ada solusi. Informasi patch adalah sebagai berikut:

Versi 11.6.1 dan sebelumnya: Rilis tetap adalah 11.6.1 ES17
Versi 12.0.1: Rilis tetap adalah 12.0.1 ES5
Versi 12.5.1: Rilis tetap adalah 12.5.1 ES5
Versi 12.6.1: Tidak terpengaruh

Tidak ada eksploitasi publik yang diketahui sejauh ini, menurut raksasa jaringan itu.

Sumber : Threat Post

Kerentanan Tingkat Keparahan Tinggi di 3 Plugin WordPress Mempengaruhi 84.000 Situs Web

by

Para peneliti telah mengungkapkan kekurangan keamanan yang mempengaruhi tiga plugin WordPress yang berbeda yang berdampak pada lebih dari 84.000 situs web dan dapat disalahgunakan oleh aktor jahat untuk mengambil alih situs yang rentan.

“Cacat ini memungkinkan penyerang untuk memperbarui opsi situs sewenang-wenang di situs yang rentan, asalkan mereka dapat mengelabui administrator situs untuk melakukan tindakan, seperti mengklik tautan,” kata perusahaan keamanan WordPress Wordfence dalam sebuah laporan yang diterbitkan pekan lalu.

Dilacak sebagai CVE-2022-0215, cacat cross-site request forgery (CSRF) dinilai 8,8 pada skala CVSS dan berdampak pada tiga plugin yang dikelola oleh Xootix –

  • Popup Login / Pendaftaran (Formulir Inline + Woocommerce),
  • Side Cart Woocommerce (Ajax), dan
  • Waitlist Woocommerce (Kembali dalam notifier saham)

Pemalsuan permintaan lintas situs, juga dikenal sebagai serangan satu klik atau sesi berkuda, terjadi ketika pengguna akhir yang diautentikasi ditipu oleh penyerang untuk mengirimkan permintaan web yang dibuat khusus. “Jika korban adalah akun administratif, CSRF dapat membahayakan seluruh aplikasi web,” catatan OWASP dalam dokumentasinya.

Selengkapnya: The Hacker News

Bug Safari membocorkan info akun Google Anda serta riwayat penelusuran

by

Ada masalah dengan penerapan API IndexedDB di mesin WebKit Safari, yang dapat mengakibatkan kebocoran aktivitas penjelajahan secara real-time dan bahkan kebocoran identitas pengguna kepada siapa pun yang mengeksploitasi kelemahan ini.

IndexedDB adalah API browser yang banyak digunakan yang merupakan client-side storage system serbaguna tanpa batas kapasitas.

Ini biasanya digunakan untuk menyimpan data aplikasi web untuk dilihat secara offline, sementara modul, alat pengembang, dan ekstensi browser juga dapat menggunakannya untuk menyimpan informasi sensitif.

Untuk mencegah kebocoran data dari serangan skrip lintas situs, IndexedDB mengikuti kebijakan “same-origin”, mengontrol sumber daya mana yang dapat mengakses setiap bagian data.

Namun, analis FingerprintJS menemukan bahwa API IndexedDB tidak mengikuti kebijakan same-origin implementasi WebKit yang digunakan oleh Safari 15 di macOS, yang mengarah pada pengungkapan data sensitif.

Bug pelanggaran privasi ini juga memengaruhi browser web yang menggunakan mesin browser yang sama di versi iOS dan iPadOS terbaru.

Menurut para analis, mengidentifikasi seseorang melalui kelemahan ini memerlukan login dan mengunjungi situs web populer seperti YouTube dan Facebook, atau layanan seperti Google Kalender, dan Google Keep.

Kerentanan dilaporkan ke WebKit Bug Tracker pada 28 November 2021, dan pada saat penulisan ini, masih belum terselesaikan.

Salah satu cara untuk memitigasi masalah ini hingga pembaruan keamanan tersedia adalah dengan memblokir semua JavaScript, tetapi ini adalah tindakan drastis yang pasti akan menyebabkan masalah fungsionalitas di banyak halaman web.

Beralih ke browser web non-WebKit adalah satu-satunya solusi yang layak, tetapi itu hanya berlaku untuk macOS. Di iOS dan iPadOS, semua browser web terpengaruh.

Selengkapnya: Bleeping Computer