Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Peretas Sedang Memindai Target VMware CVE-2021-22005, Patch Sekarang!

by

Pelaku ancaman sudah mulai menargetkan server VMware vCenter yang terpapar Internet yang tidak ditambal terhadap kerentanan pengunggahan file kritis yang ditambal kemarin yang dapat menyebabkan eksekusi kode jarak jauh.

Cacat keamanan yang dilacak sebagai CVE-2021-22005 berdampak pada semua penerapan vCenter Server 6.7 dan 7.0 dengan konfigurasi default.

Cacat ini dilaporkan oleh George Noseevich dan Sergey Gerasimov dari SolidLab LLC, dan penyerang yang tidak diautentikasi dapat mengeksploitasinya dari jarak jauh dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna.

Sementara kode exploit belum tersedia untuk umum, aktivitas pemindaian yang sedang berlangsung sudah terlihat oleh perusahaan intelijen ancaman Bad Packets, dengan beberapa VMware honeypots merekam penyerang yang menyelidiki keberadaan bug kritis hanya beberapa jam setelah VMware merilis pembaruan keamanan.

Saat ini, ribuan server vCenter yang berpotensi rentan dapat dijangkau melalui Internet dan terkena serangan, menurut mesin pencari Shodan untuk perangkat yang terhubung ke Internet.

Pemindaian yang sedang berlangsung ini mengikuti peringatan yang dikeluarkan oleh VMware kemarin untuk menyoroti pentingnya menambal server terhadap bug CVE-2021-22005 sesegera mungkin.

Perusahaan menyediakan solusi yang mengharuskan admin untuk mengedit file teks pada alat virtual dan memulai ulang layanan secara manual atau menggunakan skrip untuk menghapus vektor eksploitasi.

VMware juga menerbitkan dokumen FAQ terperinci dengan pertanyaan dan jawaban tambahan mengenai cacat CVE-2021-22005.

Selengkapnya: Bleeping Computer

Kerentanan CPU AMD Ditemukan, Membocorkan Kata Sandi Sebagai Pengguna Non-Administratif

by

AMD merilis informasi tentang kerentanan driver yang mempengaruhi CPU mereka, memungkinkan setiap pengguna untuk tidak hanya mendapatkan akses ke informasi tetapi juga mengunduh informasi melalui halaman memori Windows tertentu. Penyerang mampu mendapatkan akses ke kata sandi, serta meluncurkan serangan yang berbeda, seperti mengganggu mitigasi eksploitasi KASLR, juga dikenal sebagai Spectre dan Meltdown.

Informasi ini terungkap setelah peneliti keamanan dan salah satu pendiri ZeroPeril, Kyriakos Economou, menemukan eksploitasi dan menghubungi AMD. Melalui pekerjaan mereka, AMD mampu mengeluarkan mitigasi yang saat ini menjadi bagian dari driver CPU terbaru. Anda juga dapat memanfaatkan Pembaruan Windows untuk menerima driver AMD PSP terbaru.

Pembaruan driver AMD saat ini telah aktif selama beberapa minggu, tetapi ini adalah yang pertama bagi AMD untuk menjelaskan detail pembaruan driver saat ini.

Economou menjelaskan prosesnya dalam laporan yang diungkapkan baru-baru ini dirilis. Dalam dokumen, itu menunjukkan kerentanan panjangnya.

Economou awalnya menemukan exploit menggunakan AMD Ryzen 2000 dan 3000 series. AMD awalnya hanya mencantumkan seri Ryzen 1000 dan CPU generasi yang lebih lama dalam advisory internalnya. Situs web Tom’s Hardware menghubungi AMD setelah membaca dokumen dari Economou untuk menemukan daftar chipset yang terpengaruh.

AMD menginstruksikan pengguna untuk mengunduh driver AMD PSP melalui Pembaruan Windows (driver AMD PSP 5.17.0.0) atau driver CPU AMD dari halaman dukungan mereka (AMD Chipset Driver 3.08.17.735).

Selengkapnya: Wccftech

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

by

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

Netgear memperbaiki bug keamanan yang parah di lebih dari selusin sakelar pintar

by

Netgear telah merilis pembaruan firmware untuk lebih dari selusin sakelar pintar yang digunakan pada jaringan perusahaan untuk mengatasi kerentanan dengan tingkat keparahan tinggi.

Perusahaan memperbaiki tiga kelemahan keamanan yang memengaruhi 20 produk Netgear, sebagian besar smart switch. Detail teknis dan kode eksploitasi proof-of-concept (PoC) untuk dua bug tersedia untuk umum.

Sebuah advisory dari Netgear pada hari Jumat menginformasikan bahwa versi firmware baru tersedia untuk beberapa sakelarnya yang dipengaruhi oleh tiga kerentanan keamanan yang menerima skor keparahan antara 7,4 dan 8,8 pada skala 10.

Netgear mengidentifikasi bug sebagai PSV-2021-0140, PSV-2021-0144, PSV-2021-0145, karena nomor pelacakan belum ditetapkan. Banyak produk yang terpengaruh adalah sakelar pintar, beberapa di antaranya dengan kemampuan manajemen cloud yang memungkinkan konfigurasi dan pemantauannya melalui web.

Advisory Netgear tidak menulis detail teknis apa pun tentang bug tersebut tetapi “sangat menyarankan Anda mengunduh firmware terbaru sesegera mungkin.”

Peneliti keamanan Gynvael Coldwind, yang menemukan dan melaporkan kerentanan, menjelaskan dua masalah dan memberikan kode eksploitasi demo untuk mereka.

Coldwind mengatakan dalam laporan keamanannya bahwa salah satu kelemahan, yang oleh peneliti disebut Demon’s Cries, adalah bypass otentikasi yang dapat, dalam kondisi tertentu, memungkinkan penyerang untuk mengendalikan perangkat yang rentan.

Selengkapnya: Bleeping Computer

Cisco Menambal Bug Otentikasi Kritis Dengan Bukti Eksploitasi Publik

by

Cisco telah menambal bug kritis yang hampir maksimal dalam perangkat lunak NFVIS-nya yang memiliki eksploitasi proof-of-concept (PoC) yang tersedia untuk umum.

Pada hari Rabu, Cisco merilis tambalan untuk cacat – kerentanan bypass otentikasi di Enterprise NFV Infrastructure Software (NFVIS) yang dilacak sebagai CVE-2021-34746.

Cisco Enterprise NFVIS adalah perangkat lunak infrastruktur berbasis Linux yang membantu penyedia layanan dan pelanggan lain untuk menerapkan fungsi jaringan virtual, seperti router virtual dan firewall, serta akselerasi WAN, pada perangkat Cisco yang didukung. Ini juga menyediakan penyediaan otomatis dan manajemen terpusat.

Kerentanan dengan skor dasar CVSS 9,8 ini, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi dan masuk ke perangkat yang rentan sebagai admin.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menyuntikkan parameter ke dalam permintaan otentikasi,” jelas Cisco dalam penasihat keamanannya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melewati otentikasi dan masuk sebagai administrator ke perangkat yang terpengaruh.”

Kerentanan ini disebabkan oleh validasi yang tidak lengkap dari input yang diberikan pengguna yang diteruskan ke skrip autentikasi selama proses masuk. Cacat ditemukan di Cisco Enterprise NFVIS Rilis 4.5.1 jika metode otentikasi eksternal TACACS – fitur otentikasi, otorisasi dan akuntansi (AAA) dari perangkat lunak – dikonfigurasi.

Tidak ada solusi untuk memitigasi kerentanan ini. Patch untuk mengatasi bug tersedia di Enterprise NFVIS rilis 4.6.1 dan yang lebih baru.

Cisco mengatakan bahwa mereka mengetahui kode eksploitasi PoC yang tersedia untuk umum tetapi belum melihat eksploitasi berbahaya yang berhasil pada saat ini.

Eksploitasi itu ditemukan oleh peneliti keamanan Orange Group Cyrille Chatras, yang Cisco berterima kasih atas nasihatnya.

Selengkapnya: The Threat Post

Bug Bluetooth BrakTooth dapat memengaruhi miliaran perangkat

by

Kerentanan secara kolektif disebut sebagai BrakTooth mempengaruhi Bluetooth stacks yang diimplementasikan pada sirkuit system-on-a-chip (SoC) dari lebih dari selusin vendor.

Serangkaian masalah berdampak pada berbagai perangkat, mulai dari elektronik konsumen hingga peralatan industri. Risiko terkait berkisar dari penolakan layanan, kondisi kebuntuan perangkat hingga eksekusi kode arbitrer.

Para peneliti dari Singapore University of Technology and Design telah menerbitkan rincian tentang BrakTooth – keluarga baru kerentanan keamanan dalam Bluetooth stacks komersial.

Mereka menilai 13 perangkat Bluetooth dari hampir selusin vendor SoC termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Menggali lebih dalam, para peneliti menemukan bahwa lebih dari 1.400 daftar produk dipengaruhi oleh BrakTooth, dan daftar tersebut termasuk tetapi tidak terbatas pada jenis perangkat: Smartphone, Sistem infotainment, Sistem laptop dan desktop, Perangkat audio (speaker, headphone), Sistem hiburan rumah, Keyboard, mainan, Peralatan industri (misalnya pengontrol logika yang dapat diprogram – PLC)

Mempertimbangkan berbagai produk yang terpengaruh, kemungkinan besar bahwa BrakTooth memengaruhi miliaran perangkat.

Para peneliti mengatakan bahwa risiko yang terkait dengan serangkaian kelemahan keamanan BrakTooth berkisar dari penolakan layanan (DoS) dengan merusak firmware perangkat, atau kondisi kebuntuan di mana komunikasi Bluetooth tidak lagi memungkinkan, hingga kode arbitrer.

Seseorang yang melakukan serangan BrakTooth akan memerlukan kit pengembangan ESP32, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan alat proof-of-concept (PoC).

Dari 16 kerentanan BrakTooth, salah satunya dilacak sebagai CVE-2021-28139 menghadirkan risiko yang lebih tinggi daripada yang lain karena memungkinkan eksekusi kode arbitrer.

Selengkapnya: Bleeping Computer

Cara memblokir Windows Plug-and-Play yang menginstal aplikasi tidak aman secara otomatis

by

Sebuah trik telah ditemukan yang mencegah perangkat Anda diambil alih oleh aplikasi Windows yang rentan saat sebuah perangkat dicolokkan ke komputer Anda.

Bulan lalu, para peneliti merinci bagaimana hanya dengan mencolokkan perangkat di Windows juga dapat menginstal aplikasi vendor yang memungkinkan pengguna biasa dengan cepat mendapatkan hak istimewa SISTEM, tingkat hak istimewa pengguna tertinggi di Windows.

Misalnya, ketika pengguna mencolokkan mouse USB Razer, Windows akan secara otomatis menginstal driver dan perangkat lunak Razer Synapse.

Dengan menggunakan bug ini, pengguna dengan sedikit hak istimewa pada perangkat Windows dapat dengan mudah mengambil kendali penuh hanya dengan mencolokkan mouse USB $20.

Kerentanan ini ditemukan di aplikasi yang dikenal sebagai “co-installer” dan, sejak yang pertama terlihat, peneliti lain menemukan lebih banyak perangkat yang memungkinkan peningkatan hak istimewa lokal, termasuk perangkat SteelSeries.

Ketika pengembang perangkat keras mengirimkan driver ke Microsoft untuk didistribusikan melalui Windows, mereka dapat mengonfigurasi co-installer khusus perangkat yang akan dijalankan setelah Windows Plug-and-Play menginstal driver.

Co-installers ini dapat digunakan untuk mengonfigurasi kunci Registri khusus perangkat, mengunduh dan menginstal aplikasi lain, atau melakukan fungsi lain yang diperlukan agar perangkat berfungsi dengan benar.

Melalui fitur co-installer, Razer, Synapse, dan produsen perangkat keras lainnya dapat menginstal utilitas konfigurasi mereka ketika perangkat USB mereka dicolokkan ke komputer.

Seperti yang pertama kali ditemukan oleh Will Dormann, analis kerentanan untuk CERT/CC, adalah mungkin untuk mengonfigurasi nilai Windows Registry yang memblokir co-installers agar tidak diinstal selama fitur Plug-and-Play.

Untuk melakukan ini, buka Registry Editor dan arahkan ke kunci Registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer. Di bawah kunci itu, tambahkan nilai DWORD-32 bernama DisableCoInstallers dan setel ke 1, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Setelah diaktifkan, Windows akan memblokir co-installer agar tidak diinstal saat Anda mencolokkan perangkat USB terkait ke komputer Anda.

Penting untuk dicatat bahwa membuat perubahan ini akan memblokir perangkat lunak konfigurasi perangkat agar tidak diinstal secara otomatis. Sebagai gantinya, Anda harus mengunduh dan menginstalnya dari situs vendor secara manual.

Selengkapnya: Bleeping Computer

Bug Microsoft Exchange ProxyToken dapat membuat peretas mencuri email pengguna

by

Detail teknis telah muncul pada kerentanan serius di Microsoft Exchange Server yang dijuluki ProxyToken yang tidak memerlukan otentikasi untuk mengakses email dari akun target.

Penyerang dapat mengeksploitasi kerentanan dengan membuat permintaan ke layanan web dalam aplikasi Exchange Control Panel (ECP) dan mencuri pesan dari kotak masuk korban.

Dilacak sebagai CVE-2021-33766, ProxyToken memberi penyerang yang tidak diautentikasi akses ke opsi konfigurasi kotak surat pengguna, tempat mereka dapat menentukan aturan penerusan email.

Akibatnya, pesan email yang ditujukan untuk pengguna target juga dapat dikirimkan ke akun yang dikontrol penyerang.

Bug tersebut ditemukan oleh Le Xuan Tuyen, seorang peneliti di Information Security Center of Vietnam Posts and Telecommunications Group (VNPT-ISC) dan dilaporkan melalui program Zero-Day Initiative (ZDI) pada bulan Maret.

Meskipun detail teknis untuk ProxyToken baru dirilis hari ini, upaya eksploitasi telah dicatat sejak tiga minggu lalu.

Menurut Rich Warren, red team untuk NCC Group, ia melihat lebih banyak upaya eksploitasi pada 10 Agustus.

Seperti dalam kasus kerentanan ProxyShell, jika administrator server Microsoft Exchange belum menginstal patch untuk ProxyToken, mereka harus memprioritaskan tugas tersebut.

Selengkapnya: Bleeping Computer