Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Kerentanan keamanan SureMDM dapat menyebabkan Serangan Rantai Pasokan

by

Berbagai kerentanan keamanan telah diungkapkan dalam solusi 42 Gears SureMDM. Ini adalah solusi manajemen perangkat seluler yang dapat dimanipulasi oleh pelaku ancaman untuk melakukan serangan rantai pasokan.

Sebuah perusahaan Cybersecurity bernama Immersive Labs adalah yang pertama kali mengidentifikasi kerentanan dan telah menyebutkan rincian makalah mereka. 42 Gears telah merilis serangkaian pembaruan dari Nov 2021 hingga Jan 2022 untuk mengatasi berbagai kelemahan yang memengaruhi agen Linux dan konsol web mereka.

42 Gears adalah perusahaan manajemen perangkat seluler berbasis di India yang memiliki produk SureMDM yang mendukung manajemen lintas platform yang memungkinkan admin memantau, mengelola, mengontrol, dan mengamankan perangkat milik perusahaan, BYOD, dan COPE dari jarak jauh.

Sesuai informasi yang dibagikan oleh 42 Gears, SureMDM digunakan secara aktif oleh sekitar 10.000 organisasi di seluruh dunia.

Berikut ini adalah daftar kerentanan keamanan yang teridentifikasi:

  • SureMDM agent spoofing
  • SureMDM agent authentication bypass
  • SureMDM dashboard XSS
  • SureMDM agent remote code execution
  • SureMDM Linux agent command injection
  • SureMDM Linux agent remote code execution
  • SureMDM Linux agent default root credentials
  • SureMDM Linux agent local privilege escalation
  • SureMDM Linux Sensitive Information Disclosure

Dengan berbagai kerentanan ini, penyerang akan dapat menonaktifkan program keamanan dan menyebarkan muatan ke perangkat Linux, MacOS, dan Android dengan SureMDM sebagai katalis untuk operasi mereka, kata Kev Breen, Direktur Riset Ancaman di Immersive Labs. Dia juga menambahkan bahwa penyerang dapat mengeksploitasi semua kelemahan yang disebutkan di atas tanpa memiliki akun SureMDM.

Kerentanan ini nantinya dapat digabungkan untuk melakukan serangan rantai pasokan ketika pengguna masuk ke akun SureMDM mereka sehingga menginfeksi dan membahayakan semua perangkat yang dikelola dalam jaringan.

Selngkapnya: The Cybersecurity Times

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

by

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day baru yang dieksploitasi untuk meretas macOS, perangkat iOS

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day. Patch zero-day pertama hari ini (dilacak sebagai CVE-2022-22587) [1, 2] adalah bug kerusakan memori di IOMobileFrameBuffer yang memengaruhi iOS, iPadOS, dan macOS Monterey.

Eksploitasi bug ini yang berhasil menyebabkan eksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang disusupi.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • macOS Monterey

Bug tersebut ditemukan oleh peneliti anonim, Meysam Firouzi (@R00tkitSMM) dari MBition – Mercedes-Benz Innovation Lab, dan Siddharth Aeri (@b1n4r1b01).

Firouzi dan Aeri mengatakan bahwa mereka berdua menemukan bug secara independen dan tidak menyadari bahwa pelaku ancaman mengeksploitasinya di alam liar.

Zero-day kedua adalah bug Safari WebKit di iOS dan iPadOS yang memungkinkan situs web melacak aktivitas penelusuran Anda dan identitas pengguna secara real-time.

Bug tersebut pertama kali diungkapkan ke Apple oleh Martin Bajanik dari FingerprintJS pada 28 November 2021, dan diungkapkan secara publik pada 14 Januari 2022. Setelah peneliti mengungkapkan bug tersebut, bug tersebut ditetapkan pada CVE-2022-22594 dan diperbaiki di iOS 15.3 dan hari ini. Pembaruan keamanan iPadOS 15.3.

Namun, Apple memperbaiki apa yang terasa seperti aliran bug zero-day yang tidak pernah berakhir pada tahun 2021 yang digunakan dalam serangan terhadap perangkat iOS dan macOS.

Bug ini mencakup banyak kerentanan zero-day yang digunakan untuk menginstal spyware Pegasus di iPhone jurnalis, aktivis, dan politisi.

Sumber : Bleeping Computer

Bug Linux Memberikan Root pada Semua Distro Utama, Eksploitasi Dirilis

by

Kerentanan dalam komponen pkexec Polkit yang diidentifikasi sebagai CVE-2021-4034 (PwnKit) hadir dalam konfigurasi default semua distribusi Linux utama dan dapat dimanfaatkan untuk mendapatkan hak istimewa root penuh pada sistem, para peneliti memperingatkan hari ini.

CVE-2021-4034 telah diberi nama PwnKit dan asal-usulnya telah dilacak ke komitmen awal pkexec, lebih dari 12 tahun yang lalu, yang berarti bahwa semua versi Polkit terpengaruh.

Bagian dari kerangka aplikasi open-source Polkit yang menegosiasikan interaksi antara proses istimewa dan tidak mampu, pkexec memungkinkan pengguna yang berwenang untuk menjalankan perintah sebagai pengguna lain, dua kali lipat sebagai alternatif untuk sudo.

Mudah dieksploitasi, PoC diharapkan segera

Para peneliti di perusahaan keamanan informasi Qualys menemukan bahwa program pkexec dapat digunakan oleh penyerang lokal untuk meningkatkan hak istimewa untuk membasmi instalasi default Ubuntu, Debian, Fedora, dan CentOS.

Mereka memperingatkan bahwa PwnKit kemungkinan dapat dieksploitasi pada sistem operasi Linux lainnya juga.

Bharat Jogi, Direktur Kerentanan dan Penelitian Ancaman di Qualys menjelaskan bahwa PwnKit adalah “kerentanan korupsi memori di Polkit, yang memungkinkan setiap pengguna yang tidak mampu untuk mendapatkan hak istimewa root penuh pada sistem yang rentan menggunakan konfigurasi polkit default,”

Peneliti mencatat bahwa masalah ini telah bersembunyi di depan mata sejak versi pertama pkexec inn Mei 2009. Video di bawah ini menunjukkan eksploitasi bug:

Mengeksploitasi cacat itu sangat mudah, kata para peneliti, bahwa kode eksploitasi proof-of-concept (PoC) diperkirakan akan menjadi publik hanya dalam beberapa hari. Tim Peneliti Qualys tidak akan merilis PoC untuk PwnKit.

Pembaruan: Eksploitasi telah muncul di ruang publik, kurang dari tiga jam setelah Qualys menerbitkan rincian teknis untuk PwnKit. BleepingComputer telah menyusun dan menguji eksploitasi yang tersedia, yang terbukti dapat diandalkan karena memberi kita hak istimewa root pada sistem pada semua upaya.

Mengacu pada eksploitasi, analis kerentanan CERT / CC Will Dormann mengatakan bahwa itu sederhana dan universal. Peneliti lebih lanjut mengujinya pada sistem ARM64, menunjukkan bahwa ia bekerja pada arsitektur itu juga.

Qualys melaporkan masalah keamanan secara bertanggung jawab pada 18 November 2021, dan menunggu patch tersedia sebelum menerbitkan rincian teknis di balik PwnKit.

Perusahaan sangat merekomendasikan administrator memprioritaskan penerapan patch yang penulis Polkit dirilis di GitLab mereka beberapa jam yang lalu.

Distro Linux memiliki akses ke patch beberapa minggu sebelum pengungkapan terkoordinasi hari ini dari Qualys dan diharapkan untuk merilis paket pkexec diperbarui mulai hari ini.

Ubuntu telah mendorong pembaruan untuk PolicyKit untuk mengatasi kerentanan dalam versi 14.04 dan 16.04 ESM (pemeliharaan keamanan diperpanjang) serta dalam versi yang lebih baru 18.04, 20.04, dan 21.04. Pengguna hanya perlu menjalankan pembaruan sistem standar dan kemudian me-reboot komputer agar perubahan berlaku.

Red Hat juga telah memberikan pembaruan keamanan untuk polkit pada workstation dan produk Enterprise untuk arsitektur yang didukung, serta untuk dukungan siklus hidup yang diperpanjang, TUS, dan AUS.

Mitigasi sementara untuk sistem operasi yang belum mendorong patch adalah untuk melucuti hak baca / tulis dengan perintah berikut:
chmod 0755 /usr/bin/pkexec

Pengguna yang ingin mencari tanda-tanda eksploitasi PwnKit dapat melakukannya dengan memeriksa log untuk “Nilai untuk variabel SHELL tidak ditemukan file / etc / shells” atau “Nilai untuk variabel lingkungan […] berisi konten yang mencurigakan.”

Namun, Qualys mencatat bahwa mengeksploitasi PwnKit adalah mungkin tanpa meninggalkan jejak.

Tahun lalu, peneliti GitHub Security Lab Kevin Backhouse menemukan kerentanan eskalasi hak istimewa lama lainnya yang mempengaruhi Polkit.

Bug telah hadir selama tujuh tahun, sejak versi 0.113 dari komponen dan mempengaruhi distro Linux populer termasuk RHEL 8, Fedora 21 (atau lebih baru), Ubuntu 20.04, dan versi debian yang tidak stabil (‘bullseye’) dan turunannya.

Pembaruan [25 Januari, 17:26 EST]: Menambahkan pemberitahuan keamanan pada PolicyKit / Polkit dari Ubuntu dan Red Hat.

Pembaruan [25 Januari, 17:43 EST]: Artikel diperbarui dengan informasi tentang kode eksploitasi proof-of-concept yang tersedia untuk umum.

Sumber: Bleepingcomputer

Target Internet Paling Menggoda

by

Jumlah aset yang terpapar terus meningkat, tetapi strategi keamanan yang ada tidak mengikuti. Permukaan serangan semakin kompleks, dan bagian yang sangat sulit adalah mencari tahu di mana harus fokus. Untuk setiap 1.000 aset di permukaan serangan, seringkali hanya ada satu yang benar-benar menarik bagi penyerang. Tapi bagaimana seorang bek bisa tahu yang mana itu?

Randori meneliti perangkat lunak yang terpapar internet apa yang paling menggoda bagi penyerang dengan menggunakan enam atribut yaitu: enumerabilitas, eksploitabilitas, kekritisan, penerapan, potensi pasca-eksploitasi, dan potensi penelitian.

Log4j
Tim penyerang kami melakukan eksploitasi dalam waktu satu jam, dan dapat menggunakannya di lingkungan VMware langsung pada hari yang sama. Meskipun komunitas keamanan secepat mungkin menerapkan tambalan dan strategi perbaikan, kemungkinan ada beberapa layanan yang masih menjalankan kode yang rentan. Karena sangat mudah untuk dieksploitasi dan variasi baru dari kerentanan Log4Shell kemungkinan besar akan muncul, itu akan menempati peringkat tinggi dalam daftar penyerang mana pun.

VPN
VPN sering kali tidak ditambal, salah konfigurasi, dan tidak terlindungi dengan baik. Jika penyerang mengeksploitasi perangkat yang satu ini, mereka dapat menjangkau perangkat tambahan yang dilindunginya. Mereka juga dikenal sebagai target eksploitasi; sebenarnya kami menemukan 9,8 CVE pada produk Global Protect Palo Alto.

Solarwinds versi lama
Penyerang kemungkinan menempatkannya di urutan teratas daftar mereka karena 1) ada eksploitasi yang diketahui; 2) Solarwinds biasanya merupakan teknologi mission-critical untuk bisnis yang dapat memberikan akses istimewa kepada penyerang; dan 3) banyak digunakan. Satu eksploitasi dapat digunakan untuk melawan banyak orang.

Versi lama Microsoft IIS 6
Microsoft IIS 6 TIDAK didukung selama lebih dari setengah dekade. Penyerang menyukai perangkat lunak lama yang terbuka yang tidak lagi didukung. Pada tahun 2015 Dengan banyak kelemahan publik yang diketahui dan penerapan yang tinggi, IIS 6 adalah sesuatu yang mungkin diasumsikan oleh beberapa orang sebagai honeypot, tetapi penyerang lebih tahu—ini adalah target yang menarik.

Versi Microsoft OWA yang lebih lama
Ingat pelanggaran Windows Exchange dari tahun lalu yang berdampak pada 30.000 perusahaan? Terlepas dari risikonya, banyak perusahaan terus mengekspos OWA ke internet. Beberapa kerentanan yang diketahui dapat memberikan akses jarak jauh kepada penyerang dan diketahui dieksploitasi secara aktif.

Semakin banyak penyerang tahu tentang suatu sistem, semakin menggoda. Salah satu aspek yang sering menaikkan skor godaan OWA misalnya adalah penggunaan pengaturan default yang mengekspos informasi versi rinci. Layanan yang mengekspos nama, versi, dan lebih baik lagi, informasi konfigurasi, memudahkan penyerang untuk memeriksa silang untuk melihat apakah ada kerentanan publik yang diketahui atau eksploitasi yang dipersenjatai terhadap versi spesifik itu dan untuk mengonfirmasi apakah eksploitasi akan mendarat.

Tidak ada sistem yang akan sepenuhnya aman, tetapi membatasi informasi yang dapat dilakukan penyerang dari gerbang akan sangat membantu untuk menghilangkan angin dari layar mereka.

Ini bisa berarti menambahkan pencatatan/pemantauan, firewall aplikasi web, atau segmentasi ke aset penting di permukaan serangan — atau bahkan membuat sistem offline sepenuhnya jika mereka tidak perlu berkomunikasi dengan internet.

Selengkapnya : Threat Post

Bug Agen McAfee memungkinkan peretas menjalankan kode dengan hak istimewa SISTEM Windows

by

McAfee Enterprise telah menambal kerentanan keamanan yang ditemukan dalam perangkat lunak Agen McAfee perusahaan untuk Windows yang memungkinkan penyerang meningkatkan hak istimewa dan mengeksekusi kode arbitrer dengan hak istimewa SISTEM.

Perusahaan telah memperbaiki kelemahan eskalasi hak istimewa lokal (LPE) tingkat keparahan tinggi yang dilacak sebagai CVE-2022-0166 dan ditemukan oleh analis kerentanan CERT/CC Will Dormann mengeluarkan pembaruan keamanan dengan merilis McAfee Agent 5.7.5 pada 18 Januari.

Semua versi Agen McAfee sebelum 5.7.5 rentan dan memungkinkan penyerang yang tidak memiliki hak untuk menjalankan kode menggunakan hak akun NT AUTHORITY\SYSTEM, tingkat hak istimewa tertinggi pada sistem Windows, yang digunakan oleh OS dan layanan OS.

“Agen McAfee berisi layanan istimewa yang menggunakan komponen OpenSSL ini. Seorang pengguna yang dapat menempatkan file openssl.cnf yang dibuat khusus pada jalur yang sesuai mungkin dapat mencapai eksekusi kode arbitrer dengan hak istimewa SISTEM.”

Setelah eksploitasi yang berhasil, pelaku ancaman dapat terus-menerus mengeksekusi muatan berbahaya dan berpotensi menghindari deteksi selama serangan.

Meskipun hanya dapat dieksploitasi secara lokal, pelaku ancaman biasanya mengeksploitasi jenis kelemahan keamanan ini selama tahap serangan selanjutnya, setelah menyusup ke mesin target untuk meningkatkan izin guna mendapatkan kegigihan dan lebih lanjut membahayakan sistem.

Ini bukan pertama kalinya peneliti keamanan menemukan kerentanan saat menganalisis produk keamanan Windows McAfee.

Misalnya, pada September 2021, perusahaan menambal bug eskalasi hak istimewa Agen McAfee lainnya (CVE-2020-7315) yang ditemukan oleh peneliti keamanan Tenable Clément Notin yang memungkinkan pengguna lokal untuk mengeksekusi kode arbitrer dan mematikan antivirus.

Dua tahun sebelumnya, McAfee memperbaiki kerentanan keamanan yang memengaruhi semua edisi perangkat lunak Antivirus untuk Windows (yaitu, Perlindungan Total, Anti-Virus Plus, dan Keamanan Internet) dan memungkinkan penyerang potensial untuk meningkatkan hak istimewa dan mengeksekusi kode dengan otoritas akun SISTEM.

Sumber : Bleeping Computer

Eksploitasi pada Dark Souls 3 dapat membuat peretas mengendalikan seluruh komputer Anda

by

Eksploitasi eksekusi kode jarak jauh (RCE) berbahaya yang ditemukan di Dark Souls 3 dapat membuat aktor jahat mengendalikan komputer Anda, menurut laporan dari Dexerto.

Eksploitasi terlihat beraksi selama aliran Twitch The__Grim__Sleeper dari Dark Souls 3 online. Di akhir streaming (1:20:22), game The__Grim__Sleeper crash, dan suara robot milik generator text-to-speech Microsoft tiba-tiba mulai mengkritik gameplay-nya.

The__Grim__Sleeper kemudian melaporkan bahwa Microsoft PowerShell terbuka dengan sendirinya, pertanda bahwa seorang peretas menggunakan program tersebut untuk menjalankan skrip yang memicu fitur text-to-speech.

Namun, kemungkinan ini bukan peretas jahat — postingan tangkapan layar di Perselisihan SpeedSouls dapat mengungkapkan niat sebenarnya “peretas”.

Menurut posting tersebut, “peretas” tahu tentang kerentanan dan berusaha menghubungi pengembang Dark Souls FromSoftware tentang masalah ini.

Dia laporan tersebut diabaikan, jadi dia mulai menggunakan peretasan pada streamer untuk menarik perhatian pada masalah tersebut.

Blue Sentinel, mod anti-cheat buatan komunitas untuk Dark Souls 3, telah ditambal untuk melindungi dari kerentanan RCE.

Dalam sebuah posting di r/darksouls3 subreddit, seorang pengguna menjelaskan bahwa (semoga) hanya empat orang yang tahu cara mengeksekusi peretasan RCE — dua di antaranya adalah pengembang Blue Sentinel, dan dua lainnya adalah orang-orang “yang mengerjakannya,” mungkin mengacu pada individu yang membantu mengungkap masalah.

Namun, untuk saat ini, mungkin yang terbaik adalah menjauh dari Dark Souls online sampai perbaikan resmi dirilis.

Seorang perwakilan Bandai Namco mengomentari posting Reddit sebagai tanggapan atas masalah ini, dengan menyatakan: “Terima kasih banyak atas pingnya, laporan tentang topik ini telah dikirimkan ke tim internal yang relevan sebelumnya hari ini, informasinya sangat dihargai!” The Verge menghubungi Bandai Namco untuk meminta komentar tetapi tidak segera mendapat tanggapan.

Selengkapnya: The Verge