Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Log4j 2.17.1 memperbaiki bug eksekusi kode jarak jauh baru

by

Apache telah merilis versi Log4j lainnya, 2.17.1 memperbaiki kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan di 2.17.0, dilacak sebagai CVE-2021-44832.

Eksploitasi massal kerentanan Log4Shell asli (CVE-2021-44228) oleh aktor ancaman dimulai sekitar 9 Desember, ketika eksploitasi PoC untuknya muncul di GitHub. Mengingat penggunaan Log4j yang luas di sebagian besar aplikasi Java, Log4Shell segera berubah menjadi mimpi buruk bagi perusahaan dan pemerintah di seluruh dunia.

Sementara risiko kritis yang ditimbulkan oleh eksploitasi Log4Shell asli adalah yang terpenting, varian kerentanan yang lebih ringan muncul di versi Log4j, termasuk 2.15 dan 2.16—yang sebelumnya diyakini telah sepenuhnya ditambal.

Tapi sekarang kerentanan kelima—cacat RCE, dilacak sebagai CVE-2021-44832 telah ditemukan di 2.17.0, dengan patch yang diterapkan pada rilis terbaru 2.17.1 yang sudah keluar. Dinilai ‘Sedang’ dalam tingkat keparahan dan diberi skor 6,6 pada skala CVSS, kerentanan berasal dari kurangnya kontrol tambahan pada akses JDNI di log4j.

“Terkait dengan CVE-2021-44832 di mana penyerang dengan izin untuk mengubah file konfigurasi logging dapat membuat konfigurasi berbahaya menggunakan JDBC Appender dengan sumber data yang mereferensikan URI JNDI yang dapat mengeksekusi kode jarak jauh.”

Pakar keamanan Kevin Beaumont menyebut contoh itu sebagai “pengungkapan Log4j yang gagal” selama liburan. kerentanan keamanan memikat pelaku ancaman untuk melakukan pemindaian berbahaya dan aktivitas eksploitasi, seperti yang terlihat dari kebocoran eksploitasi Log4Shell pada 9 Desember.

Marc Rogers, VP cybersecurity di Okta pertama kali mengungkapkan pengenal kerentanan (CVE-2021-44832) dan bahwa eksploitasi bug bergantung pada pengaturan log4j non-default di mana konfigurasi sedang dimuat dari server jauh.

Hingga saat ini, kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman mulai dari peretas yang didukung negara hingga geng ransomware dan lainnya untuk menyuntikkan penambang Monero ke sistem yang rentan.

Geng ransomware Conti terlihat mengincar server VMWare vCenter yang rentan. Sedangkan, penyerang yang melanggar platform kripto Vietnam ONUS melalui log4shell menuntut uang tebusan $5 juta.

Pengguna Log4j harus segera meningkatkan ke rilis terbaru 2.17.1 (untuk Java 8). Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan juga diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

CISA merilis scanner Apache Log4j untuk menemukan aplikasi yang rentan

by

Cybersecurity and Infrastructure Security Agency (CISA) telah mengumumkan rilis scanner untuk mengidentifikasi layanan web yang terpengaruh oleh dua kerentanan eksekusi kode jarak jauh Apache Log4j, yang dilacak sebagai CVE-2021-44228 dan CVE-2021-45046.

“log4j-scanner adalah projek yang diturunkan dari anggota lain dari komunitas open-source oleh tim Rapid Action Force CISA untuk membantu organisasi mengidentifikasi layanan web yang berpotensi rentan yang terpengaruh oleh kerentanan log4j,” badan keamanan siber menjelaskan.

Solusi pemindaian ini dibangun di atas alat serupa, termasuk kerangka kerja pemindaian otomatis untuk bug CVE-2021-44228 (dijuluki & Log4Shell) & dikembangkan oleh perusahaan keamanan siber FullHunt.

Alat ini memungkinkan tim keamanan untuk memindai host jaringan untuk eksposur Log4j RCE dan melihat bypass web application firewall (WAF) yang dapat memungkinkan pelaku ancaman untuk mendapatkan eksekusi kode dalam lingkungan organisasi.

CISA menyoroti fitur-fitur berikut di halaman projek log4j-scanner:

  • Dukungan untuk daftar URL.
  • Fuzzing untuk lebih dari 60 header permintaan HTTP (tidak hanya 3-4 header seperti alat yang rilis sebelumnya).
  • Fuzzing untuk parameter Data HTTP POST.
  • Fuzzing untuk parameter data JSON.
  • Mendukung DNS callback untuk penemuan dan validasi kerentanan.
  • WAF Bypass payloads

Selengkapnya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

by

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

by

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

by

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

by

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan untuk menginstal malware perbankan Dridex

by

Pelaku ancaman sekarang mengeksploitasi kerentanan penting Apache Log4j bernama Log4Shell untuk menginfeksi perangkat yang rentan dengan trojan perbankan Dridex atau Meterpreter yang terkenal jahat.

Malware Dridex adalah trojan perbankan yang awalnya dikembangkan untuk mencuri kredensial perbankan online dari para korban. Namun, seiring waktu, malware telah berkembang menjadi pemuat yang mengunduh berbagai modul yang dapat digunakan untuk melakukan berbagai perilaku jahat, seperti memasang muatan tambahan, menyebar ke perangkat lain, mengambil tangkapan layar, dan banyak lagi.

Kemarin, kelompok riset keamanan siber Cryptolaemus memperingatkan bahwa kerentanan Log4j sekarang dieksploitasi untuk menginfeksi perangkat Windows dengan Trojan Dridex dan perangkat Linux dengan Meterpreter.

Anggota Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa pelaku ancaman menggunakan varian eksploitasi Log4j RMI (Remote Method Invocation) untuk memaksa perangkat yang rentan memuat dan mengeksekusi Java class dari server jarak jauh yang dikendalikan penyerang.

Saat dijalankan, Java class pertama-tama akan mencoba mengunduh dan meluncurkan file HTA dari berbagai URL, yang akan menginstal trojan Dridex.

Jika tidak dapat menjalankan perintah Windows, itu akan menganggap perangkat menjalankan Linux/Unix dan mengunduh dan menjalankan skrip Python untuk menginstal Meterpreter.

Menjalankan Meterpreter pada Linux akan memberi pelaku ancaman shell jarak jauh yang dapat mereka gunakan untuk menyebarkan muatan lebih lanjut atau menjalankan perintah.

Dengan Log4j dieksploitasi oleh pelaku ancaman untuk menginstal berbagai malware, tidak mengherankan bahwa operasi malware yang lebih aktif akan mulai menargetkan kerentanan.

Oleh karena itu, sangat disarankan agar semua organisasi memindai aplikasi rentan yang menggunakan Log4j dan memperbaruinya ke versi terbaru.

Ini termasuk memperbarui Log4j ke versi terbaru, versi 2.17, dirilis Sabtu ini untuk memperbaiki kerentanan penolakan layanan baru.

Selengkapnya: Bleeping Computer

CISA meminta Admin untuk menambal kerentanan VMware Workspace ONE UEM

by

CISA telah meminta pengguna VMware untuk menambal kerentanan kritis di Workspace ONE UEM yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses data sensitif.

Bagi mereka yang tidak mengetahui tentang Workspace ONE, ini adalah Solusi Manajemen Titik Akhir Terpadu dari VMware untuk manajemen perangkat over-the-air.

Kerentanan dilacak sebagai CVE-2021-22054 dan ditandai pada peringkat keparahan 9.1/10.

Peretas dapat memanfaatkan kerentanan ini dari jarak jauh dan mendapatkan akses ke informasi sensitif menggunakan konsol UEM. VMware juga telah merilis penasihat keamanan yang menangani kasus ini.

VMware mengatakan bahwa reset IIS akan membuat admin yang login ke instance server dengan patch untuk logout. Setelah beberapa saat, admin akan dapat masuk ke konsol.

Meskipun solusinya bagus, merupakan langkah yang terbaik untuk menambalnya karena kerentanan VMware Workspace ONE UEM adalah eksploitasi keamanan yang kritis dan karenanya yang terbaik adalah jika pengguna dapat memperbaruinya ke versi terbaru dengan menerapkan tambalan sebelum terlambat.

Selengkapnya: The Cybersecurity Times