Vulnerability

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

December 22, 2021 by Winnie the Pooh

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

December 22, 2021 by Winnie the Pooh

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

December 21, 2021 by Winnie the Pooh

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan untuk menginstal malware perbankan Dridex

December 21, 2021 by Winnie the Pooh

Pelaku ancaman sekarang mengeksploitasi kerentanan penting Apache Log4j bernama Log4Shell untuk menginfeksi perangkat yang rentan dengan trojan perbankan Dridex atau Meterpreter yang terkenal jahat.

Malware Dridex adalah trojan perbankan yang awalnya dikembangkan untuk mencuri kredensial perbankan online dari para korban. Namun, seiring waktu, malware telah berkembang menjadi pemuat yang mengunduh berbagai modul yang dapat digunakan untuk melakukan berbagai perilaku jahat, seperti memasang muatan tambahan, menyebar ke perangkat lain, mengambil tangkapan layar, dan banyak lagi.

Kemarin, kelompok riset keamanan siber Cryptolaemus memperingatkan bahwa kerentanan Log4j sekarang dieksploitasi untuk menginfeksi perangkat Windows dengan Trojan Dridex dan perangkat Linux dengan Meterpreter.

Anggota Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa pelaku ancaman menggunakan varian eksploitasi Log4j RMI (Remote Method Invocation) untuk memaksa perangkat yang rentan memuat dan mengeksekusi Java class dari server jarak jauh yang dikendalikan penyerang.

Saat dijalankan, Java class pertama-tama akan mencoba mengunduh dan meluncurkan file HTA dari berbagai URL, yang akan menginstal trojan Dridex.

Jika tidak dapat menjalankan perintah Windows, itu akan menganggap perangkat menjalankan Linux/Unix dan mengunduh dan menjalankan skrip Python untuk menginstal Meterpreter.

Menjalankan Meterpreter pada Linux akan memberi pelaku ancaman shell jarak jauh yang dapat mereka gunakan untuk menyebarkan muatan lebih lanjut atau menjalankan perintah.

Dengan Log4j dieksploitasi oleh pelaku ancaman untuk menginstal berbagai malware, tidak mengherankan bahwa operasi malware yang lebih aktif akan mulai menargetkan kerentanan.

Oleh karena itu, sangat disarankan agar semua organisasi memindai aplikasi rentan yang menggunakan Log4j dan memperbaruinya ke versi terbaru.

Ini termasuk memperbarui Log4j ke versi terbaru, versi 2.17, dirilis Sabtu ini untuk memperbaiki kerentanan penolakan layanan baru.

Selengkapnya: Bleeping Computer

CISA meminta Admin untuk menambal kerentanan VMware Workspace ONE UEM

December 19, 2021 by Søren

CISA telah meminta pengguna VMware untuk menambal kerentanan kritis di Workspace ONE UEM yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses data sensitif.

Bagi mereka yang tidak mengetahui tentang Workspace ONE, ini adalah Solusi Manajemen Titik Akhir Terpadu dari VMware untuk manajemen perangkat over-the-air.

Kerentanan dilacak sebagai CVE-2021-22054 dan ditandai pada peringkat keparahan 9.1/10.

Peretas dapat memanfaatkan kerentanan ini dari jarak jauh dan mendapatkan akses ke informasi sensitif menggunakan konsol UEM. VMware juga telah merilis penasihat keamanan yang menangani kasus ini.

VMware mengatakan bahwa reset IIS akan membuat admin yang login ke instance server dengan patch untuk logout. Setelah beberapa saat, admin akan dapat masuk ke konsol.

Meskipun solusinya bagus, merupakan langkah yang terbaik untuk menambalnya karena kerentanan VMware Workspace ONE UEM adalah eksploitasi keamanan yang kritis dan karenanya yang terbaik adalah jika pengguna dapat memperbaruinya ke versi terbaru dengan menerapkan tambalan sebelum terlambat.

Selengkapnya: The Cybersecurity Times

Perusahaan keamanan Blumira menemukan vektor serangan Log4j baru yang besar

December 18, 2021 by Søren

Dalam serangan proof-of-concept mereka, Blumira menemukan bahwa dengan menggunakan salah satu dari banyak eksploitasi Java Naming and Directory Interface (JNDI) yang dapat mereka picu melalui URL jalur file menggunakan koneksi WebSocket ke mesin dengan pustaka Log4j2 yang rentan terinstal.

Semua yang diperlukan untuk memicu keberhasilan adalah permintaan jalur yang dimulai pada pemuatan halaman web. Sederhana, tapi mematikan.

Lebih buruk lagi, itu tidak perlu menjadi localhost. WebSockets memungkinkan koneksi ke IP apa pun. Biarkan saya ulangi, “Any IP” dan itu termasuk ruang IP pribadi.

Selanjutnya, saat halaman dimuat, itu akan memulai koneksi WebSocket lokal, menekan server pendengar yang rentan, dan terhubung melalui jenis koneksi yang diidentifikasi berdasarkan string koneksi JNDI.

Para peneliti melihat yang paling sukses memanfaatkan Java Remote Method Invocation (RMI). port default 1099., meskipun kita sering melihat port kustom digunakan.

Pemindaian port sederhana, teknik yang sudah ada di buku pegangan peretas, WebSocket, adalah jalan termudah menuju serangan yang berhasil.

Kemudian, port terbuka ke layanan lokal atau layanan yang dapat diakses oleh host ditemukan, kemudian dapat menjatuhkan string eksploit JNDI di jalur atau parameter.

“Ketika ini terjadi, host yang rentan memanggil server exploit, memuat kelas penyerang, dan mengeksekusinya dengan java.exe sebagai proses induk.” Kemudian penyerang dapat menjalankan apa pun yang dia inginkan.

Selengkapnya: ZDNet

Kelemahan keamanan ditemukan dalam sistem Wi-Fi tamu populer yang digunakan di ratusan hotel

December 18, 2021 by Søren

Seorang peneliti keamanan mengatakan gateway internet yang digunakan oleh ratusan hotel untuk menawarkan dan mengelola jaringan Wi-Fi tamu mereka memiliki kerentanan yang dapat membahayakan informasi pribadi tamu mereka.

Etizaz Mohsin mengatakan kepada TechCrunch bahwa Airangel HSMX Gateway berisi kata sandi hardcode yang “sangat mudah ditebak.”

Dengan kata sandi tersebut, yang tidak kami publikasikan, penyerang dapat memperoleh akses dari jarak jauh ke pengaturan dan basis data gateway, yang menyimpan catatan tentang tamu yang menggunakan Wi-Fi.

Dengan akses itu, penyerang dapat mengakses dan mengekstrak catatan tamu, atau mengkonfigurasi ulang pengaturan jaringan gateway untuk tanpa disadari mengarahkan tamu ke halaman web berbahaya, katanya.

Peneliti keamanan menemukan lima kerentanan yang katanya dapat membahayakan gateway — termasuk informasi tamu.

Satu tangkapan layar yang dia bagikan dengan TechCrunch menunjukkan antarmuka administrasi dari satu gerbang rentan hotel yang mengungkapkan nama tamu, nomor kamar, dan alamat email.

Mohsin melaporkan cache cacat yang baru ditemukan ke Airangel, tetapi berbulan-bulan telah berlalu dan pembuat peralatan jaringan yang berbasis di Inggris itu masih belum memperbaiki bug tersebut.

Seorang perwakilan mengatakan kepada Mohsin bahwa perusahaan belum menjual perangkat sejak 2018 dan tidak lagi didukung.

Namun Mohsin mengatakan perangkat itu masih banyak digunakan oleh hotel, mall, dan pusat konvensi di seluruh dunia. Pemindaian internet menunjukkan lebih dari 600 gateway dapat diakses dari internet saja, meskipun jumlah sebenarnya dari perangkat yang rentan cenderung lebih tinggi.

Sebagian besar hotel yang terkena dampak berada di Inggris, Jerman, Rusia dan di seluruh Timur Tengah, katanya.

Selengkapnya: Tech Crunch

Penyerang Log4j beralih untuk menyuntikkan penambang Monero melalui RMI

December 17, 2021 by Winnie the Pooh

Beberapa pelaku ancaman yang mengeksploitasi kerentanan Apache Log4j telah beralih dari LDAP callback URL ke RMI atau bahkan menggunakan keduanya dalam satu permintaan untuk peluang keberhasilan maksimum.

Pergeseran ini merupakan perkembangan penting dalam serangan yang sedang berlangsung dan yang perlu diwaspadai oleh para Defender ketika mencoba mengamankan semua vektor potensial.

Untuk saat ini, tren ini diamati oleh pelaku ancaman yang ingin membajak sumber daya untuk penambangan Monero, tetapi yang lain dapat mengadopsinya kapan saja.

Sebagian besar serangan yang menargetkan kerentanan Log4j “Log4Shell” telah terjadi melalui layanan LDAP (Lightweight Directory Access Protocol).

Peralihan ke API RMI (Remote Method Invocation) tampaknya kontra-intuitif pada awalnya, mengingat mekanisme ini tunduk pada pemeriksaan dan batasan tambahan, tetapi tidak selalu demikian.

Beberapa versi JVM (Java Virtual Machine) tidak memiliki kebijakan yang ketat, dan karena itu, RMI terkadang dapat menjadi saluran yang lebih mudah untuk mencapai RCE (eksekusi kode jarak jauh) daripada LDAP.

Dalam serangan yang dilihat oleh Juniper Labs, pelaku ancaman tertarik untuk menambang Monero di server yang disusupi dan menyajikannya sebagai aktivitas yang hampir tidak berbahaya yang “tidak akan merugikan orang lain.”

Penambang menargetkan sistem Linux x84_64 dan menambahkan kegigihan melalui subsistem cron.

Meskipun sebagian besar serangan sejauh ini menargetkan sistem Linux, CheckPoint melaporkan bahwa analisnya menemukan executable Win32 pertama yang memanfaatkan Log4Shell, yang disebut ‘StealthLoader.’

Satu-satunya cara yang layak untuk mempertahankan diri dari apa yang telah menjadi salah satu kerentanan paling berpengaruh dalam sejarah baru-baru ini adalah dengan update Log4j ke versi 2.16.0.

Selain itu, admin harus mengawasi bagian keamanan Apache untuk pengumuman rilis versi baru dan segera menerapkannya.

Untuk panduan mitigasi dan sumber informasi teknis lengkap, lihat halaman detail CISA di Log4Shell.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings