Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Perusahaan keamanan Blumira menemukan vektor serangan Log4j baru yang besar

by

Dalam serangan proof-of-concept mereka, Blumira menemukan bahwa dengan menggunakan salah satu dari banyak eksploitasi Java Naming and Directory Interface (JNDI) yang dapat mereka picu melalui URL jalur file menggunakan koneksi WebSocket ke mesin dengan pustaka Log4j2 yang rentan terinstal.

Semua yang diperlukan untuk memicu keberhasilan adalah permintaan jalur yang dimulai pada pemuatan halaman web. Sederhana, tapi mematikan.

Lebih buruk lagi, itu tidak perlu menjadi localhost. WebSockets memungkinkan koneksi ke IP apa pun. Biarkan saya ulangi, “Any IP” dan itu termasuk ruang IP pribadi.

Selanjutnya, saat halaman dimuat, itu akan memulai koneksi WebSocket lokal, menekan server pendengar yang rentan, dan terhubung melalui jenis koneksi yang diidentifikasi berdasarkan string koneksi JNDI.

Para peneliti melihat yang paling sukses memanfaatkan Java Remote Method Invocation (RMI). port default 1099., meskipun kita sering melihat port kustom digunakan.

Pemindaian port sederhana, teknik yang sudah ada di buku pegangan peretas, WebSocket, adalah jalan termudah menuju serangan yang berhasil.

Kemudian, port terbuka ke layanan lokal atau layanan yang dapat diakses oleh host ditemukan, kemudian dapat menjatuhkan string eksploit JNDI di jalur atau parameter.

“Ketika ini terjadi, host yang rentan memanggil server exploit, memuat kelas penyerang, dan mengeksekusinya dengan java.exe sebagai proses induk.” Kemudian penyerang dapat menjalankan apa pun yang dia inginkan.

Selengkapnya: ZDNet

Kelemahan keamanan ditemukan dalam sistem Wi-Fi tamu populer yang digunakan di ratusan hotel

by

Seorang peneliti keamanan mengatakan gateway internet yang digunakan oleh ratusan hotel untuk menawarkan dan mengelola jaringan Wi-Fi tamu mereka memiliki kerentanan yang dapat membahayakan informasi pribadi tamu mereka.

Etizaz Mohsin mengatakan kepada TechCrunch bahwa Airangel HSMX Gateway berisi kata sandi hardcode yang “sangat mudah ditebak.”

Dengan kata sandi tersebut, yang tidak kami publikasikan, penyerang dapat memperoleh akses dari jarak jauh ke pengaturan dan basis data gateway, yang menyimpan catatan tentang tamu yang menggunakan Wi-Fi.

Dengan akses itu, penyerang dapat mengakses dan mengekstrak catatan tamu, atau mengkonfigurasi ulang pengaturan jaringan gateway untuk tanpa disadari mengarahkan tamu ke halaman web berbahaya, katanya.

Peneliti keamanan menemukan lima kerentanan yang katanya dapat membahayakan gateway — termasuk informasi tamu.

Satu tangkapan layar yang dia bagikan dengan TechCrunch menunjukkan antarmuka administrasi dari satu gerbang rentan hotel yang mengungkapkan nama tamu, nomor kamar, dan alamat email.

Mohsin melaporkan cache cacat yang baru ditemukan ke Airangel, tetapi berbulan-bulan telah berlalu dan pembuat peralatan jaringan yang berbasis di Inggris itu masih belum memperbaiki bug tersebut.

Seorang perwakilan mengatakan kepada Mohsin bahwa perusahaan belum menjual perangkat sejak 2018 dan tidak lagi didukung.

Namun Mohsin mengatakan perangkat itu masih banyak digunakan oleh hotel, mall, dan pusat konvensi di seluruh dunia. Pemindaian internet menunjukkan lebih dari 600 gateway dapat diakses dari internet saja, meskipun jumlah sebenarnya dari perangkat yang rentan cenderung lebih tinggi.

Sebagian besar hotel yang terkena dampak berada di Inggris, Jerman, Rusia dan di seluruh Timur Tengah, katanya.

Selengkapnya: Tech Crunch

Penyerang Log4j beralih untuk menyuntikkan penambang Monero melalui RMI

by

Beberapa pelaku ancaman yang mengeksploitasi kerentanan Apache Log4j telah beralih dari LDAP callback URL ke RMI atau bahkan menggunakan keduanya dalam satu permintaan untuk peluang keberhasilan maksimum.

Pergeseran ini merupakan perkembangan penting dalam serangan yang sedang berlangsung dan yang perlu diwaspadai oleh para Defender ketika mencoba mengamankan semua vektor potensial.

Untuk saat ini, tren ini diamati oleh pelaku ancaman yang ingin membajak sumber daya untuk penambangan Monero, tetapi yang lain dapat mengadopsinya kapan saja.

Sebagian besar serangan yang menargetkan kerentanan Log4j “Log4Shell” telah terjadi melalui layanan LDAP (Lightweight Directory Access Protocol).

Peralihan ke API RMI (Remote Method Invocation) tampaknya kontra-intuitif pada awalnya, mengingat mekanisme ini tunduk pada pemeriksaan dan batasan tambahan, tetapi tidak selalu demikian.

Beberapa versi JVM (Java Virtual Machine) tidak memiliki kebijakan yang ketat, dan karena itu, RMI terkadang dapat menjadi saluran yang lebih mudah untuk mencapai RCE (eksekusi kode jarak jauh) daripada LDAP.

Dalam serangan yang dilihat oleh Juniper Labs, pelaku ancaman tertarik untuk menambang Monero di server yang disusupi dan menyajikannya sebagai aktivitas yang hampir tidak berbahaya yang “tidak akan merugikan orang lain.”

Penambang menargetkan sistem Linux x84_64 dan menambahkan kegigihan melalui subsistem cron.

Meskipun sebagian besar serangan sejauh ini menargetkan sistem Linux, CheckPoint melaporkan bahwa analisnya menemukan executable Win32 pertama yang memanfaatkan Log4Shell, yang disebut ‘StealthLoader.’

Satu-satunya cara yang layak untuk mempertahankan diri dari apa yang telah menjadi salah satu kerentanan paling berpengaruh dalam sejarah baru-baru ini adalah dengan update Log4j ke versi 2.16.0.

Selain itu, admin harus mengawasi bagian keamanan Apache untuk pengumuman rilis versi baru dan segera menerapkannya.

Untuk panduan mitigasi dan sumber informasi teknis lengkap, lihat halaman detail CISA di Log4Shell.

Selengkapnya: Bleeping Computer

Peretas Mulai Mengeksploitasi Kerentanan Log4j Kedua sebagai Munculnya Cacat Ketiga

by

Perusahaan infrastruktur web Cloudflare pada hari Rabu mengungkapkan bahwa aktor ancaman secara aktif mencoba untuk mengeksploitasi bug kedua yang diungkapkan dalam utilitas logging Log4j yang banyak digunakan, sehingga sangat penting bagi pelanggan untuk bergerak cepat untuk menginstal versi terbaru karena rentetan serangan terus menghantam sistem yang belum ditambal dengan berbagai malware.

Lebih mengkhawatirkan lagi, para peneliti di firma keamanan Praetorian memperingatkan kelemahan keamanan ketiga yang terpisah di Log4j versi 2.15.0 yang dapat “memungkinkan eksfiltrasi data sensitif dalam keadaan tertentu.” Rincian teknis tambahan dari cacat telah dirahasiakan untuk mencegah eksploitasi lebih lanjut, tetapi belum jelas apakah ini telah diatasi dalam versi 2.16.0.

Perkembangan terbaru datang ketika kelompok ancaman persisten canggih dari China, Iran, Korea Utara, dan Turki, termasuk Hafnium dan Fosfor, telah terjun ke medan untuk mengoperasionalkan kerentanan dan menemukan dan terus mengeksploitasi sebanyak mungkin sistem yang rentan untuk serangan lanjutan. Lebih dari 1,8 juta upaya untuk mengeksploitasi kerentanan Log4j telah dicatat sejauh ini.

Meskipun biasanya pelaku ancaman melakukan upaya untuk mengeksploitasi kerentanan yang baru diungkapkan sebelum diperbaiki, kelemahan Log4j menggarisbawahi risiko yang timbul dari rantai pasokan perangkat lunak ketika bagian utama dari perangkat lunak digunakan dalam berbagai produk di beberapa vendor dan disebarkan oleh pelanggan mereka di seluruh dunia.

Selengkapnya: The Hacker News

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic

Penyerang bisa mendapatkan akses root dengan merusak AccountsService Ubuntu

by

Kerentanan keamanan eskalasi hak istimewa lokal dapat memungkinkan penyerang mendapatkan akses root pada sistem Ubuntu dengan mengeksploitasi bug korupsi memori bebas ganda di komponen AccountsService GNOME.

AccountsService adalah layanan D-Bus yang membantu memanipulasi dan menanyakan informasi yang dilampirkan ke akun pengguna yang tersedia di perangkat.

Kerentanan keamanan (bug manajemen memori yang dilacak sebagai CVE-2021-3939) secara tidak sengaja ditemukan oleh peneliti keamanan GitHub Kevin Backhouse saat menguji demo eksploit untuk bug AccountsService lain yang juga memungkinkan untuk meningkatkan hak istimewa untuk melakukan root pada perangkat yang rentan.

Backhouse menemukan bahwa AccountsService salah menangani memori selama beberapa operasi pengaturan bahasa, sebuah kelemahan yang dapat disalahgunakan oleh penyerang lokal untuk meningkatkan hak istimewa.

Bug hanya memengaruhi fork Ubuntu dari AccountsService. Versi yang terpengaruh oleh kerentanan ini termasuk Ubuntu 21.10, Ubuntu 21.04, dan Ubuntu 20.04 LTS.

Cacat eskalasi hak istimewa ini telah diperbaiki oleh Canonical pada bulan November ketika AccountsService versi 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 dirilis. Setelah menerapkan pembaruan, Anda juga perlu me-restart komputer untuk menerapkan perubahan.

Seperti yang dia jelaskan, bukti konsep eksploitasi CVE-2021-3939-nya lambat (bisa beberapa jam) dan tidak akan berfungsi setiap saat. Namun, itu tidak masalah karena dapat dijalankan hingga berhasil, melihat bahwa bug bebas ganda memungkinkan kerusakan AccountsService sebanyak yang diperlukan.

Rincian lebih lanjut tentang bagaimana kerentanan ditemukan dan eksploitasi dikembangkan tersedia di CVE-2021-3939 Backhouse.

Selengkapnya: Bleeping Computer

Bug dalam miliaran WiFi, chip Bluetooth memungkinkan pencurian data dan kata sandi

by

Para peneliti di University of Darmstadt, Brescia, CNIT, dan Secure Mobile Networking Lab, telah menerbitkan makalah yang membuktikan bahwa mengekstrak kata sandi dan memanipulasi lalu lintas pada chip WiFi dengan menargetkan komponen Bluetooth perangkat dapat dilakukan.

Perangkat elektronik konsumen modern seperti smartphone memiliki fitur SoC dengan komponen Bluetooth, WiFi, dan LTE yang terpisah, masing-masing dengan implementasi keamanan tersendiri.

Namun, komponen ini sering berbagi sumber daya yang sama, seperti antena atau spektrum nirkabel.

Berbagi sumber daya ini bertujuan untuk membuat SoC lebih hemat energi dan memberi mereka throughput yang lebih tinggi dan latensi yang rendah dalam komunikasi.

Seperti yang dijelaskan oleh para peneliti dalam makalah yang baru-baru ini diterbitkan, adalah mungkin untuk menggunakan sumber daya bersama ini sebagai jembatan untuk meluncurkan serangan eskalasi hak istimewa lateral melintasi batas-batas chip nirkabel.

Implikasi dari serangan ini termasuk eksekusi kode, pembacaan memori, dan denial of service.

Para peneliti menemukan kerentanan tersebut pada chip yang dibuat oleh Broadcom, Silicon Labs, dan Cypress, yang dapat ditemukan di dalam miliaran perangkat elektronik.

Semua kerentanan telah dilaporkan ke vendor chip, dan beberapa telah merilis pembaruan keamanan.

Namun masih banyak yang belum mengatasi masalah keamanan tersebut, baik karena tidak lagi mendukung produk yang terpengaruh atau karena patch firmware praktis tidak layak.

Sumber: BleepeingComputer

Sementara itu, dan selama masalah terkait perangkat keras ini masih belum diperbaiki, pengguna disarankan untuk mengikuti langkah-langkah perlindungan sederhana ini:

  • Hapus perangkat Bluetooth yang tidak perlu di ponsel Anda
  • Hapus jaringan WiFi yang tidak digunakan dari pengaturan
  • Gunakan data seluler alih-alih WiFi di ruang publik.

Selengkapnya: Bleeping Computer

Apple iCloud, Twitter, dan Minecraft rentan terhadap eksploitasi zero-day ‘di mana-mana’

by

Sejumlah layanan populer, termasuk Apple iCloud, Twitter, Cloudflare, Minecraft, dan Steam, dilaporkan rentan terhadap eksploitasi zero-day yang memengaruhi perpustakaan logging Java yang populer.

Kerentanan, dijuluki “Log4Shell” oleh para peneliti di LunaSec dan dikreditkan ke Chen Zhaojun dari Alibaba, telah ditemukan di Apache Log4j, sebuah utilitas logging open source yang digunakan di sejumlah besar aplikasi, situs web, dan layanan.

Log4Shell pertama kali ditemukan di Minecraft milik Microsoft, meskipun LunaSec memperingatkan bahwa “banyak, banyak layanan” rentan terhadap eksploitasi ini karena kehadiran “di mana-mana” Log4j di hampir semua aplikasi dan server perusahaan berbasis Java utama.

Dalam sebuah posting blog, perusahaan keamanan siber memperingatkan bahwa siapa pun yang menggunakan Apache Struts “kemungkinan rentan.”

Perusahaan dengan server yang dipastikan rentan terhadap serangan Log4Shell sejauh ini termasuk Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent, dan Elastic, meskipun kemungkinan ada ratusan bahkan ribuan organisasi lain yang terpengaruh.

Dalam sebuah pernyataan yang diberikan kepada TechCrunch, Cloudflare mengatakan telah memperbarui sistem untuk mencegah serangan, menambahkan bahwa tidak ada bukti eksploitasi.

Tim Tanggap Darurat Komputer (CERT) untuk Selandia Baru, CERT Deutsche Telekom, dan layanan pemantauan web Greynoise telah memperingatkan bahwa penyerang secara aktif mencari server yang rentan terhadap serangan Log4Shell.

Menurut yang terakhir, Menurut yang terakhir, sekitar 100 host berbeda sedang memindai internet untuk mencari cara untuk mengeksploitasi kerentanan Log4j.

Apache Software Foundation telah merilis pembaruan keamanan darurat hari ini untuk menambal kerentanan zero-day di Log4j, bersama dengan langkah-langkah mitigasi bagi mereka yang tidak dapat segera memperbarui. Pengembang game Mojang Studios juga telah merilis pembaruan keamanan Minecraft darurat untuk mengatasi bug tersebut.

Selengkapnya: Tech Chrunch