Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

14 serangan baru terdeteksi pada web browser

by

Pakar keamanan TI telah mengidentifikasi 14 jenis serangan baru pada web browser yang dikenal sebagai kebocoran lintas situs, atau XS-Leaks.

Menggunakan XS-Leaks, situs web jahat dapat mengambil data pribadi dari pengunjung dengan berinteraksi dengan situs web lain di latar belakang.

Para peneliti dari Ruhr-Universität Bochum (RUB) dan Niederrhein University of Applied Sciences menguji seberapa baik 56 kombinasi browser dan sistem operasi terlindungi dari 34 XS-Leaks yang berbeda. Untuk tujuan ini, mereka mengembangkan situs web XSinator.com, yang memungkinkan mereka memindai browser secara otomatis untuk mencari kebocoran ini.

Peramban populer seperti Chrome dan Firefox, misalnya, rentan terhadap sejumlah besar XS-Leaks. “XS-Leaks seringkali merupakan bug browser yang harus diperbaiki oleh pabrikan,” kata Lukas Knittel, salah satu penulis makalah Bochum.

Para peneliti mempublikasikan temuan mereka secara online dan di “ACM Conference on Computer and Communications Security”, yang diadakan sebagai acara virtual pada pertengahan November 2021.

XS-Leaks melewati apa yang disebut sebagai same-origin policy, salah satu pertahanan utama browser terhadap berbagai jenis serangan. Tujuan dari same-origin policy adalah untuk mencegah informasi dicuri dari situs web tepercaya. Dalam kasus XS-Leaks, penyerang tetap dapat mengenali detail kecil individu dari sebuah situs web. Jika detail ini terkait dengan data pribadi, data tersebut dapat bocor.

Misalnya, email di kotak masuk email web dapat dibaca dari situs jahat, karena fungsi pencarian akan merespons dengan cara yang berbeda tergantung pada apakah ada hasil untuk istilah pencarian atau tidak.

Selengkapnya: RUB

80K Situs WooCommerce Ritel Terekspos oleh Plugin XSS Bug

by

Plugin “Variation Swatches for WooCommerce,” dipasang di 80.000 situs ritel WordPress, berisi kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.

Variasi Swatch dirancang untuk memungkinkan pengecer menggunakan platform WooCommerce untuk situs WordPress untuk menampilkan versi berbeda dari produk yang sama, seperti sweter dalam beberapa warna.

Sayangnya, versi rentan juga dapat memberi pengguna tanpa izin administratif — seperti pelanggan — akses ke pengaturan plugin, menurut peneliti dari Wordfence.

Memberi pengguna dengan izin rendah akses ke fungsi “tawcvs_save_settings” sangat memprihatinkan, katanya, karena akses itu dapat digunakan untuk memperbarui pengaturan plugin dan menyuntikkan skrip web berbahaya yang akan dijalankan setiap kali pemilik situs mengakses area pengaturan plugin.

Kerentanan (CVE-2021-42367) memengaruhi semua pengguna plugin hingga 23 November, sampai plugin ditambal di versi 2.1.2 yang baru.

Untuk mengurangi bug plugin terbaru ini, Chamberland merekomendasikan agar pengguna memperbarui situs mereka dengan versi yang ditambal dari Variasi Swatch untuk WooCommerce.

Selengkapnya: Threat Post

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

by

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

by

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Mozilla memperbaiki bug kritis di perpustakaan kriptografi lintas platform

by

Mozilla telah mengatasi kerentanan kerusakan memori kritis yang memengaruhi rangkaian pustaka kriptografi Layanan Keamanan Jaringan (NSS) lintas platform.

NSS dapat digunakan untuk mengembangkan aplikasi klien dan server yang mendukung keamanan dengan dukungan untuk sertifikat SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3, dan berbagai sertifikat lainnya. standar keamanan.

Kelemahan keamanan ditemukan oleh peneliti kerentanan Google Tavis Ormandy dalam versi NSS sebelum 3.73 atau 3.68.1 ESR—yang juga menjulukinya BigSig—dan sekarang dilacak sebagai CVE-2021-43527.

Ini dapat menyebabkan buffer overflow berbasis heap saat menangani tanda tangan DSA atau RSA-PSS yang dikodekan DER di klien email dan pemirsa PDF menggunakan versi NSS yang rentan (bug telah diperbaiki di NSS 3.68.1 dan NSS 3.73).

Dampak dari eksploitasi heap overflow yang berhasil dapat berkisar dari crash program dan eksekusi kode arbitrer hingga melewati perangkat lunak keamanan jika eksekusi kode tercapai.

“Aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dikodekan dalam CMS, S/MIME, PKCS #7, atau PKCS #12 kemungkinan akan terpengaruh,” kata Mozilla dalam peringatan keamanan yang dikeluarkan hari ini.

“Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsionalitas TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara mereka mengonfigurasi NSS.”

“Kami yakin semua versi NSS sejak 3.14 (dirilis Oktober 2012) rentan,” Ormandy menambahkan pada pelacak masalah Project Zero.

Untungnya, menurut Mozilla, kerentanan ini tidak memengaruhi browser web Mozilla Firefox. Namun, semua pemirsa PDF dan klien email yang menggunakan NSS untuk verifikasi tanda tangan diyakini akan terpengaruh.

NSS digunakan oleh Mozilla, Red Hat, SUSE, dan lainnya dalam berbagai macam produk, termasuk:

  • Firefox, Thunderbird, SeaMonkey, dan Firefox OS.
  • Aplikasi klien sumber terbuka seperti Evolution, Pidgin, Apache OpenOffice, dan LibreOffice.
  • Produk server dari Red Hat: Red Hat Directory Server, Red Hat Certificate System, dan modul SSL mod_nss untuk server web Apache.
  • Produk server dari Oracle (sebelumnya Sun Java Enterprise System), termasuk Oracle Communications Messaging Server dan Oracle Directory Server Enterprise Edition.
  • SUSE Linux Enterprise Server mendukung NSS dan modul SSL mod_nss untuk server web Apache.

Sumber : Bleeping Computer

Kerentanan Printer HP Berusia 8 Tahun Memengaruhi 150 Model Printer

by

Para peneliti telah menemukan beberapa kerentanan yang mempengaruhi setidaknya 150 printer multi-fungsi (cetak, scan, faks) yang dibuat oleh Hewlett-Packard.

Kekurangan yang ditemukan sejak 2013 oleh peneliti keamanan F-Secure, Alexander Bolshev dan Timo Hirvonen, berupa kemungkinan telah tereksposnya sejumlah besar pengguna ke serangan cyber sejak lama.

HP telah merilis perbaikan untuk kerentanan dalam bentuk pembaruan firmware untuk dua kelemahan paling penting pada 1 November 2021.

Di antaranya adalah kerentanan CVE-2021-39237 dan CVE-2021-39238.

Yang pertama menyangkut dua port fisik terbuka yang memberikan akses penuh ke perangkat. Memanfaatkannya membutuhkan akses fisik dan dapat menyebabkan pengungkapan informasi potensial.

Yang kedua adalah kerentanan buffer overflow pada parser font, yang jauh lebih parah, memiliki skor CVSS 9,3. Mengeksploitasinya memberi aktor ancaman cara untuk eksekusi kode jarak jauh.

CVE-2021-39238 juga “wormable,” yang berarti aktor ancaman dapat dengan cepat menyebar dari satu printer ke seluruh jaringan.

Alur serangan CVE-2021-38238

Dengan demikian, perusahaan-perusahaan harus meng-upgrade firmware printer mereka sesegera mungkin untuk menghindari infeksi skala besar yang dimulai dari titik masuk yang sering diabaikan ini.

Selengkapnya: Bleepingcomputer