Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Cisco memperbaiki bug yang memungkinkan eksekusi kode jarak jauh dengan hak akses root

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kerentanan pra-otentikasi remote code execution (RCE) yang memengaruhi komponen manajemen jarak jauh SD-WAN vManage Software.

Perusahaan memperbaiki dua kerentanan keamanan tingkat tinggi lainnya dalam fungsi manajemen pengguna (CVE-2021-1137) dan transfer file sistem (CVE-2021-1480) dari produk yang sama yang memungkinkan penyerang untuk meningkatkan hak istimewa.

Eksploitasi yang berhasil dari kedua bug ini dapat memungkinkan pelaku ancaman yang menargetkan mereka untuk mendapatkan hak akses root pada sistem operasi yang mendasarinya.

Cacat keamanan kritis yang dilacak sebagai CVE-2021-1479 menerima skor keparahan 9,8 / 10. Hal ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk memicu buffer overflow pada perangkat yang rentan dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan memengaruhi Cisco SD-WAN vManage rilis 20.4 dan yang lebih lama. Cisco telah membahasnya dalam pembaruan keamanan 20.4.1, 20.3.3, dan 19.2.4 yang diterbitkan hari ini dan menyarankan pelanggan untuk bermigrasi ke versi yang terbaru sesegera mungkin.

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Serangan yang sedang berlangsung menargetkan aplikasi SAP yang tidak aman

by

Pelaku ancaman menargetkan aplikasi SAP yang sangat penting tanpa jaminan terhadap kerentanan yang sudah ditambal, sehingga jaringan organisasi komersial dan pemerintah dapat diserang.

SAP dan firma keamanan cloud Onapsis memperingatkan serangan yang sedang berlangsung kemarin, dan telah bekerja dalam kemitraan dengan Cybersecurity and Infrastructure Security Agency (CISA) dan badan cybersecurity Jerman BSI untuk memperingatkan pelanggan SAP agar menerapkan patch dan mensurvei lingkungan mereka untuk aplikasi yang tidak aman.

Intelijen ancaman yang dikumpulkan dan diterbitkan oleh Onapsis dalam koordinasi dengan SAP menunjukkan bahwa mereka “tidak mengetahui pelanggaran yang diketahui pada pelanggan” yang berakibat pada aktivitas berbahaya ini.

Namun, terungkap bahwa pelanggan SAP masih memiliki aplikasi tidak aman di lingkungan mereka yang terlihat melalui Internet, dan mengekspos organisasi terhadap upaya infiltrasi melalui vektor serangan yang seharusnya telah ditambal bertahun-tahun yang lalu.

Aktor ancaman di balik serangan ini telah mengeksploitasi beberapa kerentanan keamanan dan konfigurasi yang tidak aman dalam aplikasi SAP dalam upaya untuk menembus sistem target.

Selain itu, beberapa dari mereka juga telah diamati saat merangkai beberapa kerentanan dalam serangan mereka untuk “memaksimalkan dampak dan potensi kerusakan”.

Sumber: BleepingComputer

Menambal sistem SAP yang rentan harus menjadi prioritas bagi semua defenders karena Onapsis juga menemukan bahwa penyerang mulai menargetkan kerentanan SAP kritis dalam waktu kurang dari 72 jam, dengan aplikasi SAP yang terbuka dan belum ditambal disusupi dalam waktu kurang dari tiga jam.

Selengkapnya: Bleeping Computer

Bug macOS CVE-2019-8761

by Leave a Comment

Seorang peneliti keamanan, Paulos Yibelo, menemukan sebuah bug pada sistem operasi macOS yang dicatat sebagai CVE-2019-8761.

Bug ini memungkinkan penyerang mengeksekusi HTML di dalam file .TXT yang dapat mengakibatkan kebocoran data dan mencuri kredensial pengguna. Bug ini sudah diperbaiki pada pembaruan macOS Catalina 10.15.1.

Penelitian ini berawal ketika Paulos menyadari pembaca teks default di OSX, TextEdit digunakan untuk membuka file dengan ekstensi TXT secara default.

Paulos menggambarkan File TXT adalah vektor serangan yang sangat menarik, karena sifatnya yang polos yang tidak membawa apa-apa selain teks. File TXT juga diasumsikan oleh perangkat lunak anti-virus, firewall, dan bahkan Gatekeeper Mac sendiri sebagai unduhan aman yang tidak mungkin berbahaya, yang membuatnya semakin menarik.

Salah satu bug pertama yang ia temukan menggunakan ini menunjukkan bahwa Gatekeeper tidak mengarantina file TXT meskipun file tersebut diunduh dari situs web yang mencurigakan.

Baca temuan selengkapnya pada tautan berikut: Paulos Yibelo

FBI: APT Secara Aktif Memanfaatkan Lubang Keamanan VPN Fortinet

by

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan bahwa pelaku negara-bangsa ancaman persisten tingkat lanjut (APT) secara aktif mengeksploitasi kerentanan keamanan yang diketahui dalam sistem operasi keamanan siber Fortinet FortiOS, yang memengaruhi produk SSL VPN perusahaan tersebut.

Menurut peringatan yang dikeluarkan hari Jumat oleh FBI dan CISA, penyerang siber memindai perangkat di port 4443, 8443, dan 10443, mencari implementasi keamanan Fortinet yang belum ditambal. Secara khusus, APT mengeksploitasi kerentanan CVE-2018-13379, CVE-2019-5591 dan CVE-2020-12812.

Bug yang dilacak sebagai CVE-2018-13379 adalah masalah jalur-traversal di Fortinet FortiOS, di mana portal web SSL VPN memungkinkan penyerang yang tidak terautentikasi mengunduh file sistem melalui permintaan sumber daya HTTP yang dibuat secara khusus.

Cacat CVE-2019-5591 adalah kerentanan konfigurasi default di FortiOS yang memungkinkan penyerang tidak terautentikasi pada subnet yang sama mencegat informasi sensitif dengan meniru identitas server LDAP.

Dan terakhir, CVE-2020-12812 adalah kerentanan otentikasi yang tidak tepat di SSL VPN di FortiOS, yang memungkinkan pengguna untuk berhasil masuk tanpa dimintai faktor kedua dari otentikasi (FortiToken) jika mereka mengubah kasus nama pengguna mereka.

“Penyerang semakin menargetkan aplikasi eksternal yang penting – VPN semakin menjadi sasaran tahun lalu,” kata Zach Hanley, red team engineer senior di Horizon3.AI, melalui email. “Ketiga kerentanan yang menargetkan Fortinet VPN ini memungkinkan penyerang mendapatkan kredensial yang valid, melewati otentikasi multifaktor (MFA), dan lalu lintas otentikasi man-in-the-middle (MITM) untuk mencegat kredensial.”

Hanley menambahkan, “Tema umum di sini adalah: setelah mereka berhasil, mereka akan terlihat seperti pengguna biasa.”

Bug ini populer di kalangan penyerang dunia maya secara umum, karena jejak Fortinet yang tersebar luas, catat para peneliti.

Selengkapnya: Threat Post

CPU AMD Zen 3 Rentan Terhadap Kerentanan Seperti Spectre

by

AMD telah menerbitkan whitepaper tentang potensi kerentanan keamanan yang memengaruhi prosesor Zen 3 terbaru perusahaan. Eksploitasi saluran samping mirip dengan Spectre yang memengaruhi sebagian besar prosesor Intel tiga tahun lalu.

Dengan Zen 3, AMD memperkenalkan teknologi baru yang disebut Predictive Store Forwarding (PSF), yang membantu meningkatkan kinerja eksekusi kode dengan memprediksi hubungan antara beban dan penyimpanan. Dalam sebagian besar kasus, prediksi PSF tepat sasaran. Namun, masih ada kemungkinan kecil bahwa prediksi tersebut mungkin tidak akurat, yang menghasilkan spekulasi CPU yang salah.

Arsitek CPU AMD telah menemukan bahwa spekulasi PSF yang buruk setara dengan Spectre v4. Perangkat lunak yang mengandalkan isolasi atau “sandboxing” sangat berisiko jika menghasilkan spekulasi yang salah. AMD menyediakan dua skenario di mana prediksi PSF yang salah dapat terjadi.

“Pertama, ada kemungkinan bahwa pasangan store/load memiliki ketergantungan untuk sementara tetapi kemudian berhenti memiliki ketergantungan. Ini dapat terjadi jika alamat penyimpanan atau pemuatan berubah selama pelaksanaan program.”

“Sumber kedua dari prediksi PSF yang salah dapat terjadi jika ada alias dalam struktur prediktor PSF. Prediktor PSF dirancang untuk melacak pasangan store/load berdasarkan bagian RIP mereka. Ada kemungkinan bahwa pasangan store/load yang memiliki ketergantungan dapat alias dalam prediktor dengan pasangan store/load lain yang tidak. Hal ini dapat mengakibatkan spekulasi yang salah saat pasangan store/load kedua dijalankan.”

Selengkapnya: Tom’s Hardware

FBI dan CISA memperingatkan peretas negara yang menyerang server Fortinet FortiOS

by

Biro Investigasi Federal (FBI) dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan pelaku ancaman persisten tingkat lanjut (APT) yang menargetkan server Fortinet FortiOS menggunakan beberapa eksploitasi.

Dalam Joint Cybersecurity Advisory (CSA) yang diterbitkan hari ini, agensi memperingatkan admin dan pengguna bahwa grup peretasan yang disponsori negara “kemungkinan” mengeksploitasi kerentanan Fortinet FortiOS CVE-2018-13379, CVE-2020-12812, dan CVE-2019-5591.

Para penyerang menghitung server yang belum ditambal terhadap CVE-2020-12812 dan CVE-2019-5591, dan memindai perangkat rentan CVE-2018-13379 pada port 4443, 8443, dan 10443.

Grup APT dapat menggunakan penyalahgunaan bug keamanan ini di masa mendatang untuk melanggar jaringan layanan pemerintah, komersial, dan teknologi. Begitu mereka mendapatkan infiltrasi jaringan target, mereka mungkin menggunakan akses awal ini untuk serangan di masa depan.

selengkapnya : www.bleepingcomputer.com

VMware memperbaiki bug yang memungkinkan penyerang mencuri kredensial admin

by

VMware telah menerbitkan pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan tinggi dalam vRealize Operations yang memungkinkan penyerang mencuri kredensial admin setelah mengeksploitasi server yang rentan.

vRealize Operations adalah manajemen operasi TI yang didukung AI dan “berjalan sendiri” untuk lingkungan pribadi, hybrid, dan multi-cloud, tersedia sebagai solusi di lokasi atau SaaS.

Kerentanan tersebut ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Kerentanan yang dilaporkan secara pribadi yang dilacak sebagai CVE-2021-21975 disebabkan oleh bug Server Side Request Forgery di vRealize Operations Manager API.

Penyerang dapat mengeksploitasi kerentanan dari jarak jauh tanpa memerlukan otentikasi atau interaksi pengguna dalam serangan dengan kompleksitas rendah untuk mencuri kredensial administratif.

VMware menilai kelemahan keamanan tersebut sebagai tingkat keparahan yang tinggi dengan memberinya skor dasar 8,6 dari 10.

Detail tentang cara mendapatkan patch keamanan untuk Operasi vRealize tersedia di artikel dukungan yang ditautkan di bawah ini:

Sumber: Bleeping Computer

Server Git PHP diretas untuk menambahkan backdoor ke kode sumber PHP

by

Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.

Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.

Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.

Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.

Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.

“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.

Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.

Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.

Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.

Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini

Source : BleepingComputer