Vulnerability

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

September 16, 2021 by Winnie the Pooh

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

Netgear memperbaiki bug keamanan yang parah di lebih dari selusin sakelar pintar

September 10, 2021 by Winnie the Pooh

Netgear telah merilis pembaruan firmware untuk lebih dari selusin sakelar pintar yang digunakan pada jaringan perusahaan untuk mengatasi kerentanan dengan tingkat keparahan tinggi.

Perusahaan memperbaiki tiga kelemahan keamanan yang memengaruhi 20 produk Netgear, sebagian besar smart switch. Detail teknis dan kode eksploitasi proof-of-concept (PoC) untuk dua bug tersedia untuk umum.

Sebuah advisory dari Netgear pada hari Jumat menginformasikan bahwa versi firmware baru tersedia untuk beberapa sakelarnya yang dipengaruhi oleh tiga kerentanan keamanan yang menerima skor keparahan antara 7,4 dan 8,8 pada skala 10.

Netgear mengidentifikasi bug sebagai PSV-2021-0140, PSV-2021-0144, PSV-2021-0145, karena nomor pelacakan belum ditetapkan. Banyak produk yang terpengaruh adalah sakelar pintar, beberapa di antaranya dengan kemampuan manajemen cloud yang memungkinkan konfigurasi dan pemantauannya melalui web.

Advisory Netgear tidak menulis detail teknis apa pun tentang bug tersebut tetapi “sangat menyarankan Anda mengunduh firmware terbaru sesegera mungkin.”

Peneliti keamanan Gynvael Coldwind, yang menemukan dan melaporkan kerentanan, menjelaskan dua masalah dan memberikan kode eksploitasi demo untuk mereka.

Coldwind mengatakan dalam laporan keamanannya bahwa salah satu kelemahan, yang oleh peneliti disebut Demon’s Cries, adalah bypass otentikasi yang dapat, dalam kondisi tertentu, memungkinkan penyerang untuk mengendalikan perangkat yang rentan.

Selengkapnya: Bleeping Computer

Cisco Menambal Bug Otentikasi Kritis Dengan Bukti Eksploitasi Publik

September 6, 2021 by Winnie the Pooh

Cisco telah menambal bug kritis yang hampir maksimal dalam perangkat lunak NFVIS-nya yang memiliki eksploitasi proof-of-concept (PoC) yang tersedia untuk umum.

Pada hari Rabu, Cisco merilis tambalan untuk cacat – kerentanan bypass otentikasi di Enterprise NFV Infrastructure Software (NFVIS) yang dilacak sebagai CVE-2021-34746.

Cisco Enterprise NFVIS adalah perangkat lunak infrastruktur berbasis Linux yang membantu penyedia layanan dan pelanggan lain untuk menerapkan fungsi jaringan virtual, seperti router virtual dan firewall, serta akselerasi WAN, pada perangkat Cisco yang didukung. Ini juga menyediakan penyediaan otomatis dan manajemen terpusat.

Kerentanan dengan skor dasar CVSS 9,8 ini, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi dan masuk ke perangkat yang rentan sebagai admin.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menyuntikkan parameter ke dalam permintaan otentikasi,” jelas Cisco dalam penasihat keamanannya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melewati otentikasi dan masuk sebagai administrator ke perangkat yang terpengaruh.”

Kerentanan ini disebabkan oleh validasi yang tidak lengkap dari input yang diberikan pengguna yang diteruskan ke skrip autentikasi selama proses masuk. Cacat ditemukan di Cisco Enterprise NFVIS Rilis 4.5.1 jika metode otentikasi eksternal TACACS – fitur otentikasi, otorisasi dan akuntansi (AAA) dari perangkat lunak – dikonfigurasi.

Tidak ada solusi untuk memitigasi kerentanan ini. Patch untuk mengatasi bug tersedia di Enterprise NFVIS rilis 4.6.1 dan yang lebih baru.

Cisco mengatakan bahwa mereka mengetahui kode eksploitasi PoC yang tersedia untuk umum tetapi belum melihat eksploitasi berbahaya yang berhasil pada saat ini.

Eksploitasi itu ditemukan oleh peneliti keamanan Orange Group Cyrille Chatras, yang Cisco berterima kasih atas nasihatnya.

Selengkapnya: The Threat Post

Bug Bluetooth BrakTooth dapat memengaruhi miliaran perangkat

September 3, 2021 by Winnie the Pooh

Kerentanan secara kolektif disebut sebagai BrakTooth mempengaruhi Bluetooth stacks yang diimplementasikan pada sirkuit system-on-a-chip (SoC) dari lebih dari selusin vendor.

Serangkaian masalah berdampak pada berbagai perangkat, mulai dari elektronik konsumen hingga peralatan industri. Risiko terkait berkisar dari penolakan layanan, kondisi kebuntuan perangkat hingga eksekusi kode arbitrer.

Para peneliti dari Singapore University of Technology and Design telah menerbitkan rincian tentang BrakTooth – keluarga baru kerentanan keamanan dalam Bluetooth stacks komersial.

Mereka menilai 13 perangkat Bluetooth dari hampir selusin vendor SoC termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Menggali lebih dalam, para peneliti menemukan bahwa lebih dari 1.400 daftar produk dipengaruhi oleh BrakTooth, dan daftar tersebut termasuk tetapi tidak terbatas pada jenis perangkat: Smartphone, Sistem infotainment, Sistem laptop dan desktop, Perangkat audio (speaker, headphone), Sistem hiburan rumah, Keyboard, mainan, Peralatan industri (misalnya pengontrol logika yang dapat diprogram – PLC)

Mempertimbangkan berbagai produk yang terpengaruh, kemungkinan besar bahwa BrakTooth memengaruhi miliaran perangkat.

Para peneliti mengatakan bahwa risiko yang terkait dengan serangkaian kelemahan keamanan BrakTooth berkisar dari penolakan layanan (DoS) dengan merusak firmware perangkat, atau kondisi kebuntuan di mana komunikasi Bluetooth tidak lagi memungkinkan, hingga kode arbitrer.

Seseorang yang melakukan serangan BrakTooth akan memerlukan kit pengembangan ESP32, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan alat proof-of-concept (PoC).

Dari 16 kerentanan BrakTooth, salah satunya dilacak sebagai CVE-2021-28139 menghadirkan risiko yang lebih tinggi daripada yang lain karena memungkinkan eksekusi kode arbitrer.

Selengkapnya: Bleeping Computer

Cara memblokir Windows Plug-and-Play yang menginstal aplikasi tidak aman secara otomatis

September 3, 2021 by Winnie the Pooh

Sebuah trik telah ditemukan yang mencegah perangkat Anda diambil alih oleh aplikasi Windows yang rentan saat sebuah perangkat dicolokkan ke komputer Anda.

Bulan lalu, para peneliti merinci bagaimana hanya dengan mencolokkan perangkat di Windows juga dapat menginstal aplikasi vendor yang memungkinkan pengguna biasa dengan cepat mendapatkan hak istimewa SISTEM, tingkat hak istimewa pengguna tertinggi di Windows.

Misalnya, ketika pengguna mencolokkan mouse USB Razer, Windows akan secara otomatis menginstal driver dan perangkat lunak Razer Synapse.

Dengan menggunakan bug ini, pengguna dengan sedikit hak istimewa pada perangkat Windows dapat dengan mudah mengambil kendali penuh hanya dengan mencolokkan mouse USB $20.

Kerentanan ini ditemukan di aplikasi yang dikenal sebagai “co-installer” dan, sejak yang pertama terlihat, peneliti lain menemukan lebih banyak perangkat yang memungkinkan peningkatan hak istimewa lokal, termasuk perangkat SteelSeries.

Ketika pengembang perangkat keras mengirimkan driver ke Microsoft untuk didistribusikan melalui Windows, mereka dapat mengonfigurasi co-installer khusus perangkat yang akan dijalankan setelah Windows Plug-and-Play menginstal driver.

Co-installers ini dapat digunakan untuk mengonfigurasi kunci Registri khusus perangkat, mengunduh dan menginstal aplikasi lain, atau melakukan fungsi lain yang diperlukan agar perangkat berfungsi dengan benar.

Melalui fitur co-installer, Razer, Synapse, dan produsen perangkat keras lainnya dapat menginstal utilitas konfigurasi mereka ketika perangkat USB mereka dicolokkan ke komputer.

Seperti yang pertama kali ditemukan oleh Will Dormann, analis kerentanan untuk CERT/CC, adalah mungkin untuk mengonfigurasi nilai Windows Registry yang memblokir co-installers agar tidak diinstal selama fitur Plug-and-Play.

Untuk melakukan ini, buka Registry Editor dan arahkan ke kunci Registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer. Di bawah kunci itu, tambahkan nilai DWORD-32 bernama DisableCoInstallers dan setel ke 1, seperti yang ditunjukkan di bawah ini.

Setelah diaktifkan, Windows akan memblokir co-installer agar tidak diinstal saat Anda mencolokkan perangkat USB terkait ke komputer Anda.

Penting untuk dicatat bahwa membuat perubahan ini akan memblokir perangkat lunak konfigurasi perangkat agar tidak diinstal secara otomatis. Sebagai gantinya, Anda harus mengunduh dan menginstalnya dari situs vendor secara manual.

Selengkapnya: Bleeping Computer

Bug Microsoft Exchange ProxyToken dapat membuat peretas mencuri email pengguna

August 31, 2021 by Winnie the Pooh

Detail teknis telah muncul pada kerentanan serius di Microsoft Exchange Server yang dijuluki ProxyToken yang tidak memerlukan otentikasi untuk mengakses email dari akun target.

Penyerang dapat mengeksploitasi kerentanan dengan membuat permintaan ke layanan web dalam aplikasi Exchange Control Panel (ECP) dan mencuri pesan dari kotak masuk korban.

Dilacak sebagai CVE-2021-33766, ProxyToken memberi penyerang yang tidak diautentikasi akses ke opsi konfigurasi kotak surat pengguna, tempat mereka dapat menentukan aturan penerusan email.

Akibatnya, pesan email yang ditujukan untuk pengguna target juga dapat dikirimkan ke akun yang dikontrol penyerang.

Bug tersebut ditemukan oleh Le Xuan Tuyen, seorang peneliti di Information Security Center of Vietnam Posts and Telecommunications Group (VNPT-ISC) dan dilaporkan melalui program Zero-Day Initiative (ZDI) pada bulan Maret.

Meskipun detail teknis untuk ProxyToken baru dirilis hari ini, upaya eksploitasi telah dicatat sejak tiga minggu lalu.

Menurut Rich Warren, red team untuk NCC Group, ia melihat lebih banyak upaya eksploitasi pada 10 Agustus.

Seperti dalam kasus kerentanan ProxyShell, jika administrator server Microsoft Exchange belum menginstal patch untuk ProxyToken, mereka harus memprioritaskan tugas tersebut.

Selengkapnya: Bleeping Computer

Peneliti Mengungkapkan Kerentanan Seperti Meltdown untuk Prosesor AMD Zen+ dan Zen 2

August 31, 2021 by Winnie the Pooh

Menurut peneliti keamanan dan AMD, prosesor Zen 2 dan Zen+ perusahaan mengalami kerentanan baru seperti Meltdown. AMD telah menyiapkan panduan untuk mengurangi kerentanan dan mempublikasikan detail tentang cara kerja kerentanan.

Disebut “Eksekusi Transien Akses Non-kanonik,” kerentanan ini bertindak sangat mirip dengan kerentanan Meltdown yang sudah diungkapkan yang hanya berdampak pada CPU Intel.

Saidgani Musaev dan Christof Fetzer, peneliti dari Dresden Technology University, menemukan kerentanan pada prosesor AMD Zen+ dan Zen 2. Para peneliti mengungkapkan kerentanan CVE-2020-12965 terhadap AMD pada Oktober 2020, memberi perusahaan cukup waktu untuk mengembangkan teknik mitigasi yang telah dibahas AMD dalam makalah resmi tentang Arxiv (PDF) dan situs web keamanan AMD.

Kerentanan Eksekusi Transien Akses Non-kanonik bekerja hanya dengan menggabungkan urutan perangkat lunak tertentu, di mana CPU AMD “dapat secara sementara mengeksekusi beban non-kanonik dan menyimpan hanya menggunakan 48 bit alamat yang lebih rendah yang berpotensi mengakibatkan kebocoran data.” Kebocoran data ini kemudian dimanfaatkan untuk mengakses kemungkinan rahasia yang tersimpan di komputer, yang menyebabkan masalah keamanan.

AMD merekomendasikan agar semua vendor perangkat lunak yang mengirimkan kode untuk platform Zen+ dan Zen 2 mengunjungi kembali program mereka dan menambahkan mitigasi. Misalnya, perusahaan merekomendasikan penggunaan instruksi LFENCE (Load Fence) dalam perangkat lunak atau salah satu mitigasi eksekusi spekulatif yang ada yang diungkapkan dalam manual perangkat lunak di sini.

Selengkapnya: Tom’s Hardware

Peringatan keamanan siber: Kelemahan Realtek membuat lusinan merek terkena serangan rantai pasokan

August 27, 2021 by Winnie the Pooh

Sebuah cacat baru-baru ini diungkapkan dalam chipset dari perusahaan semikonduktor Taiwan Realtek sedang ditargetkan oleh botnet berdasarkan malware IoT lama, Mirai.

Perusahaan keamanan Jerman IoT Inspector melaporkan bahwa bug Realtek, dilacak sebagai CVE-2021-35395, memengaruhi lebih dari 200 produk Wi-Fi dan router dari 65 vendor, termasuk Asus, Belkin, China Mobile, Compal, D-Link, LG, Logitec, Netgear, ZTE, dan Zyxel.

Cacat ini terletak di perangkat pengembang perangkat lunak Realtek (SDK) dan saat ini sedang diserang dari kelompok yang menggunakan varian malware IoT, Mirai, yang dirancang untuk berfungsi pada perangkat dengan budget prosesor dan sedikit memori.

Jika serangan berhasil, penyerang akan mendapatkan kontrol penuh atas modul Wi-Fi dan akses root ke sistem operasi perangkat.

Serangan tersebut menyoroti kerentanan dalam rantai pasokan perangkat lunak yang diharapkan oleh Presiden AS Joe Biden dapat ditambal dengan miliaran dolar yang dijanjikan minggu ini oleh Microsoft dan Google.

Sementara Mirai menimbulkan beberapa ancaman terhadap informasi yang disimpan di perangkat seperti router, kerusakan yang lebih besar disebabkan oleh serangan penolakan layanan terdistribusi (DDoS) bertenaga tinggi di situs web yang menggunakan perangkat yang disusupi.

Realtek telah merilis tambalan, tetapi merek perangkat (OEM) perlu mendistribusikannya ke pengguna akhir pada perangkat yang, sebagian besar, tidak memiliki antarmuka pengguna, dan oleh karena itu tidak dapat digunakan untuk mengomunikasikan bahwa tambalan tersedia. Vendor perlu menganalisis firmware mereka untuk memeriksa keberadaan kerentanan.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings