Vulnerability

15 Kerentanan Teratas Dieksploitasi Jutaan Kali untuk Meretas Sistem Linux

August 24, 2021 by Winnie the Pooh

Hampir 14 juta sistem berbasis Linux secara langsung terpapar ke Internet, menjadikannya target yang menguntungkan untuk serangkaian serangan dunia nyata yang dapat mengakibatkan penyebaran web shell berbahaya, penambang koin, ransomware, dan trojan lainnya.

Itu menurut pandangan mendalam pada lanskap ancaman Linux yang diterbitkan oleh perusahaan keamanan siber AS-Jepang Trend Micro, yang merinci ancaman dan kerentanan teratas yang memengaruhi sistem operasi pada paruh pertama tahun 2021, berdasarkan data yang dikumpulkan dari honeypots, sensor, dan telemetri anonim.

Perusahaan, yang mendeteksi hampir 15 juta kejadian malware yang ditujukan untuk lingkungan cloud berbasis Linux, menemukan penambang koin dan ransomware menyumbang 54% dari semua malware, dengan web shell menyumbang 29% pangsa.

Selain itu, dengan membedah lebih dari 50 juta peristiwa yang dilaporkan dari 100.000 host Linux unik selama periode waktu yang sama, para peneliti menemukan 15 kelemahan keamanan berbeda yang diketahui dieksploitasi secara aktif di alam liar atau memiliki bukti konsep (PoC) —

CVE-2017-5638 (CVSS score: 10.0) – Apache Struts 2 remote code execution (RCE) vulnerability
CVE-2017-9805 (CVSS score: 8.1) – Apache Struts 2 REST plugin XStream RCE vulnerability
CVE-2018-7600 (CVSS score: 9.8) – Drupal Core RCE vulnerability
CVE-2020-14750 (CVSS score: 9.8) – Oracle WebLogic Server RCE vulnerability
CVE-2020-25213 (CVSS score: 10.0) – WordPress File Manager (wp-file-manager) plugin RCE vulnerability
CVE-2020-17496 (CVSS score: 9.8) – vBulletin ‘subwidgetConfig’ unauthenticated RCE vulnerability
CVE-2020-11651 (CVSS score: 9.8) – SaltStack Salt authorization weakness vulnerability
CVE-2017-12611 (CVSS score: 9.8) – Apache Struts OGNL expression RCE vulnerability
CVE-2017-7657 (CVSS score: 9.8) – Eclipse Jetty chunk length parsing integer overflow vulnerability
CVE-2021-29441 (CVSS score: 9.8) – Alibaba Nacos AuthFilter authentication bypass vulnerability
CVE-2020-14179 (CVSS score: 5.3) – Atlassian Jira information disclosure vulnerability
CVE-2013-4547 (CVSS score: 8.0) – Nginx crafted URI string handling access restriction bypass vulnerability
CVE-2019-0230 (CVSS score: 9.8) – Apache Struts 2 RCE vulnerability
CVE-2018-11776 (CVSS score: 8.1) – Apache Struts OGNL expression RCE vulnerability
CVE-2020-7961 (CVSS score: 9.8) – Liferay Portal untrusted deserialization vulnerability

Selengkapnya: The Hacker News

Peretas dapat melewati produk keamanan Cisco dalam serangan pencurian data

August 20, 2021 by Winnie the Pooh

Cisco mengatakan bahwa penyerang yang tidak diautentikasi dapat melewati teknologi penyaringan inspeksi TLS di beberapa produk untuk mengekstrak data dari server yang sebelumnya dikompromikan di dalam jaringan pelanggan.

Dalam serangan tersebut, pelaku ancaman dapat mengeksploitasi kerentanan dalam pemfilteran permintaan Server Name Identification (SNI) yang memengaruhi produk 3000 Series Industrial Security Appliances (ISA), Firepower Threat Defense (FTD), dan Web Security Appliance (WSA).

Sejauh ini, Cisco Product Security Incident Response Team (PSIRT) tidak mengetahui adanya penyerang atau malware yang mengeksploitasi kelemahan keamanan ini.

SNIcat (Server Name Indication Concatenator) adalah metode eksfiltrasi tersembunyi yang ditemukan oleh peneliti keamanan mnemonic Labs yang melewati solusi perimeter keamanan dan perangkat inspeksi TLS (mis., web proxies, next-gen firewalls (NGFW) melalui TLS Client Hello packets.

“Dengan menggunakan metode eksfiltrasi SNIcat, kami menemukan bahwa kami dapat melewati solusi keamanan yang melakukan pemeriksaan TLS, bahkan ketika domain Command & Control (C2) yang kami gunakan diblokir oleh reputasi umum dan fitur pencegahan ancaman yang ada di dalam solusi keamanan itu sendiri,” kata para peneliti.

“Singkatnya, kami menemukan bahwa solusi yang dirancang untuk melindungi pengguna, memperkenalkan mereka pada kerentanan baru.”

Selain Cisco, mnemonic Labs telah berhasil menguji SNIcat terhadap produk dari F5 Networks (F5 BIG-IP yang menjalankan TMOS 14.1.2, dengan SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW yang menjalankan PAN-OS 9.1.1), dan Fortinet (Fortigate NGFW menjalankan FortiOS 6.2.3).

Para peneliti juga mengembangkan alat bukti konsep yang membantu mengekstrak data dari server yang sebelumnya diretas melalui saluran rahasia SNI, menggunakan agen pada host yang disusupi dan server perintah-dan-kontrol yang mengumpulkan data yang dieksfiltrasi.

Selengkapnya: Bleeping Computer

Patch Windows tidak resmi baru memperbaiki lebih banyak vektor serangan PetitPotam

August 20, 2021 by Winnie the Pooh

Patch tidak resmi kedua untuk serangan relai Windows PetitPotam NTLM telah dirilis untuk memperbaiki masalah lebih lanjut yang tidak ditangani oleh pembaruan keamanan resmi Microsoft.

Serangan relai NTLM adalah ketika aktor ancaman dapat memaksa server atau pengontrol domain untuk mengautentikasi terhadap server relai NTLM di bawah kendali aktor ancaman.

Relai NTLM ini kemudian akan meneruskan permintaan ke Layanan Active Directory Certificate korban yang ditargetkan melalui HTTP untuk menerima Kerberos ticket-granting ticket (TGT), yang memungkinkan penyerang untuk mengasumsikan identitas pengontrol domain dan mengambil alih domain Windows.

Karena sifat kritis dari serangan ini, Microsoft merilis pembaruan keamanan sebagai bagian dari Patch Tuesday Agustus 2021 yang berusaha untuk memperbaiki kerentanan PetitPotam, dilacak sebagai CVE-2021-36942.

Sayangnya, pembaruan Microsoft tidak lengkap, dan masih mungkin untuk menyalahgunakan PetitPotam.

Untuk menyediakan tambalan yang lebih lengkap, layanan micropatch 0patch telah merilis tambalan tidak resmi yang diperbarui yang dapat digunakan untuk memblokir semua serangan relai PetitPotam NTLM yang diketahui pada versi Windows berikut:

Windows Server 2019 (updated with July 2021 Updates)
Windows Server 2016 (updated with July 2021 Updates)
Windows Server 2012 R2 (updated with July 2021 Updates)
Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)

Dengan micropatch ini, fungsi diblokir di pipa bernama LSARPC dan EFSRPC dan tidak dapat lagi dieksploitasi sebagai bagian dari serangan relai NTLM.

Bagi mereka yang ingin menunggu kemungkinan patch resmi dari Microsoft, Anda juga dapat bertahan melawan serangan PetitPotam menggunakan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API.

Selengkapnya: Bleeping Computer

Adobe memperbaiki kerentanan preauth yang kritis di Magento

August 11, 2021 by Winnie the Pooh

Adobe telah merilis pembaruan keamanan Patch Tuesday besar yang memperbaiki kerentanan kritis di Magento dan bug penting di Adobe Connect.

Daftar lengkap Produk Adobe yang menerima pembaruan keamanan hari ini dan jumlah kerentanan yang diperbaiki di bawah ini:

Secara total, Adobe memperbaiki 29 kerentanan dengan pembaruan hari ini.

Hampir semua kerentanan Kritis dapat menyebabkan eksekusi kode, memungkinkan pelaku ancaman untuk menjalankan perintah pada komputer yang rentan.

Dari pembaruan keamanan Adobe yang dirilis hari ini, Magento memiliki perbaikan paling banyak, dengan 26 kerentanan.

Yang menjadi perhatian khusus adalah sepuluh kerentanan pra-otentikasi di Magento yang dapat dieksploitasi tanpa masuk ke situs.

Beberapa dari kerentanan preauth ini adalah eksekusi kode jarak jauh dan bypass keamanan, memungkinkan aktor ancaman untuk mengontrol situs dan servernya.

Meskipun tidak ada kerentanan zero-day yang diketahui secara aktif dieksploitasi, Adobe menyarankan pelanggan untuk memperbarui ke versi terbaru sesegera mungkin.

Urgensi ini karena aktor ancaman dapat membandingkan versi perangkat lunak yang lebih lama dengan versi yang ditambal untuk menentukan kode apa yang rentan dan membuat eksploitasi untuk menargetkan kerentanan ini.

Selengkapnya: BleepingComputer

Bug Cisco Kritis di Router VPN Memungkinkan Pengambilalihan Mesin Secara Jarak Jauh

August 9, 2021 by Winnie the Pooh

Kerentanan keamanan kritis dalam subset router VPN bisnis kecil Cisco Systems dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengambil alih perangkat – dan para peneliti mengatakan setidaknya ada 8.800 sistem rentan yang terbuka untuk dikompromikan.

Cisco mengatasi bug (CVE-2021-1609) sebagai bagian dari banyak tambalan yang diluncurkan minggu ini. Secara total, perbaikan dan produk yang terpengaruh adalah sebagai berikut:

Kerentanan Manajemen Web pada Cisco RV340, RV340W, RV345, dan RV345P Dual WAN Gigabit VPN Router(Advisory)
Kerentanan Eksekusi Perintah Jarak Jauh pada Cisco Small Business RV160 dan RV260 Series VPN Router(Advisory)
Cisco Packet Tracer untuk Kerentanan Injeksi DLL Windows (Advisory)
Kerentanan Eskalasi Hak Istimewa Server pada Cisco Network Services Orchestrator CLI Secure Shell (Advisory)
Kerentanan Eskalasi Hak Istimewa ConfD CLI Secure Shell Server (Advisory)

Bug kritis mempengaruhi router Dual WAN Gigabit VPN vendor. Menurut penasihat, CVE-2021-1609 ada di antarmuka manajemen web untuk perangkat, dan membawa skor kerentanan-keparahan CVSSv3 9,8. Itu muncul karena validasi permintaan HTTP yang tidak tepat.

Menurut analisis hari Kamis dari Tenable, penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat yang rentan, “menghasilkan eksekusi kode arbitrer serta kemampuan untuk memuat ulang perangkat, menghasilkan penolakan layanan (DoS).

Selengkapnya: Threat Post

Semua DNS Anda adalah milik kami: AWS dan Google Cloud mematikan kerentanan mata-mata

August 9, 2021 by Winnie the Pooh

Hingga Februari tahun ini, layanan DNS Amazon Route53 menawarkan kemampuan penyadapan jaringan yang sebagian besar tidak dihargai. Dan opsi mata-mata yang tidak berdokumen ini juga tersedia di Google Cloud DNS dan setidaknya satu penyedia DNS-as-a-service lainnya.

Dalam presentasi awal pekan ini di konferensi keamanan Black Hat USA 2021 di Las Vegas, Nevada, Shir Tamari dan Ami Luttwak dari perusahaan keamanan Wiz, menjelaskan bagaimana mereka menemukan kelemahan pembajakan server nama DNS yang memungkinkan mereka untuk memata-matai lalu lintas DNS dinamis pelanggan lain.

“Kami menemukan celah sederhana yang memungkinkan kami untuk mencegat sebagian lalu lintas DNS dinamis di seluruh dunia melalui penyedia DNS terkelola seperti Amazon dan Google,” jelas Tamari dalam sebuah posting blog. “Pada dasarnya, kami ‘menyadap’ lalu lintas jaringan internal dari 15.000 organisasi (termasuk perusahaan Fortune 500 dan lembaga pemerintah) dan jutaan perangkat.”

Tamari dan Luttwak menemukan berbagai data sensitif selama percobaan mereka, termasuk nama komputer, nama karyawan, lokasi kantor, dan informasi tentang sumber daya web organisasi yang terbuka. Misalnya, mereka mengklaim telah mengidentifikasi perusahaan yang tampaknya melanggar sanksi perdagangan AS. Musuh jahat dapat menggunakan data ini untuk membantu meluncurkan serangan jaringan.

Menurut Tamari, Amazon dan Google telah memperbaiki masalah ini di layanan DNS masing-masing, tetapi penyedia layanan DNS lainnya mungkin masih rentan. Para peneliti mengatakan tiga dari enam penyedia DNS-as-a-service yang mereka temukan rentan.

Selengkapnya: The Register

Library “net” di bahasa pemrograman Rust, Go mendapatkan dampak dari kerentanan validasi alamat IP kritis

August 9, 2021 by Winnie the Pooh

Library “net” yang umum digunakan dalam bahasa Go dan Rust juga terpengaruh oleh kerentanan validasi alamat IP format campuran.

Bug tersebut berkaitan dengan bagaimana net memperlakukan alamat IP sebagai desimal, bahkan ketika disediakan dalam format campuran (oktal-desimal).

Akibatnya, aplikasi yang mengandalkan jaringan bisa rentan terhadap kerentanan Server-Side Request Forgery (SSRF) dan Remote File Inclusion (RFI) yang tidak dapat ditentukan.

Sebelumnya, cacat tersebut berdampak pada berbagai implementasi library netmask, yang diandalkan oleh ribuan aplikasi. Kemudian, library standar Python yang disebut ipaddress juga ditemukan rentan terhadap cacat tersebut.

Kerentanan, dilacak sebagai CVE-2021-29922 (untuk Rust) dan CVE-2021-29923 (untuk Golang) menyangkut bagaimana net menangani alamat IP format campuran, atau lebih khusus lagi ketika alamat IPv4 desimal berisi nol di depan.

Menurut pengelola proyek, modul net Golang akan memiliki tambalan yang dikeluarkan dalam (beta) versi 1.17.

Untuk Rust, perbaikan telah digabungkan di library net, seperti yang dikonfirmasi oleh BleepingComputer:

Selengkapnya: Bleeping Computer

Peneliti keamanan memperingatkan kelemahan tumpukan TCP/IP dalam perangkat teknologi operasional

August 6, 2021 by Winnie the Pooh

Kerentanan keamanan dalam protokol komunikasi yang digunakan oleh sistem kontrol industri dapat memungkinkan penyerang dunia maya untuk merusak atau mengganggu layanan, serta mengakses data di jaringan.

Dijuluki INFRA:HALT, kumpulan 14 kerentanan keamanan telah dirinci oleh peneliti keamanan siber di Forescout Research Labs dan JFrog Security Research, yang memperingatkan bahwa jika dibiarkan, kelemahan tersebut dapat memungkinkan eksekusi kode jarak jauh, penolakan layanan, atau bahkan kebocoran informasi.

Semua kerentanan terkait dengan tumpukan TCP/IP – protokol komunikasi yang biasa digunakan di perangkat yang terhubung – di NicheStack, digunakan di seluruh teknologi operasional (OT) dan infrastruktur industri.

Beberapa kerentanan yang baru ditemukan berusia lebih dari 20 tahun, masalah umum dalam teknologi operasional, yang masih sering berjalan pada protokol yang dikembangkan dan diproduksi bertahun-tahun yang lalu.

Forescout telah merinci setiap kerentanan dalam posting blog – mereka terkait dengan proses paket yang salah yang memungkinkan penyerang mengirim instruksi untuk membaca atau menulis di bagian memori yang seharusnya tidak.

Semua versi NicheStack sebelum versi 4.3, termasuk NicheLite, dipengaruhi oleh kerentanan, yang telah diungkapkan ke HCC Embedded, yang mengakuisisi NicheStack pada 2016.

Bleum pasti berapa total perangkat OT yang rentan, tetapi para peneliti dapat mengidentifikasi lebih dari 6.400 perangkat yang rentan dengan menggunakan Shodan, mesin pencari Internet of Things.

Untuk membantu melindungi teknologi operasional dari segala jenis serangan siber, para peneliti di Forescout merekomendasikan agar segmentasi jaringan diterapkan, sehingga teknologi operasional yang tidak perlu terpapar ke internet tidak dapat ditemukan dari jarak jauh – dan teknologi yang tidak perlu terhubung ke internet sama sekali berada di jaringan yang terpisah dengan celah udara.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings