Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Pembaruan Adobe memperbaiki 28 kerentanan dalam 6 produk

by

Adobe telah merilis rilis pembaruan keamanan Patch Tuesday raksasa yang memperbaiki kerentanan di Adobe Dimension, Illustrator, Framemaker, Acrobat, Reader, dan Bridge.

Daftar lengkap Produk Adobe yang menerima pembaruan keamanan hari ini dan jumlah kerentanan tetap di bawah ini:

  • APSB21-40 | Adobe Dimension: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-42 | Adobe Illustrator: 2 Kerentanan Kritis dan 1 Penting telah diperbaiki.
  • APSB21-45 | Adobe Framemaker: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-51 | Adobe Acrobat and Reader: 14 Kerentanan Kritis dan 5 Penting telah diperbaiki.
  • APSB21-53 | Adobe Bridge: 4 Kerentanan kritis dan 1 Sedang telah diperbaiki.

Secara total, Adobe memperbaiki 28 kerentanan dengan pembaruan hari ini.

Hampir semua kerentanan Kritis dapat menyebabkan eksekusi kode, memungkinkan pelaku ancaman untuk menjalankan perintah pada komputer yang rentan.

Dari pembaruan keamanan Adobe yang dirilis hari ini, Adobe Acrobat dan Reader memiliki perbaikan paling banyak, dengan 19 kerentanan.

Meskipun tidak ada kerentanan zero-day yang diketahui secara aktif dieksploitasi, Adobe menyarankan pelanggan untuk memperbarui ke versi terbaru sesegera mungkin.

Urgensi ini karena aktor ancaman dapat membandingkan versi perangkat lunak yang lebih lama dengan versi yang ditambal untuk menentukan kode apa yang rentan dan membuat eksploitasi untuk menargetkan kerentanan ini.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

by

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Sumber: CyberArk Labs

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.

Bug Sage X3 RCE Kritis Memungkinkan Pengambilalihan Sistem

by

Empat kerentanan menimpa platform perencanaan sumber daya perusahaan (ERP) Sage X3 yang populer, para peneliti menemukan – termasuk satu bug kritis yang memberi peringkat 10 dari 10 pada skala kerentanan-keparahan CVSS. Dua bug dapat digabungkan untuk memungkinkan pengambilalihan sistem secara keseluruhan, dengan potensi konsekuensi rantai pasokan, kata mereka.

Sage X3 ditargetkan untuk perusahaan menengah – khususnya produsen dan distributor – yang mencari fungsionalitas ERP all-in-one. Sistem ini mengelola penjualan, keuangan, inventaris, pembelian, manajemen hubungan pelanggan dan manufaktur dalam satu solusi perangkat lunak ERP terintegrasi.

Peneliti Rapid7 Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal dan William Vu, yang menemukan masalah (CVE-2020-7387 hingga -7390), mengatakan bahwa kelemahan paling parah ada pada fungsi administrator jarak jauh platform.

Dengan demikian, mereka mengatakan bahwa mungkin ada konsekuensi rantai pasokan untuk serangan yang berhasil (seperti Kaseya) jika platform digunakan oleh penyedia layanan terkelola untuk memberikan fungsionalitas ke bisnis lain.

Untuk mengeksploitasi masalah dan melewati proses otentikasi, aktor jahat dapat membuat permintaan khusus ke layanan yang terbuka. Penyerang siber harus menghindari dua komponen yang terlibat dalam pengiriman perintah untuk dieksekusi, kata para peneliti.

Pertama, penyerang harus mengetahui direktori instalasi layanan AdxAdmin, sehingga mereka dapat menentukan lokasi path lengkap untuk menulis file cmd yang akan dieksekusi.

Kedua, penyerang harus mengacaukan urutan otorisasi yang menyertakan kata sandi terenkripsi. Ini dapat dilakukan dengan menggunakan serangkaian paket yang menipu protokol otentikasi dan perintah AdxDSrv.exe, tetapi dengan satu modifikasi kritis.

Masalah ini memengaruhi versi platform V9, V11 dan V12.

Selengkapnya: Threat Post

Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

by

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software

Microsoft Memperingatkan Cacat “PrintNightmare” Kritis Dieksploitasi di Alam Liar

by

Microsoft pada hari Kamis secara resmi mengkonfirmasi bahwa kerentanan eksekusi kode jarak jauh (RCE) “PrintNightmare” yang memengaruhi Windows Print Spooler berbeda dari masalah yang ditangani perusahaan sebagai bagian dari pembaruan Patch Tuesday yang dirilis awal bulan ini, sambil memperingatkan bahwa ia telah mendeteksi upaya eksploitasi yang menargetkan cacat.

Perusahaan melacak kelemahan keamanan di bawah pengenal CVE-2021-34527.

“Kerentanan eksekusi kode jarak jauh terjadi ketika layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar,” kata Microsoft dalam nasihatnya. “Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau membuat akun baru dengan hak pengguna penuh.”

“Sebuah serangan harus melibatkan pengguna yang diautentikasi yang memanggil RpcAddPrinterDriverEx(),” tambah perusahaan yang berbasis di Redmond.

Pengakuan itu muncul setelah para peneliti dari perusahaan keamanan siber yang berbasis di Hong Kong, Sangfor, memublikasikan kesalahan teknis Print Spooler RCE ke GitHub, bersama dengan kode PoC yang berfungsi penuh, sebelum diturunkan hanya beberapa jam setelah naik.

selengkapnya : thehackernews.com

Masalah RPM Linux utama ditemukan

by

Pada tahun 1995, ketika Linux 1.x adalah kernel Linux baru yang panas, programmer pendiri Red Hat awal Marc Ewing dan Erik Troan menciptakan RPM. Sistem manajemen paket perangkat lunak ini menjadi cara default untuk mendistribusikan perangkat lunak untuk distribusi berbasis Red Hat Linux seperti Red Hat Enterprise Linux (RHEL), CentOS Stream, AlmaLinux OS, dan Rocky Linux. Sayangnya, tersembunyi di dalam hatinya adalah lubang keamanan utama.

Dmitry Antipov, pengembang Linux di CloudLinux, perusahaan induk AlmaLinux OS, pertama kali menemukan masalah pada Maret 2021. Antipov menemukan bahwa RPM akan bekerja dengan paket RPM yang tidak sah. Ini berarti bahwa paket yang tidak ditandatangani atau paket yang ditandatangani dengan kunci yang dicabut dapat diam-diam ditambal atau diperbarui tanpa peringatan bahwa mereka mungkin tidak halal.

Mengapa? Karena RPM tidak pernah memeriksa dengan benar penanganan kunci sertifikat yang dicabut. Secara khusus, seperti yang dijelaskan oleh pengembang Linux dan RPM utama Panu Matilainen: “Pencabutan adalah salah satu dari banyak hal yang tidak diimplementasikan dalam dukungan OpenPGP rpm. Dengan kata lain, Anda tidak melihat bug seperti itu; itu hanya tidak diterapkan sama sekali, seperti kedaluwarsa tidak.”

Bagaimana ini bisa terjadi? Itu karena RPM berasal dari hari-hari ketika membuat kode berfungsi adalah prioritas pertama dan keamanan datang jauh kedua. Misalnya, kita tidak tahu apakah komit RPM pertama dibuat oleh Marc Ewing atau Erik Troan karena dilakukan sebagai root.

selengkapnya : www.zdnet.com

Eksploitasi 0-hari Windows PrintNightmare publik memungkinkan pengambilalihan domain

by

Detail teknis dan eksploitasi proof-of-concept (PoC) telah bocor secara tidak sengaja untuk kerentanan yang saat ini belum ditambal di Windows yang memungkinkan eksekusi kode jarak jauh.

Terlepas dari kebutuhan untuk otentikasi, tingkat keparahan masalah ini sangat penting karena aktor ancaman dapat menggunakannya untuk mengambil alih server domain Windows untuk menyebarkan malware dengan mudah ke seluruh jaringan perusahaan.

Masalah ini memengaruhi Windows Print Spooler dan karena daftar panjang bug yang memengaruhi komponen ini selama bertahun-tahun [1, 2, 3, 4], para peneliti menamakannya PrintNightmare.

Beberapa peneliti telah menguji eksploitasi PoC yang bocor pada sistem Windows Server 2019 yang sepenuhnya ditambal dan dapat mengeksekusi kode sebagai SISTEM.

Kebocoran detail untuk kerentanan ini terjadi secara tidak sengaja, karena kebingungan dengan masalah lain, CVE-2021-1675, juga memengaruhi Print Spooler yang ditambal Microsoft dalam peluncuran pembaruan keamanan bulan ini.

Awalnya, Microsoft mengklasifikasikan CVE-2021-1675 sebagai masalah eskalasi hak istimewa dengan tingkat keparahan tinggi, tetapi beberapa minggu kemudian mengubah peringkat menjadi kritis dan berdampak pada eksekusi kode jarak jauh, tanpa memberikan detail apa pun.

Dikreditkan untuk pelaporan CVE-2021-1675 adalah peneliti dari tiga perusahaan cybersecurity (Tencent, AFINE, NSFOCUS) tetapi beberapa tim menganalisis Windows Print Spooler.

selengkapnya : www.bleepingcomputer.com

NVIDIA Menambal Bug Serangan Spoof GeForce Tingkat Tinggi

by

Perangkat lunak grafis game NVIDIA yang disebut GeForce Experience, dibundel dengan GPU GTX pembuat chip yang populer, memiliki kerentanan dan membuka pintu bagi penyerang jarak jauh yang dapat mengeksploitasi bug untuk mencuri atau memanipulasi data pada komputer Windows yang rentan.

NVIDIA memberi tahu pelanggan akhir minggu lalu tentang bug tersebut dan merilis tambalan perangkat lunak untuk cacat tersebut, yang ada dalam perangkat lunak Windows GeForce Experience (versi 3.21 dan sebelumnya). Pembaruan GeForce 3.23 sekarang tersedia untuk memitigasi bug.

Bug dilacak sebagai CVE‑2021‑1073, dengan peringkat keparahan CVSS 8.3 (tinggi). Perusahaan memperingatkan:

Perangkat lunak NVIDIA GeForce Experience mengandung kerentanan di mana, jika pengguna mengklik tautan berformat jahat yang membuka halaman login GeForce Experience di tab browser baru alih-alih aplikasi GeForce Experience dan memasukkan informasi login mereka, situs berbahaya tersebut bisa mendapatkan akses ke token sesi login pengguna. Serangan semacam itu dapat menyebabkan data pengguna yang ditargetkan ini diakses, diubah, atau hilang.

Mereka yang terpengaruh disarankan untuk mengunduh dan menginstal pembaruan perangkat lunak melalui halaman GeForce Experience Download atau cukup membuka klien perangkat lunak, yang kemudian akan memperbarui perangkat lunak secara otomatis.

GeForce Experience adalah perangkat lunak gratis yang dibundel dengan kartu grafis NVIDIA dan dirancang khusus untuk meningkatkan kinerja game PC. Ini memungkinkan pengguna untuk memantau dan mengoptimalkan kinerja sistem, mengambil tangkapan layar dalam game, dan merekam atau streaming langsung permainan game ke komunitas seperti Twitch.

Selengkapnya: Threat Post