Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

by

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Bug Microsoft Edge Dapat Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

by

Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode dalam konteks situs web mana pun.

Dilacak sebagai CVE-2021-34506 (skor CVSS: 5,4), kelemahannya berasal dari masalah skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan browser melalui Microsoft Translator.

Peneliti yang menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.

“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” kata peneliti CyberXplore dalam sebuah artikel yang dibagikan dengan The Hacker News.

Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal untuk membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.

Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.

Selengkapnya: The Hacker News

Kerentanan Cisco ASA dieksploitasi secara aktif setelah eksploitasi dirilis

by

Peretas memindai dan secara aktif mengeksploitasi kerentanan di perangkat Cisco ASA setelah eksploitasi PoC dipublikasikan di Twitter.

Pada hari Kamis, para peneliti dari Tim Offensive Positive Technologies menerbitkan eksploitasi PoC untuk kerentanan Cisco ASA CVE-2020-3580 di Twitter.

Kerentanan Cisco ASA ini adalah kerentanan cross-site scripting (XSS) yang dilacak sebagai CVE-2020-3580.

Cisco pertama kali mengungkapkan kerentanan dan mengeluarkan perbaikan pada Oktober 2020. Namun, patch awal untuk CVE-2020-3580 tidak lengkap, dan perbaikan lebih lanjut dirilis pada April 2021.

Kerentanan ini dapat memungkinkan aktor ancaman yang tidak diautentikasi untuk mengirim email phishing yang ditargetkan atau tautan berbahaya ke pengguna perangkat Cisco ASA untuk menjalankan perintah JavaScript di browser pengguna.

“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode skrip dalam konteks antarmuka atau memungkinkan penyerang mengakses informasi sensitif berbasis browser,” kata penasihat Cisco.

Karena pelaku ancaman sekarang secara aktif mengeksploitasi kerentanan tersebut, sangat penting bagi administrator untuk segera menambal perangkat Cisco ASA yang rentan sehingga pelaku ancaman tidak dapat mengeksploitasinya.

Selengkapnya: Bleeping Computer

Patch Bug Tor Browser untuk Mencegah Pelacakan Aktivitas Online Anda

by

Browser Tor open-source telah diperbarui ke versi 10.0.18 dengan perbaikan untuk beberapa masalah, termasuk bug yang merusak privasi yang dapat digunakan untuk pengguna sidik jari secara unik di berbagai browser berdasarkan aplikasi yang diinstal di komputer.

Selain memperbarui Tor ke 0.4.5.9, versi Android browser telah ditingkatkan ke Firefox ke versi 89.1.1, bersama dengan patch yang diluncurkan oleh Mozilla untuk beberapa kerentanan keamanan yang ditangani di Firefox 89.

Satu di antara masalah yang diperbaiki adalah serangan sidik jari baru yang terungkap bulan lalu. Dijuluki skema flooding, kerentanan memungkinkan situs web jahat untuk memanfaatkan informasi tentang aplikasi yang diinstal pada sistem untuk menetapkan pengidentifikasi unik permanen kepada pengguna bahkan ketika mereka beralih browser, menggunakan mode penyamaran, atau VPN.

Dengan kata lain, kelemahan ini memanfaatkan skema URL khusus di aplikasi sebagai vektor serangan, memungkinkan pelaku jahat untuk melacak pengguna perangkat di antara browser yang berbeda, termasuk Chrome, Firefox, Microsoft Edge, Safari, dan bahkan Tor, secara efektif menghindari lintas-browser perlindungan anonimitas di Windows, Linux, dan macOS.

Masalah ini memiliki implikasi serius terhadap privasi karena dapat dieksploitasi oleh musuh untuk membuka kedok pengguna Tor dengan menghubungkan aktivitas penjelajahan mereka saat mereka beralih ke browser non-anonim, seperti Google Chrome.

Selengkapnya: The Hacker News

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

by

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

by

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

Bug yang Belum Ditambal Ditemukan Mengintai di Platform Penyediaan yang Digunakan dengan Cisco UC

by

Manajer Penyedia Akkadian, yang digunakan sebagai alat penyediaan pihak ketiga dalam lingkungan Cisco Unified Communications, memiliki tiga kerentanan keamanan tingkat tinggi yang dapat dirangkai bersama untuk mengaktifkan eksekusi kode jarak jauh (RCE) dengan hak istimewa yang lebih tinggi, kata para peneliti.

Mereka tetap tidak ditambal, menurut para peneliti di Rapid7 yang menemukannya.

Suite UC Cisco memungkinkan komunikasi VoIP dan video di seluruh jejak bisnis. Produk Akkadian adalah alat yang biasanya digunakan di perusahaan besar untuk membantu mengelola proses penyediaan dan konfigurasi semua klien dan instans UC, melalui otomatisasi.

Kerentanan tersebut, semua hadir dalam versi 4.50.18 dari platform Akkadia, adalah sebagai berikut:

  • CVE-2021-31579: Use of hard-coded credentials (ranking 8.2 out of 10 on the CVSS vulnerability-severity scale)
  • CVE-2021-31580 and CVE-2021-31581: Improper neutralization of special elements used in an OS command (using exec and vi commands, respectively; ranking 7.9)
  • CVE-2021-31582: Exposure of sensitive information to an unauthorized actor (ranking 7.9)

Menggabungkan CVE-2021-31579 dengan CVE-2021-31580 atau CVE-2021-31581 akan memungkinkan musuh yang tidak sah mendapatkan akses shell tingkat root ke perangkat yang terpengaruh, menurut Rapid7. Itu membuatnya mudah untuk menginstal cryptominers, keystroke logger, persisten shell, dan semua jenis malware berbasis Linux lainnya.

Selengkapnya: Threat Post

Peretas Dapat Mengeksploitasi Aplikasi Pra-Instal Samsung untuk Memata-matai Pengguna

by

Beberapa kelemahan keamanan kritis telah diungkapkan dalam aplikasi Android pra-instal Samsung, yang, jika berhasil dieksploitasi, dapat memungkinkan musuh mengakses data pribadi tanpa persetujuan pengguna dan mengambil kendali perangkat.

“Dampak bug ini memungkinkan penyerang mengakses dan mengedit kontak korban, panggilan, SMS/MMS, menginstal aplikasi dengan hak administrator perangkat, atau membaca dan menulis file atas nama pengguna sistem yang dapat mengubah pengaturan perangkat,” Sergey Toshin, pendiri startup keamanan seluler Oversecured, mengatakan dalam sebuah analisis yang diterbitkan hari Kamis.

Toshin melaporkan kelemahan tersebut ke Samsung pada Februari 2021, setelah itu tambalan dikeluarkan oleh pabrikan sebagai bagian dari pembaruan keamanan bulanan untuk April dan Mei. Daftar tujuh kerentanan adalah sebagai berikut :

  • CVE-2021-25356 – third-party authentication bypass in Managed Provisioning
  • CVE-2021-25388 – Arbitrary app installation vulnerability in Knox Core
  • CVE-2021-25390 – Intent redirection in PhotoTable
  • CVE-2021-25391 – Intent redirection in Secure Folder
  • CVE-2021-25392 – Possible to access notification policy file of DeX
  • CVE-2021-25393 – Possible to read/write access to arbitrary files as a system user (affects the Settings app)
  • CVE-2021-25397 – Arbitrary file write in TelephonyUI

Pemilik perangkat Samsung disarankan untuk menerapkan pembaruan firmware terbaru dari perusahaan untuk menghindari potensi risiko keamanan.

Selengkapnya: The Hacker News