Vulnerability

FBI dan CISA memperingatkan peretas negara yang menyerang server Fortinet FortiOS

April 4, 2021 by Winnie the Pooh

Biro Investigasi Federal (FBI) dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan pelaku ancaman persisten tingkat lanjut (APT) yang menargetkan server Fortinet FortiOS menggunakan beberapa eksploitasi.

Dalam Joint Cybersecurity Advisory (CSA) yang diterbitkan hari ini, agensi memperingatkan admin dan pengguna bahwa grup peretasan yang disponsori negara “kemungkinan” mengeksploitasi kerentanan Fortinet FortiOS CVE-2018-13379, CVE-2020-12812, dan CVE-2019-5591.

Para penyerang menghitung server yang belum ditambal terhadap CVE-2020-12812 dan CVE-2019-5591, dan memindai perangkat rentan CVE-2018-13379 pada port 4443, 8443, dan 10443.

Grup APT dapat menggunakan penyalahgunaan bug keamanan ini di masa mendatang untuk melanggar jaringan layanan pemerintah, komersial, dan teknologi. Begitu mereka mendapatkan infiltrasi jaringan target, mereka mungkin menggunakan akses awal ini untuk serangan di masa depan.

selengkapnya : www.bleepingcomputer.com

VMware memperbaiki bug yang memungkinkan penyerang mencuri kredensial admin

March 31, 2021 by Winnie the Pooh

VMware telah menerbitkan pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan tinggi dalam vRealize Operations yang memungkinkan penyerang mencuri kredensial admin setelah mengeksploitasi server yang rentan.

vRealize Operations adalah manajemen operasi TI yang didukung AI dan “berjalan sendiri” untuk lingkungan pribadi, hybrid, dan multi-cloud, tersedia sebagai solusi di lokasi atau SaaS.

Kerentanan tersebut ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Kerentanan yang dilaporkan secara pribadi yang dilacak sebagai CVE-2021-21975 disebabkan oleh bug Server Side Request Forgery di vRealize Operations Manager API.

Penyerang dapat mengeksploitasi kerentanan dari jarak jauh tanpa memerlukan otentikasi atau interaksi pengguna dalam serangan dengan kompleksitas rendah untuk mencuri kredensial administratif.

VMware menilai kelemahan keamanan tersebut sebagai tingkat keparahan yang tinggi dengan memberinya skor dasar 8,6 dari 10.

Detail tentang cara mendapatkan patch keamanan untuk Operasi vRealize tersedia di artikel dukungan yang ditautkan di bawah ini:

Sumber: Bleeping Computer

Server Git PHP diretas untuk menambahkan backdoor ke kode sumber PHP

March 29, 2021 by Winnie the Pooh

Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.

Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.

Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.

Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.

Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.

“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.

Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.

Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.

Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.

Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini

Source : BleepingComputer

SolarWinds menambal bug eksekusi kode penting di Orion Platform

March 28, 2021 by Winnie the Pooh

SolarWinds telah merilis pembaruan keamanan untuk mengatasi empat kerentanan yang memengaruhi platform pemantauan TI Orion perusahaan, dua di antaranya memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh.

Platform Orion adalah solusi administrasi TI yang memungkinkan organisasi perusahaan untuk mengelola, mengoptimalkan, dan memantau infrastruktur TI lokal, hibrid, atau perangkat lunak sebagai layanan (SaaS) mereka.

SolarWinds juga menyertakan beberapa peningkatan keamanan dalam rilis Platform Orion baru ini, termasuk:

-Peningkatan pencegahan Orion XSS dan perbaikan terkait.
-Perbaikan saluran komunikasi untuk layanan SolarWinds internal.
-Perlindungan UAC DB Manager
-AngularJS ditingkatkan ke 1.8.0
-Moment.JS ditingkatkan ke 2.29.1
-Administrator dapat menyebarkan pembaruan keamanan dan peningkatan keamanan tambahan dengan menginstal rilis Platform Orion 2020.2.5.

sumber : www.bleepingcomputer.com

OpenSSL memperbaiki DoS yang parah, kerentanan validasi sertifikat

March 26, 2021 by Winnie the Pooh

Proyek OpenSSL telah mengeluarkan peringatan untuk dua kerentanan tingkat keparahan tinggi CVE-2021-3449 dan CVE-2021-3450 yang bersembunyi di produk OpenSSL.

OpenSSL adalah library perangkat lunak yang umum digunakan untuk membangun aplikasi jaringan dan server yang perlu membangun komunikasi yang aman.

Kerentanan ini meliputi:

CVE-2021-3449: Cacat Denial of Service (DoS) karena dereferensi penunjuk NULL yang hanya memengaruhi instance server OpenSSL, bukan klien.
CVE-2021-3450: Kerentanan validasi sertifikat Certificate Authority (CA) yang tidak tepat yang memengaruhi instance server dan klien.

Kerentanan DoS (CVE-2021-3449) di server OpenSSL TLS dapat menyebabkan server macet jika selama negosiasi ulang klien mengirim pesan ClientHello berbahaya.

Kerentanan hanya memengaruhi server OpenSSL yang menjalankan versi antara 1.1.1 dan 1.1.1j (keduanya inklusif) yang memiliki TLSv1.2 dan negosiasi ulang yang diaktifkan.

Namun, karena ini adalah konfigurasi default pada versi server OpenSSL ini, banyak server aktif yang berpotensi rentan. Klien OpenSSL tidak terpengaruh.

Untungnya, semua yang diperlukan untuk memperbaiki bug DoS ini adalah perbaikan satu baris, yang terdiri dari pengaturan peer_sigalgslen ke nol.

Kedua kerentanan diperbaiki di OpenSSL 1.1.1k dan pengguna disarankan untuk meningkatkan ke versi ini untuk melindungi instance mereka.

Sumber: Bleeping Computer

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

March 25, 2021 by Winnie the Pooh

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Cisco mengatasi bug kritis di klien Jabber untuk Windows, macOS dan beberapa OS lain

March 25, 2021 by Winnie the Pooh

Cisco telah mengatasi kerentanan eksekusi program arbitrer kritis yang berdampak pada beberapa versi perangkat lunak klien Cisco Jabber untuk Windows, macOS, Android, dan iOS.

Cisco Jabber adalah aplikasi konferensi web dan pesan instan yang memungkinkan pengguna mengirim pesan melalui Extensible Messaging and Presence Protocol (XMPP).

Kerentanan tersebut dilaporkan oleh Olav Sortland Thoresen dari Watchcom. Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa cacat tersebut saat ini tidak dieksploitasi di alam liar.

Cacat keamanan yang dilacak sebagai CVE-2021-1411 dinilai oleh Cisco dengan skor keparahan 9,9 / 10, dan itu disebabkan oleh validasi input yang tidak tepat dari konten pesan masuk.

Untungnya, untuk mengeksploitasi bug kritis ini, penyerang perlu diautentikasi ke server XMPP yang digunakan oleh perangkat lunak yang rentan untuk mengirim pesan XMPP perusak yang berbahaya ke perangkat target mereka.

Selain itu, kerentanan tidak memengaruhi perangkat lunak klien Cisco Jabber yang dikonfigurasi untuk mode Pesan Tim atau Hanya Telepon.

Namun, eksploitasi CVE-2021-1411 yang berhasil — yang tidak memerlukan interaksi pengguna — dapat mengaktifkan penyerang jarak jauh yang diautentikasi untuk mengeksekusi program sewenang-wenang di perangkat Windows, macOS, Android, atau iOS yang menjalankan perangkat lunak klien Jabber yang belum ditambal.

Selengkapnya: Bleeping Computer

Kerentanan kritis F5 BIG-IP sekarang ditargetkan dalam serangan yang sedang berlangsung

March 20, 2021 by Winnie the Pooh

Pada hari Kamis, perusahaan keamanan siber NCC Group mengatakan bahwa mereka berhasil mendeteksi eksploitasi liar dari kerentanan kritis yang baru-baru ini ditambal di perangkat jaringan F5 BIG-IP dan BIG-IQ.

Upaya eksploitasi telah dimulai awal minggu ini dan telah meningkat selama 24 jam terakhir, dengan aktivitas pemindaian massal terdeteksi oleh NCC Group dan Bad Packets.

“Mulai minggu ini dan terutama dalam 24 jam terakhir (18 Maret 2021) kami telah mengamati berbagai upaya eksploitasi terhadap infrastruktur honeypot kami,” kata Rich Warren dan Sander Laarhoven dari NCC Group.

Kerentanan keamanan yang coba dieksploitasi oleh penyerang ini adalah eksekusi perintah jarak jauh (RCE) yang tidak diautentikasi yang dilacak sebagai CVE-2021-22986, dan ini memengaruhi sebagian besar versi perangkat lunak F5 BIG-IP dan BIG-IQ.

Beberapa peneliti keamanan telah membagikan kode eksploitasi bukti konsep setelah merekayasa balik patch BIG-IP.

Eksploitasi bug yang berhasil (dengan tingkat keparahan 9.8 / 10) dapat menyebabkan gangguan sistem secara penuh, termasuk perpindahan lateral ke jaringan internal dan intersepsi lalu lintas aplikasi pengontrol.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings