Vulnerability

Para ahli menemukan tiga bug baru berusia 15 tahun dalam modul kernel Linux

March 14, 2021 by Winnie the Pooh

Peneliti GRIMM menemukan tiga kerentanan dalam komponen SCSI (Small Computer System Interface) dari kernel Linux, masalah tersebut dapat dieksploitasi oleh penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

Antarmuka Sistem Komputer Kecil mendefinisikan bus I / O paralel dan protokol data untuk menghubungkan berbagai periferal (disk drive, tape drive, modem, printer, pemindai, drive optik, peralatan uji, dan perangkat medis) ke host komputer.
Cacat ada pada komponen sejak dikembangkan pada tahun 2006.

Kerentanan pertama, dilacak sebagai CVE-2021-27365, adalah heap buffer overflow di subsistem iSCSI.

“Kerentanan dipicu dengan menyetel atribut string iSCSI ke nilai yang lebih besar dari satu halaman, lalu mencoba membacanya.” membaca analisis yang diterbitkan oleh peneliti GRIMM. “Lebih khusus lagi, pengguna tanpa hak istimewa dapat mengirim pesan netlink ke subsistem iSCSI (dalam driver / scsi / scsi_transport_iscsi.c) yang menetapkan atribut yang terkait dengan koneksi iSCSI, seperti nama host, nama pengguna, dll, melalui fungsi helper di driver / scsi /libiscsi.c. Atribut ini hanya dibatasi ukurannya dengan panjang maksimum pesan netlink (baik 232 atau 216 bergantung pada kode tertentu yang memproses pesan). ”

Kerentanan kedua, dilacak sebagai CVE-2021-27363, adalah kerentanan heap overflow. Para peneliti menemukan kebocoran kernel pointer yang dapat digunakan untuk menentukan alamat struktur iscsi_transport.

Cacat terakhir, dilacak sebagai CVE-2021-27364, adalah masalah pembacaan kernel di luar batas yang terdapat dalam modul libiscsi (drivers / scsi / libiscsi.c).

selengkapnya : securityaffairs.co

F5 mendesak pelanggan untuk menambal bug RCE pre-auth BIG-IP yang penting

March 12, 2021 by Winnie the Pooh

F5 Networks, penyedia terkemuka perlengkapan jaringan perusahaan, telah mengumumkan empat kerentanan eksekusi kode jarak jauh (RCE) kritis yang memengaruhi sebagian besar versi perangkat lunak BIG-IP dan BIG-IQ.

F5 BIG-IP perangkat lunak dan pelanggan perangkat keras termasuk pemerintah, perusahaan Fortune 500, bank, penyedia layanan internet, dan merek konsumen (termasuk Microsoft, Oracle, dan Facebook), dengan perusahaan mengklaim bahwa “48 dari Fortune 50 mengandalkan F5”.

Empat kerentanan kritis yang tercantum di bawah ini juga mencakup cacat keamanan RCE pre-auth (CVE-2021-22986) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada perangkat BIG-IP yang disusupi:

CVE-2021-22986: iControl REST unauthenticated remote command execution (9.8/10)
CVE-2021-22987: Appliance Mode TMUI authenticated remote command execution
CVE-2021-22991: TMM buffer-overflow (9.0/10)
CVE-2021-22992: Advanced WAF/ASM buffer-overflow (9.0/10)

Eksploitasi yang berhasil dari kerentanan BIG-IP RCE yang kritis dapat menyebabkan gangguan sistem penuh, termasuk intersepsi lalu lintas aplikasi pengontrol dan perpindahan lateral ke jaringan internal.

F5 juga menerbitkan peringatan keamanan pada tiga kerentanan RCE lainnya (dua tinggi dan satu medium, dengan peringkat keparahan CVSS antara 6,6 dan 8,8), memungkinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sistem sewenang-wenang.

Tujuh kerentanan diperbaiki dalam versi BIG-IP berikut: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, dan 11.6.5.3.

Sumber: Bleeping Computer

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

March 12, 2021 by Winnie the Pooh Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Zero day kritis yang menargetkan peneliti keamanan mendapat tambalan dari Microsoft

March 11, 2021 by Winnie the Pooh

Microsoft telah menambal kerentanan zero-day kritis yang digunakan peretas Korea Utara untuk menargetkan peneliti keamanan dengan malware.

Serangan di alam liar terungkap pada bulan Januari di postingan dari Google dan Microsoft. Peretas yang didukung oleh pemerintah Korea Utara, kata kedua unggahan tersebut, menghabiskan berminggu-minggu mengembangkan hubungan kerja dengan peneliti keamanan. Untuk memenangkan kepercayaan para peneliti, para peretas membuat blog penelitian dan persona Twitter yang menghubungi peneliti untuk menanyakan apakah mereka ingin berkolaborasi dalam suatu proyek.

Akhirnya, profil Twitter palsu meminta para peneliti untuk menggunakan Internet Explorer untuk membuka halaman web. Mereka yang mengambil umpan akan menemukan bahwa mesin Windows 10 mereka yang sepenuhnya ditambal memasang layanan jahat dan in-memory backdoor yang menghubungi server yang dikendalikan peretas.

Microsoft pada hari Selasa memperbaiki kerentanan tersebut. CVE-2021-26411, dinilai kritis dan hanya membutuhkan kode serangan dengan kompleksitas rendah untuk dieksploitasi.

Google hanya mengatakan bahwa orang-orang yang menghubungi para peneliti bekerja untuk pemerintah Korea Utara. Microsoft mengatakan mereka adalah bagian dari Zinc, nama Microsoft untuk grup ancaman yang lebih dikenal sebagai Lazarus.

Meskipun Microsoft mendeskripsikan CVE-2021-26411 sebagai “Kerentanan Korupsi Memori Internet Explorer,” advisory hari Senin mengatakan kerentanan juga memengaruhi browser Edge nya.

Selengkapnya: Ars Technica

Bug iPhone Call Recorder memiliki akses ke percakapan orang lain

March 10, 2021 by Winnie the Pooh

Aplikasi perekaman panggilan iOS menambal kerentanan keamanan yang memberi siapa pun akses ke percakapan ribuan pengguna hanya dengan memberikan nomor telepon yang benar.

Nama aplikasinya adalah “Automatic call recorder” atau “Acr call recorder” dan memiliki ribuan ulasan pengguna di App Store dengan peringkat di atas 4 bintang; itu juga telah terdaftar di antara aplikasi perekaman panggilan teratas untuk iPhone.

Menggunakan kecerdasan sumber terbuka, peneliti keamanan Anand Prakash, pendiri PingSafe AI, menemukan penyimpanan cloud aplikasi di Amazon bersama dengan nama host dan beberapa data sensitif yang digunakannya.

Dengan meneruskan lalu lintas jaringan aplikasi melalui alat web proxy seperti Burp atau Zap, penyerang dapat memasukkan nomor telepon pengguna aplikasi mana pun dalam permintaan rekaman.

Karena API yang merespons tidak menjalankan otentikasi apa pun, itu mengembalikan rekaman yang terkait dengan nomor telepon yang diteruskan dalam permintaan. Terlebih lagi, aplikasi itu juga membocorkan seluruh riwayat panggilan pengguna tersebut, kata Prakash.

Zack Whittaker dari outlet media menghubungi pengembang aplikasi, yang merilis versi baru dengan perbaikan tersebut.

Menurut Whittaker, penyimpanan aplikasi di Amazon berisi lebih dari 130.000 rekaman dengan berat sekitar 300 gigabyte.

Sumber: Bleeping Computer

Microsoft telah diperingatkan beberapa bulan yang lalu – sekarang, peretasan Hafnium telah berkembang menjadi sangat besar

March 9, 2021 by Winnie the Pooh Leave a Comment

Pada hari Jumat, jurnalis keamanan siber Brian Krebs dan Andy Greenberg melaporkan bahwa sebanyak 30.000 organisasi telah disusupi dalam peretasan server email yang belum pernah terjadi sebelumnya, diyakini berasal dari kelompok peretasan Cina yang disponsori negara yang dikenal sebagai Hafnium.

Krebs sekarang telah menyusun garis waktu dasar dari peretasan Exchange Server besar-besaran, dan dia mengatakan Microsoft telah mengonfirmasi bahwa pihaknya telah mengetahui kerentanan pada awal Januari.

Itu hampir dua bulan sebelum Microsoft mengeluarkan rangkaian tambalan pertama, di samping entri blog yang tidak menjelaskan cakupan atau skala serangan tersebut.

Sekarang, MIT Technology Review melaporkan bahwa Hafnium mungkin bukan satu-satunya ancaman, mengutip seorang analis keamanan siber yang mengklaim setidaknya ada lima kelompok peretas yang secara aktif mengeksploitasi kelemahan Exchange Server pada hari Sabtu. Pejabat pemerintah dilaporkan berebut untuk melakukan sesuatu, dengan seorang pejabat negara mengatakan kepada Cyberscoop bahwa itu “masalah besar”.

Pada titik ini, sudah jelas bahwa siapa pun yang memasang Server Microsoft Exchange lokal (2010, 2013, 2016, atau 2019) perlu menambal dan memindai, tetapi kita baru mulai memahami cakupan kerusakannya. Peretas dilaporkan memasang perangkat lunak perusak yang dapat membiarkan mereka kembali ke server itu lagi, dan kita belum tahu apa yang mungkin telah mereka ambil.

Selengkapnya: The Verge

Beberapa Pembaruan Keamanan Dirilis untuk Exchange Server – diperbarui 5 Maret 2021

March 6, 2021 by Winnie the Pooh

Hari ini Microsoft merilis beberapa pembaruan keamanan untuk Microsoft Exchange Server untuk mengatasi kerentanan yang telah digunakan dalam serangan bertarget terbatas. Karena sifat kritis dari kerentanan ini, Microsoft menyarankan agar pelanggan segera menerapkan pembaruan ke sistem yang terpengaruh untuk melindungi dari eksploitasi ini dan untuk mencegah penyalahgunaan di masa mendatang di seluruh ekosistem. Kerentanan memengaruhi Microsoft Exchange Server. Exchange Online tidak terpengaruh.

Versi yang terpengaruh adalah:

Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Server Microsoft Exchange 2019

Kami menyarankan untuk memprioritaskan penginstalan pembaruan pada Server Exchange yang menghadap ke luar. Semua Server Exchange yang terpengaruh pada akhirnya harus diperbarui.

Informasi dan panduan lebih lanjut

Tidak terkait dengan serangan yang diketahui

Microsoft menyediakan teknik mitigasi alternatif berikut untuk membantu pelanggan Microsoft Exchange yang membutuhkan lebih banyak waktu untuk menambal penerapan mereka dan bersedia melakukan pertukaran risiko dan fungsi layanan.

Mitigasi pada link di atas bukanlah perbaikan jika server Exchange Anda telah disusupi, juga bukan perlindungan penuh terhadap serangan. Kami sangat menyarankan untuk menyelidiki penerapan Exchange Anda menggunakan rekomendasi berburu di sini untuk memastikan bahwa mereka tidak disusupi.

selengkapnya :

Microsoft Security Response Center – March 5

Ditemukan lubang keamanan jaringan Linux dengan tingkat keparahan tinggi, diperbaiki

March 4, 2021 by Winnie the Pooh

Pengembang keamanan Linux muda dan sedang naik daun Alexander Popov dari Russia’s Positive Technologies menemukan dan memperbaiki satu set lima lubang keamanan dalam implementasi soket virtual kernel Linux. Penyerang dapat menggunakan kerentanan ini (CVE-2021-26708) untuk mendapatkan akses root dan melumpuhkan server dalam serangan Denial of Service (DoS).

Dengan skor dasar Common Vulnerability Scoring System (CVSS) v3 7.0, dengan tingkat keparahan yang tinggi, administrator Linux yang cerdas akan menambal sistem mereka sesegera mungkin.

Meskipun Popov menemukan bug di server Fedora 33 distribusi Linux komunitas Red Hat, bug tersebut ada di sistem yang menggunakan kernel Linux dari versi 5.5 November 2019 hingga kernel jalur utama saat ini versi 5.11-rc6.

Celah ini memasuki Linux ketika dukungan multi-transport soket virtual ditambahkan. Transportasi jaringan ini memfasilitasi komunikasi antara mesin virtual (VM) dan hostnya. Ini biasanya digunakan oleh agen tamu dan layanan hypervisor yang memerlukan saluran komunikasi yang independen dari konfigurasi jaringan VM. Dengan demikian, orang-orang yang menjalankan VM di cloud, yang merupakan hampir semua orang saat ini, sangat rentan.

Popov juga menyiapkan tambalan dan mengungkapkan kerentanan kepada tim keamanan kernel Linux. Greg Kroah-Hartman, kepala pengelola kernel Linux yang stabil, menerima tambalan ke Linux 5.10.13 pada tanggal 3 Februari. Sejak itu, tambalan tersebut telah digabungkan ke dalam kernel versi utama versi 5.11-rc7 dan di-backport ke pohon stabil yang terpengaruh.

Patch juga telah dimasukkan ke dalam distribusi Linux yang populer seperti Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu, dan SUSE.

selengkapnya : ZDNET

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings