Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

WordPress Menambal Bug RCE Keparahan Tinggi Berusia 3 Tahun

by

WordPress merilis pembaruan 5.5.2 untuk platform perangkat lunak penerbitan web nya.

Pembaruan ini menambal bug dengan tingkat keparahan tinggi, yang dapat memungkinkan penyerang jauh yang tidak diautentikasi untuk mengambil alih situs web yang ditargetkan melalui serangan denial-of-service yang telah disesuaikan.

Secara keseluruhan, Rilis Keamanan dan Pemeliharaan WordPress menangani 10 bug keamanan dan juga membawa banyak peningkatan fitur ke platform. WordPress mengatakan pembaruan tersebut adalah “rilis keamanan dan pemeliharaan siklus pendek” sebelum rilis utama berikutnya versi 5.6. Dengan pembaruan ini, semua versi sejak WordPress 3.7 juga akan menjadi yang terbaru.

Peneliti yang menemukan bug tersebut, Omar Ganiev, pendiri DeteAct, mengatakan kepada Threatpost bahwa dampak kerentanan mungkin tinggi, tetapi kemungkinan musuh dapat mereproduksi serangan di alam liar rendah.

Baik WordPress maupun Ganiev tidak percaya bahwa kerentanan telah dieksploitasi di alam liar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Google merisilis zero-day baru yang sedang dieksploitasi hacker

by

Google telah menjatuhkan rincian kerentanan yang sebelumnya tidak diungkapkan di Windows, yang dikatakan oleh peretas secara aktif mengeksploitasi. Akibatnya, Google memberi Microsoft waktu seminggu untuk memperbaiki kerentanan tersebut. Tenggat waktu itu datang dan pergi, dan Google menerbitkan detail kerentanan siang ini.

Kerentanan tersebut tidak memiliki nama tetapi diberi label CVE-2020-17087, dan memengaruhi setidaknya Windows 7 dan Windows 10.

Project Zero Google, kelompok elit pemburu bug keamanan yang membuat penemuan tersebut, mengatakan bahwa bug tersebut memungkinkan penyerang untuk meningkatkan tingkat akses pengguna mereka di Windows. Penyerang menggunakan kerentanan Windows sehubungan dengan bug terpisah di Chrome, yang diungkapkan dan diperbaiki Google minggu lalu. Bug baru ini memungkinkan penyerang untuk keluar dari kotak pasir Chrome, biasanya diisolasi dari aplikasi lain, dan menjalankan malware di sistem operasi.

Namun tidak jelas siapa penyerang atau motif mereka. Direktur Threat Intelligence Google Shane Huntley mengatakan bahwa serangan itu “ditargetkan” dan tidak terkait dengan pemilihan AS.

Seorang juru bicara Microsoft juga menambahkan bahwa serangan yang dilaporkan “sangat terbatas dan bertarget di internet, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas.”

Ini adalah yang terbaru dari daftar kelemahan utama yang memengaruhi Windows tahun ini. Microsoft mengatakan pada bulan Januari bahwa Badan Keamanan Nasional membantu menemukan bug kriptografi di Windows 10, meskipun tidak ada bukti eksploitasi. Namun pada bulan Juni dan September, Homeland Security mengeluarkan peringatan atas dua bug Windows “kritis” – satu yang memiliki kemampuan untuk menyebar ke seluruh internet, dan yang lainnya dapat memperoleh akses penuh ke seluruh jaringan Windows.

Source : Techcrunch

Bug Containerd Mengekspos Kredensial Akun Cloud

by

Kerentanan keamanan dapat dimanfaatkan untuk memaksa platform cloud containerd untuk mengungkap registri host atau kredensial akun cloud pengguna.

Containerd menyebut dirinya sebagai alat runtime yang “mengelola siklus hidup kontainer lengkap dari sistem hostnya, mulai dari transfer dan penyimpanan gambar hingga eksekusi kontainer dan pengawasan hingga penyimpanan tingkat rendah hingga lampiran jaringan dan seterusnya. Dengan demikian, ia menawarkan visibilitas yang dalam ke lingkungan cloud pengguna, di berbagai vendor.

Kerentanan ini (CVE-2020-15157) terletak dalam proses pengambilan gambar kontainer, menurut Gal Singer, peneliti di Aqua.

“Gambar kontainer adalah kombinasi dari file manifes dan beberapa file lapisan individu,” tulisnya dalam posting baru-baru ini. “File manifes [dalam format Gambar V2 Schema 2]… dapat berisi ‘lapisan asing’ yang ditarik dari registri jarak jauh. Saat menggunakan containerd, jika registri jarak jauh merespons dengan kode status HTTP 401, bersama dengan header HTTP tertentu, host akan mengirimkan token autentikasi yang dapat dicuri.”

Non-Trivial Exploitation

Peneliti Brad Geesaman di Darkbit, yang melakukan penelitian tentang kerentanan (yang ia sebut “ContainerDrip”), mengumpulkan proof-of-concept (PoC) untuk vektor serangan terkait.

“Pertanyaannya menjadi: ‘Bagaimana caranya membuat mereka mengirim kredensial mereka kepada saya [untuk otentikasi registri jarak jauh]?'” Katanya dalam sebuah posting awal bulan ini. “Ternyata, yang harus Anda lakukan adalah menanyakan pertanyaan yang tepat.”

Containerd telah menambal kerentanan ini, yang terdaftar dengan tingkat keparahan medium, di versi 1.2.4; containerd 1.3.x tidak rentan.

Untuk detail teknis dan PoC dapat dilihat pada tautan berikut:
Source: The Threat Post

Cisco Memperingatkan Kelemahan DoS yang Parah dalam Perangkat Lunak Keamanan Jaringan

by

Cisco telah mengatasi banyak kerentanan tingkat tinggi di seluruh jajaran produk keamanan jaringannya.

Cacat yang paling parah dapat dimanfaatkan oleh penyerang jarak jauh yang tidak diautentikasi untuk meluncurkan passel serangan berbahaya – dari penolakan layanan (DoS) hingga pemalsuan permintaan lintas situs (cross-site request forgery/CSRF).

Kerentanan ada di perangkat lunak Cisco Firepower Threat Defense (FTD), yang merupakan bagian dari rangkaian produk keamanan jaringan dan manajemen lalu lintas; dan perangkat lunak Adaptive Security Appliance (ASA), sistem operasi untuk keluarga perangkat keamanan jaringan perusahaan ASA.

“Tim Respons Insiden Keamanan Produk Cisco tidak mengetahui pengumuman publik atau penggunaan jahat dari kerentanan yang dijelaskan dalam advisory ini,” menurut Cisco dalam pembaruan yang dirilis pada hari Rabu.

Cacat (CVE-2020-3456) mendapat nilai 8,8 dari 10 pada skala CVSS, dan berasal dari perlindungan CSRF yang tidak mencukupi di antarmuka FCM. Kerentanan ini dapat dieksploitasi untuk mengaktifkan CSRF – yang berarti bahwa ketika penyerang diautentikasi di server, mereka juga memiliki kendali atas klien.

Berita selengkapnya dapat diakses melalui tautan berikut;
Source: The Threat Post

WordPress menyebarkan pembaruan keamanan paksa untuk bug berbahaya di plugin populer

by

Tim keamanan WordPress telah mengambil langkah langka minggu lalu dan menggunakan kemampuan internal yang kurang dikenal untuk secara paksa mendorong pembaruan keamanan untuk plugin populer.

Situs WordPress yang menjalankan plugin Loginizer secara paksa diperbarui minggu ini ke Loginizer versi 1.6.4.

Versi ini berisi perbaikan keamanan untuk bug injeksi SQL berbahaya yang dapat memungkinkan peretas mengambil alih situs WordPress yang menjalankan versi lama plugin Loginizer.

Loginizer adalah salah satu plugin WordPress paling populer saat ini, dengan basis penginstalan lebih dari satu juta situs.

Plugin ini memberikan peningkatan keamanan untuk halaman login WordPress. Menurut deskripsi resminya, Loginizer dapat membuat daftar hitam atau daftar putih alamat IP dari mengakses halaman login WordPress, dapat menambahkan dukungan untuk otentikasi dua faktor, atau dapat menambahkan CAPTCHA sederhana untuk memblokir upaya login otomatis, di antara banyak fitur lainnya.

Bug ini adalah salah satu masalah keamanan terburuk yang ditemukan di plugin WordPress dalam beberapa tahun terakhir, dan itulah mengapa tim keamanan WordPress tampaknya telah memutuskan untuk secara paksa mendorong patch Loginizer 1.6.4 ke semua situs yang terpengaruh.

Berita selengkapnya dapat dibaca pada tautan berikut ini;
Source: ZDNet

Adobe Memperbaiki 16 Bug Eksekusi Kode Kritis di Seluruh Produknya

by

Adobe telah merilis 18 patch keamanan out-of-band dalam 10 paket perangkat lunak yang berbeda, termasuk perbaikan untuk kerentanan kritis yang tersebar di seluruh rangkaian produknya. Adobe Illustrator terpukul paling keras.

Ada 16 bug kritis, yang semuanya memungkinkan eksekusi kode arbitrer dalam konteks pengguna saat ini. Mereka mempengaruhi Adobe Illustrator, Adobe Animate, Adobe After Effects, Adobe Photoshop, Adobe Premiere Pro, Adobe Media Encoder, Adobe InDesign dan Aplikasi Adobe Creative Cloud Desktop.

Banyak masalah menyangkut elemen jalur pencarian yang tidak terkontrol, tetapi ada juga masalah di luar batas, masalah kerusakan memori, dan bug cross-site scripting (XSS).

Untuk bug penulisan dan pembacaan di luar batas “terjadi karena Illustrator tidak memvalidasi data yang disediakan pengguna dengan benar, yang dapat mengakibatkan penulisan dan pembacaan melewati akhir struktur yang dialokasikan,” kata Dustin Childs, manajer komunikasi untuk Zero Day Initiative dari Trend Micro.

Tambalan out-of-band mengikuti pengungkapan satu kerentanan pada bulan Oktober sebagai bagian dari tambalan terjadwal rutin Adobe (kurang dari 18 kerentanan yang diatasi selama pembaruan reguler bulan September).

Itu adalah bug kritis dalam aplikasi Flash Player untuk pengguna di sistem operasi Windows, macOS, Linux, dan ChromeOS (CVE-2020-9746). Jika berhasil dieksploitasi, itu dapat menyebabkan crash yang dapat dieksploitasi, berpotensi mengakibatkan eksekusi kode arbitrer dalam konteks pengguna saat ini, menurut Adobe.

Pada bulan ini juga, Adobe mengumumkan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart. Mereka dapat mengizinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Bug Pada Browser Seluler Membuat Pengguna Safari dan Opera Dapat Terinfeksi Malware

by

Serangkaian kerentanan spoofing address-bar yang memengaruhi sejumlah browser seluler membuka pintu bagi pengiriman malware, phishing, dan kampanye disinformasi.

Bug tersebut, dilaporkan oleh Rapid7 dan peneliti independen Rafay Baloch, memengaruhi enam browser, mulai dari yang umum (Apple Safari, Opera Touch/Mini, dan Yandex), hingga yang kurang umum (Bolt Browser, RITS Browser, dan UC Browser). Mereka memungkinkan penyerang menampilkan alamat palsu untuk halaman web – yang merupakan masalah di dunia seluler, di mana URL sering kali menjadi satu-satunya verifikasi keabsahan yang dimiliki pengguna sebelum menavigasi ke situs web.

“Browser seluler adalah jenis perangkat lunak yang cukup khusus yang akhirnya bertindak sebagai jalur ganda pengguna untuk semua jenis aplikasi penting dalam kehidupan sehari-hari mereka,” jelas direktur riset Rapid7 Tod Beardsley, dalam sebuah blog pada hari Selasa. Pada dasarnya, jika browser Anda memberi tahu Anda bahwa pemberitahuan pop-up atau halaman ‘dari’ bank Anda, atau beberapa layanan penting lainnya yang Anda andalkan, Anda benar-benar harus memiliki beberapa mekanisme untuk memvalidasi sumber itu. Di browser seluler, sumber itu dimulai dan diakhiri dengan URL seperti yang ditunjukkan di address bar.”

Karena kurangnya real estat untuk indikator keamanan di layar seluler, browser biasanya memblokir pengembang untuk mengubah apa pun di address bar. Apa yang ditampilkan di layar harus sesuai dengan tempat halaman sebenarnya dihosting, sehingga hampir tidak mungkin untuk memalsukan lokasi teks atau gambar secara meyakinkan. Namun, kelompok bug ini memungkinkan penyerang untuk menghindari perlindungan semacam itu.

“Bug ini memungkinkan penyerang untuk mengganggu waktu antara pemuatan halaman dan ketika browser mendapat kesempatan untuk menyegarkan address bar,” kata Baloch, dalam makalah teknis yang juga diposting pada hari Selasa.

“Mereka dapat menyebabkan pop-up tampak berasal dari situs web arbitrer atau dapat membuat konten di jendela browser yang secara keliru tampak berasal dari situs web arbitrer.”

Baloch merilis eksploitasi bukti konsep (PoC) yang mendemonstrasikan kerentanan spoofing berbasis browser di Safari untuk iOS dan Mac (CVE-2020-9987).

Berikut adalah daftar browser yang terpengaruh dan CVE yang ditetapkan:

Sumber: Threat Post

Berita selengkapnya:
Source: The Threat Post

Cacat Keamanan di Aplikasi Desktop Discord Memungkinkan Peretas Mengambil Alih Sistem

by

Platform perpesanan instan dan VoIP populer, Discord, memiliki kerentanan di aplikasi desktopnya yang terbuka untuk serangan eksekusi kode jarak jauh (RCE). Pertama kali diungkapkan oleh pemburu bug bounty Masato Kinugawa, RCE dapat dieksploitasi untuk mengambil alih komputer korban.

Kinugawa pertama kali mendeteksi kerentanan beberapa bulan lalu dan melaporkannya melalui program bug bounty Discord. Dalam deskripsi detail di blognya, dia mengatakan kerentanan tersebut merupakan kombinasi dari beberapa bug – tidak ada contextIsolation, XSS di sematan iframe, dan bypass pembatasan navigasi.

Penyebab utama bug adalah Electron, kerangka kerja perangkat lunak sumber terbuka yang membantu dalam membuat aplikasi lintas platform menggunakan CSS, JavaScript, dan HTML. Aplikasi perpesanan desktop Discord bukan open source tetapi memiliki kode JavaScript yang digunakan Electron. Kode disimpan secara lokal.

Dia menambahkan bahwa ketika dia mencoba menemukan cara untuk mengeksekusi JavaScript di aplikasi Electron, dia menemukan cacat cross-site scripting (XSS) di iframe. Ini digunakan untuk menyematkan video yang dapat ditampilkan dalam obrolan atau halaman web.

Ketika peneliti memeriksa domain di iframe, dia menemukan Sketchfab yang memungkinkan tampilan konten 3D di halaman web. Meskipun Sketchfab dapat disematkan di iframe, ia menemukan kerentanan XSS berbasis DOM (Document Object Model) di halaman sematan yang dapat disalahgunakan.

Berikut adalah video dimana Masato Kinugawa, dengan menggabungkan tiga bug yang ia temukan, dapat mencapai RCE.