Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Bug yang sudah berusia puluhan tahun di sudo Linux dapat disalahgunakan oleh semua pengguna yang login untuk mendapatkan hak akses root

by

Peneliti keamanan dari Qualys telah mengidentifikasi kerentanan heap buffer overflow di sudo yang dapat dimanfaatkan oleh pengguna nakal untuk mengambil alih sistem host.

Sudo adalah utilitas baris perintah open source yang banyak digunakan di Linux dan sistem operasi Unix lainnya. Ini dirancang untuk memberikan kontrol administratif pengguna yang dipilih dan tepercaya saat diperlukan.

Bug (CVE-2021-3156) yang ditemukan oleh Qualys, memungkinkan setiap pengguna lokal untuk mendapatkan akses level root pada host yang rentan dalam konfigurasi defaultnya.

Versi sudo yang terpengaruh adalah: 1.8.2 hingga 1.8.31p2 dan 1.9.0 hingga 1.9.5p1. Qualys mengembangkan eksploitasi untuk beberapa distribusi Linux, termasuk Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27), dan Fedora 33 (Sudo 1.9.2), dan biz keamanan percaya bahwa distribusi lain juga rentan.

Ubuntu dan Red Hat telah menerbitkan tambalan, dan distro Anda mungkin juga memilikinya, jadi tambalah segera.

Dalam artikelnya, peneliti Qualys menjelaskan, “set_cmnd() rentan terhadap buffer overflow berbasis heap, karena karakter out-of-bounds yang disalin ke buffer ‘user_args’ tidak disertakan dalam ukurannya.”

Dalam sebuah pernyataan, Mehul Revankar, VP manajemen produk dan teknik di Qualys, mengatakan kerentanan “mungkin merupakan kerentanan sudo paling signifikan dalam memori baru-baru ini (baik dalam hal cakupan dan dampak) dan telah bersembunyi di depan mata selama hampir 10 tahun.”

Sumber: The Register

Update Iphone dan Ipad anda Sekarang Juga

by

Apple mendesak pengguna iPhone dan iPad untuk segera memperbarui sistem operasi mereka untuk memperbaiki bug keamanan yang mungkin telah dieksploitasi oleh peretas.

Pada halaman bantuan web apple, perusahaan mengatakan tiga celah keamanan “mungkin telah dieksploitasi secara aktif.” Apple memberikan catatan “Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sampai penyelidikan telah terjadi dan patch atau rilis tersedia.” karena masalah eksploitasinya adalah tautan dalam rantai eksploitasi, yang berarti peretas perlu mengeksploitasi bug lebih lanjut agar dapat dieksekusi sepenuhnya.

Perusahaan mengeluarkan tambalan keamanan pada hari Selasa sebagai bagian dari perangkat lunak iOS 14.4 baru, yang juga mencakup perbaikan untuk keyboard lag dan memungkinkan kode QR yang lebih kecil untuk dibaca oleh kamera.

Apple mengatakan dua masalah keamanan berasal dari WebKit, mesin browser open source yang digunakan oleh browser Safari dan iOS. “Penyerang jarak jauh mungkin dapat menyebabkan eksekusi kode arbitrer,” kata perusahaan itu dalam catatan deskripsi. Sementara itu, Kernel, kerangka kerja pengembang Apple, juga terpengaruh.

Kami menyarankan untuk segera melakukan update dengan cara berikut :
1. Setting > General
2. Pilih Software Update
3. Jika tersedia pilih Download and Install

Source : CNN

SonicWall mengatakan telah diretas menggunakan zero-days di produknya sendiri

by

Pembuat perangkat jaringan SonicWall mengatakan pada Jumat malam bahwa mereka sedang menyelidiki pelanggaran keamanan jaringan internalnya setelah mendeteksi apa yang digambarkannya sebagai “serangan terkoordinasi.”

Dalam pernyataan singkat yang diposting di portal basis pengetahuannya, perusahaan mengatakan bahwa “aktor ancaman yang sangat canggih” menargetkan sistem internalnya dengan “mengeksploitasi kemungkinan kerentanan zero-day pada produk akses jarak jauh aman SonicWall tertentu.”

Perusahaan mencantumkan klien VPN NetExtender dan gateway Secure Mobile Access (SMA) sebagai yang terkena dampak:

  • Klien VPN NetExtender versi 10.x (dirilis pada tahun 2020) digunakan untuk terhubung ke peralatan seri SMA 100 dan firewall SonicWall.
  • Akses Seluler Aman (SMA) versi 10.x yang berjalan pada peralatan fisik SMA 200, SMA 210, SMA 400, SMA 410, dan peralatan virtual SMA 500v.
  • SonicWall mengatakan bahwa seri SMA 1000 yang lebih baru tidak terpengaruh karena seri produk tersebut menggunakan klien VPN yang berbeda dari NetExtender.

Patch untuk kerentanan zero-day tidak tersedia pada saat artikel ini ditulis.

selengkapnya : ZDNET

Situs web baru diluncurkan untuk mendokumentasikan kerentanan pada jenis malware

by

Seorang peneliti keamanan meluncurkan bulan ini portal web yang mencantumkan kerentanan dalam kode strain malware umum. Peneliti berharap profesional keamanan lainnya akan menggunakan bug untuk merusak, menonaktifkan, dan menghapus malware pada host yang terinfeksi sebagai bagian dari operasi respons insiden.

Dibuat dan diluncurkan oleh pemburu bug John Page, portal MalVuln baru tersedia di malvuln.com.

Situs itu sendiri adalah portal pengungkapan kerentanan khas Anda. Ini mencantumkan nama perangkat lunak (dalam hal ini, nama malware), menjelaskan kerentanan secara detail teknis, dan memberikan kode eksploitasi bukti konsep (PoC) sehingga orang lain dapat mereproduksi masalah tersebut.

Page memberi tahu ZDNet bahwa dia membuat situs karena bosan selama penguncian COVID-19 baru-baru ini.

selengkapnya : ZDNET

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

by

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

by

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet

Milis keamanan BugTraq yang ikonik ditutup setelah 27 tahun

by

BugTraq, salah satu milis pertama industri keamanan siber yang didedikasikan untuk mengungkap kelemahan keamanan kepada publik, hari ini mengumumkan penutupannya pada akhir bulan, pada 31 Januari 2021.

Situs ini memainkan peran penting dalam membentuk industri keamanan siber di hari-hari awalnya.

Didirikan oleh Scott Chasin pada 5 November 1993, BugTraq menyediakan portal terpusat pertama di mana peneliti keamanan dapat mengekspos kerentanan setelah vendor menolak untuk merilis patch.

Portal itu ada selama bertahun-tahun di zona abu-abu legal. Diskusi di situs tentang legalitas “mengungkapkan” kelemahan keamanan ketika vendor menolak untuk menambal adalah hal yang membentuk sebagian besar pedoman pengungkapan kerentanan saat ini, aksioma yang digunakan sebagian besar pemburu bug saat ini.

selengkapnya : ZDNET

Cacat Cisco Tingkat Keparahan Tinggi Ditemukan di Perangkat Lunak CMX Untuk Retail

by

Cacat yang sangat parah dalam solusi Wi-Fi pintar Cisco untuk pengecer dapat memungkinkan penyerang jarak jauh untuk mengubah kata sandi pengguna akun mana pun pada sistem yang terpengaruh.

Kerentanan tersebut merupakan bagian dari sejumlah tambalan yang dikeluarkan oleh Cisco yang menangani 67 CVE tingkat keparahan tinggi pada hari Rabu. Ini termasuk kekurangan yang ditemukan di AnyConnect Secure Mobility Client Cisco, serta router bisnis kecil Cisco RV110W, RV130, RV130W, dan RV215W.

Cacat paling serius menimpa Cisco Connected Mobile Experiences (CMX), solusi perangkat lunak yang digunakan pengecer untuk memberikan wawasan bisnis atau analitik pengalaman pelanggan di tempat. Solusinya menggunakan infrastruktur nirkabel Cisco untuk mengumpulkan harta karun data dari jaringan Wi-Fi pengecer, termasuk pelacakan lokasi pelanggan secara waktu nyata.

Misalnya, jika pelanggan terhubung ke jaringan Wi-Fi toko yang menggunakan CMX, pengecer dapat melacak lokasi mereka di dalam tempat tersebut, mengamati perilaku mereka, dan memberikan penawaran atau promosi khusus kepada mereka-saat mereka berada di sana.

Kerentanan (CVE-2021-1144) disebabkan oleh penanganan pemeriksaan otorisasi yang salah untuk mengubah sandi. Cacat tersebut menempati urutan 8.8 dari 10 pada skala kerentanan-keparahan CVSS, menjadikannya sangat parah. Catatan, untuk mengeksploitasi kekurangan tersebut, penyerang harus memiliki akun CMX yang diautentikasi – tetapi tidak memerlukan hak administratif.

Admin memiliki berbagai hak istimewa, termasuk kemampuan untuk menggunakan perintah File Transfer Protocol (FTP) untuk mencadangkan dan memulihkan data di Cisco CMX dan mendapatkan akses ke kredensial (untuk membuka kunci pengguna yang telah terkunci dari akun mereka).

Kerentanan ini memengaruhi rilis Cisco CMX 10.6.0, 10.6.1, dan 10.6.2; masalah telah diperbaiki di Cisco CMX rilis 10.6.3 dan yang lebih baru.

Cacat tingkat keparahan tinggi lainnya (CVE-2021-1237) ada di Cisco AnyConnect Secure Mobility Client untuk Windows. AnyConnect Secure Mobility Client, produk perangkat lunak titik akhir modular, menyediakan berbagai layanan keamanan (seperti akses jarak jauh, fitur keamanan web, dan perlindungan roaming) untuk titik akhir.

Dan, lima CVE lagi (CVE-2021-1146, CVE-2021-1147, CVE-2021-1148, CVE-2021-1149 dan CVE-2021-1150) di router Cisco Small Business RV110W, RV130, RV130W, dan RV215W dapat mengizinkan penyerang jarak jauh yang diautentikasi untuk memasukkan perintah arbitrer yang dijalankan dengan hak akses root.

sumber :ThreatPost