Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Plugin WordPress dengan 5 juta penginstalan memiliki kerentanan kritis

by

Tim di balik plugin WordPress yang populer telah mengungkapkan kerentanan unggahan file penting dan telah merilis update untuk perbaikan.

Plugin yang rentan, Contact Form 7, memiliki lebih dari 5 juta penginstalan aktif yang membuat upgrade mendesak ini menjadi kebutuhan bagi pemilik situs WordPress di luar sana.

Minggu ini, proyek Contact Form 7 telah mengungkapkan kerentanan unggahan file yang tidak dibatasi (menunggu CVE) di plugin WordPress yang dapat memungkinkan penyerang untuk melewati perlindungan sanitasi nama file Contact Form 7 saat mengunggah file.

Penyerang dapat mengupload file yang dibuat dengan kode apapun di server yang rentan menggunakan plugin.

Kemudian, dengan mengeksploitasi kerentanan yang parah ini, file dapat dieksekusi sebagai skrip oleh penyerang untuk menjalankan kode di dalamnya.

“Contact Form 7 5.3.2 telah dirilis. Ini adalah rilis keamanan dan pemeliharaan yang mendesak. Kami sangat menganjurkan Anda untuk segera memperbaruinya,” tulisnya dalam sebuah pengunguman.

Kerentanan tersebut telah ditemukan dan dilaporkan oleh Jinson Varghese Behanan, seorang analis keamanan informasi di Astra Security.

Dalam versi yang rentan, plugin tidak menghapus karakter khusus dari nama file yang diunggah, termasuk karakter kontrol dan pemisah.

Hal ini berpotensi memungkinkan penyerang mengunggah nama file yang berisi ekstensi ganda, dipisahkan oleh karakter khusus atau non-printable, seperti file bernama “abc.php .jpg”.

Perbaikan yang dibuat oleh tim Contact Form 7, berisi validasi berbasis regex untuk menangkap kasus seperti ini:

Sumber: Bleeping Computer

Sumber: Bleeping Computer

DAMPAK GLOBAL AMNESIA:33

by

Forescout Research Labs menemukan 33 kerentanan yang memengaruhi jutaan perangkat IoT, OT, dan IT yang menghadirkan risiko langsung bagi organisasi di seluruh dunia.

AMNESIA: 33 adalah serangkaian 33 kerentanan yang memengaruhi empat stack TCP/IP open source (uIP, FNET, picoTCP, dan Nut/Net), yang secara kolektif berfungsi sebagai komponen dasar dari jutaan perangkat yang terhubung di seluruh dunia.

Kerentanan ini terutama menyebabkan kerusakan memori, memungkinkan penyerang menyusupi perangkat, mengeksekusi kode berbahaya, melakukan serangan denial-of-service, dan mencuri informasi sensitif.

Lebih lengkapnya dapat dibaca pada tautan berikut:
Sumber: Fore Scout

Bug Cisco 9.9/10-severity: Tambal kerentanan Jabber yang berbahaya ini pada Windows dan macOS

by

Cisco telah meluncurkan patch untuk beberapa kelemahan kritis yang memengaruhi klien Jabber untuk Windows, MacOS, dan aplikasi seluler untuk iOS dan Android.

Cacatnya buruk, dengan yang terburuk memiliki peringkat keparahan 9,9. Yang lebih buruk, cacat itu dimaksudkan untuk diperbaiki tiga bulan lalu dalam pembaruan untuk Jabber, tak lama setelah para peneliti merilis kode proof-of-concept eksploitasi untuk bug wormable, yang dapat dieksploitasi melalui pesan instan.

Jabber adalah platform enterprise chat dan pesan instan Cisco yang banyak digunakan, yang diakuisisi pada tahun 2008. Aplikasi ini didasarkan pada Chromium Embedded Framework (CEF), yang memungkinkan pengembang untuk menyematkan browser web berbasis Chromium dalam sandbox asli di aplikasi mereka.

Cisco mengatakan bahwa bug ini memungkinkan penyerang untuk “mengeksekusi program apapun pada sistem operasi yang mendasarinya dengan hak istimewa yang lebih tinggi atau mendapatkan akses ke informasi sensitif”.

Cisco mencatat bahwa kerentanan penanganan pesan baru dapat dieksploitasi jika penyerang dapat mengirim pesan Extensible Messaging and Presence Protocol (XMPP) ke sistem pengguna akhir yang menjalankan Cisco Jabber.

Tiga bug yang belum diperbaiki sepenuhnya dilacak sebagai CVE-2020-26085, CVE-2020-27127, dan CVE-2020-27132.

Watchcom melaporkan empat kerentanan ke Cisco awal tahun ini, dan itu diungkapkan oleh raksasa jaringan pada bulan September. Tetapi tiga di antaranya tidak diperbaiki dengan benar dalam pembaruan pada saat itu, menurut Watchcom.

Cisco juga menemukan dua bug tambahan di Jabber selama pengujian internal. Mereka dilacak sebagai CVE-2020-27133 dan CVE-2020-27134.

Sumber: ZDNet

Kerentanan eksekusi kode jarak jauh ditemukan di platform seluler Starbucks

by

Bug potensial eksekusi kode jarak jauh (RCE) telah ditambal di salah satu domain seluler Starbucks.

Raksasa kopi AS menjalankan platform bug bounty di HackerOne. Laporan kerentanan baru yang dikirimkan oleh Kamil “ko2sec” Onur Özkaleli, pertama kali dikirimkan pada 5 November dan dipublikasikan pada 9 Desember, menjelaskan masalah RCE yang ditemukan di mobile.starbucks.com.sg, sebuah platform untuk pengguna Singapura.

Menurut advisory, ko2sec menemukan endpoint .ashx di mobile.starbucks.com.sg yang dimaksudkan untuk menangani file gambar.

Namun, endpoint tidak membatasi upload jenis file, yang berarti penyerang yang menyalahgunakan masalah tersebut dan berpotensi mengupload file berbahaya lalu mengeksekusi kode arbitrer dari jarak jauh.

CVE belum dikeluarkan untuk kerentanan kritis tetapi skor keparahan 9,8 telah ditambahkan ke laporan.

RCE bukan satu-satunya pengajuan yang dibuat peneliti ke Starbucks. Pada bulan Oktober, Ko2sec menggambarkan eksploitasi pengambilalihan akun di situs web Starbucks Singapura yang disebabkan oleh open test environments.

Sangat memungkinkan untuk menargetkan pengguna dengan mengetahui alamat email mereka, melihat informasi pribadi mereka, dan bahkan menggunakan kredit apa pun yang dimuat di dompet akun mereka untuk melakukan pembelian.

Sumber: ZDNet

Adobe memperbaiki kerentanan keamanan kritis di Lightroom, Prelude

by

Adobe telah merilis pembaruan keamanan untuk mengatasi bug keamanan tingkat keparahan kritis yang memengaruhi Adobe Lightroom dan Adobe Prelude versi Windows dan macOS.

Secara total, perusahaan mengatasi empat kerentanan keamanan yang memengaruhi tiga produk, tiga di antaranya dinilai kritis dan satu sebagai bug tingkat keparahan penting dalam Adobe Experience Manager (AEM) dan add-on package Formulir AEM.

Bug ini dapat memungkinkan penyerang mengeksekusi kode arbitrary pada perangkat yang rentan, serta mendapatkan akses ke informasi sensitif dan mengeksekusi kode JavaScript apapun di browser.

Adobe menyarankan pelanggan yang menggunakan produk yang rentan untuk memperbarui ke versi terbaru sesegera mungkin untuk memblokir serangan yang dapat mengakibatkan eksploitasi yang berhasil pada instalasi yang belum ditambal.

Tergantung pada pilihan mereka, pengguna dapat memperbarui produk mereka menggunakan salah satu langkah berikut:

  • Dengan masuk ke Help > Check for Updates.
  • Update Installer lengkap dapat diunduh dari Download Center Adobe.
  • Biarkan produk diperbarui secara otomatis, tanpa memerlukan campur tangan pengguna, saat pembaruan terdeteksi.

Sumber: Bleeping Computer

Peneliti Menemukan Cacat Keamanan Berbahaya dalam Kode yang Digunakan di Jutaan Perangkat

by

Para peneliti di firma keamanan siber Forescout menerbitkan whitepaper baru pada hari Selasa yang merinci bagaimana 33 kelemahan keamanan yang dimasukkan ke dalam beberapa library kode yang banyak digunakan dapat memiliki konsekuensi bencana bagi jutaan perangkat yang terhubung ke internet, dari smart home dan teknologi industri, hingga perangkat di rumah sakit, pengecer, dan gedung federal.

Masalahnya di sini terletak pada empat bundel kode sumber terbuka yang terpisah: uIP, FNET, picoTCP, dan Nut/Net. Menambahkan salah satu library ini ke perangkat memungkinkannya untuk terhubung ke protokol komunikasi tertentu dan berkomunikasi dengan mesin lain.

Dan karena gratis untuk digunakan dan sepenuhnya open source, library ini menjadi sangat populer selama bertahun-tahun, yang merupakan keuntungan bagi pengembang yang ingin mengeluarkan perangkat ini dengan cepat dan murah. Ini juga berarti ketika jenis kerentanan ini terungkap (seperti yang terjadi di masa lalu), dampaknya jauh lebih dramatis.

“Amnesia: 33″ —sebagaimana tim secara kolektif menyebut kelompok kerentanan ini — belum dieksploitasi di alam liar sejauh yang mereka ketahui.

Meskipun demikian, penyerang yang cukup bertekad dengan jalur komunikasi yang jelas ke perangkat yang rentan dapat mengeksploitasi satu atau beberapa masalah ini dengan serangan denial-of-service, atau memaksa perangkat untuk membocorkan data internal yang berpotensi sensitif. Empat dari kelemahan keamanan yang lebih “kritis” membuka perangkat hingga eksekusi kode jarak jauh.

Sumber: Gizmodo

NSA: Peretas negara Rusia mengeksploitasi kerentanan VMware baru untuk mencuri data

by

Badan Keamanan Nasional (NSA) AS memperingatkan bahwa pelaku ancaman yang disponsori negara Rusia mengeksploitasi kerentanan VMware yang baru-baru ini ditambal untuk mencuri informasi sensitif setelah menyebarkan web shell pada server yang rentan.

“NSA mendorong administrator jaringan Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB) untuk memprioritaskan mitigasi kerentanan pada server yang terkena dampak,” kata badan intelijen Departemen Pertahanan AS.

VMware merilis pembaruan keamanan untuk mengatasi bug keamanan pada 3 Desember setelah mengungkapkan kerentanan secara publik dua minggu lalu dan menyediakan solusi sementara yang sepenuhnya menghapus vektor serangan dan mencegah eksploitasi.

CVE-2020-4006 awalnya dinilai sebagai kerentanan keparahan kritis tetapi VMware telah menurunkan peringkat keparahan maksimumnya ke ‘Important’ setelah merilis tambalan dan membagikan bahwa eksploitasi memerlukan “kata sandi yang valid untuk akun admin konfigurator.”

Dalam serangan yang mengeksploitasi CVE-2020-4006, NSA mengamati pelaku ancaman yang terhubung ke antarmuka manajemen berbasis web yang terekspos dari perangkat yang menjalankan produk VMware yang rentan dan menyusup ke jaringan organisasi untuk memasang web shell menggunakan perintah injeksi.

Setelah memasang web shell, penyerang mencuri data sensitif menggunakan kredensial SAML untuk mendapatkan akses ke server Microsoft Active Directory Federation Services (ADFS).

Eksploitasi kerentanan yang berhasil juga memungkinkan penyerang untuk menjalankan perintah Linux pada perangkat yang disusupi yang dapat membantu mereka mendapatkan persistence.

Mendeteksi serangan ini menggunakan indikator berbasis jaringan tidak dapat dilakukan karena aktivitas berbahaya dilakukan setelah tersambung ke antarmuka manajemen web melalui jalur terenkripsi TLS.

Namun, pernyataan ‘exit’ yang diikuti dengan angka 3-digit seperti ‘exit 123’ yang ditemukan di /opt/vmware/horizon/workspace/logs/configurator.log di server merupakan indikasi bahwa aktivitas eksploitasi mungkin telah terjadi di perangkat.

Sumber: Bleeping Computer

Bug PlayStation Now memungkinkan situs menjalankan kode berbahaya di PC Windows

by

Bug keamanan yang ditemukan di aplikasi cloud gaming PlayStation Now (PS Now) Windows memungkinkan penyerang untuk mengeksekusi kode arbitrary pada perangkat Windows yang menjalankan versi aplikasi yang rentan.

Kerentanan yang ditemukan oleh bug bounty hunter Parsia Hakimian memengaruhi PS Now versi 11.0.2 dan sebelumnya di komputer yang menjalankan Windows 7 SP1 atau yang lebih baru.

Hakimian melaporkan bug PS Now pada 13 Mei 2020, melalui program bug bounty resmi PlayStation di HackerOne. PlayStation mengatasi bug tersebut dan menandai laporan bug tersebut sebagai ‘Terselesaikan’ satu bulan kemudian, pada 25 Juni 2020.

Hakimian menemukan bahwa, masalah keamanan kritis memungkinkan penyerang yang tidak berkepentingan meluncurkan serangan eksekusi kode jarak jauh (RCE) dengan menyalahgunakan kelemahan injeksi kode.

Untuk berhasil mengeksploitasi bug RCE, penyerang harus membujuk pengguna PS NOW yang perangkatnya ingin mereka targetkan untuk membuka situs yang dibuat khusus menggunakan tautan jahat yang disediakan melalui email phishing, forum, saluran Discord, dll.

Sumber: Bleeping Computer