Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Akun Backdoor Ditemukan Di 29 Perangkat FTTH Dari Vendor Cina C-Data

by

Dua peneliti keamanan mengatakan bahwa mereka menemukan kerentanan yang parah dan apa yang tampaknya menjadi backdoor yang disengaja dalam firmware dari 29 perangkat FTTH OLT dari vendor populer C-Data.

FTTH adalah singkatan dari Fiber-To-The-Home, sementara OLT adalah singkatan dari Optical Line Termination.

Istilah FTTH OLT mengacu pada peralatan jaringan yang memungkinkan penyedia layanan internet untuk membawa kabel fiber optik sedekat mungkin dengan pengguna (end-user).

Dalam sebuah laporan yang diterbitkan minggu lalu, peneliti keamanan Pierre Kim dan Alexandre Torres mengatakan mereka menemukan tujuh kerentanan dalam firmware perangkat OLTH FTT yang diproduksi oleh vendor China C-Data.

Kim dan Torres mengatakan mereka mengkonfirmasi kerentanan dengan menganalisis firmware terbaru yang berjalan pada dua perangkat, tetapi mereka percaya bahwa kerentanan yang sama berdampak pada 27 model OLT FTTH lainnya, karena mereka menjalankan firmware yang sama.

Kerentanan yang terburuk dan paling mengganggu dari ketujuh kerentanan adalah keberadaan akun backdoor Telnet yang di-hardcode dalam firmware.

Akun tersebut memungkinkan penyerang untuk terhubung ke perangkat melalui server Telnet yang berjalan pada antarmuka WAN (sisi internet) perangkat. Kim dan Torres mengatakan bahwa akun tersebut memberikan akses penuh CLI administrator kepada penyerang.

Kedua peneliti mengatakan mereka menemukan empat kombinasi username-password yang disembunyikan di dalam firmware C-Data, dengan akun backdoor berbeda per perangkat, berdasarkan pada model perangkat dan versi firmware.

suma123/panger123
debug/debug124
root/root126
guest/[empty]

Namun akses CLI backdoor awal ini kemudian dapat digunakan untuk mengeksploitasi kerentanan lain. Sebagai contoh, Kim dan Torres mengatakan seorang penyerang juga dapat mengeksploitasi bug kedua untuk mendapatkan daftar kredensial dalam cleartext di Telnet CLI untuk semua administrator perangkat lainnya; kredensial yang dapat digunakan di kemudian hari jika akun backdoor dihapus.

Di bawah ini adalah daftar model C-Data FTTH OLT yang rentan:

  • 72408A
  • 9008A
  • 9016A
  • 92408A
  • 92416A
  • 9288
  • 97016
  • 97024P
  • 97028P
  • 97042P
  • 97084P
  • 97168P
  • FD1002S
  • FD1104
  • FD1104B
  • FD1104S
  • FD1104SN
  • FD1108S
  • FD1108SN
  • FD1204S-R2
  • FD1204SN
  • FD1204SN-R2
  • FD1208S-R2
  • FD1216S-R1
  • FD1608GS
  • FD1608SN
  • FD1616GS
  • FD1616SN
  • FD8000

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Nvidia Memperingatkan Gamer dari Serangga Driver Grafis Yang Serius

by

Pembuat chip grafis Nvidia telah memperbaiki dua kerentanan tingkat tinggi pada driver grafisnya. Penyerang dapat mengeksploitasi kerentanan untuk melihat data sensitif, mendapatkan hak yang lebih tinggi atau meluncurkan serangan denial-of-service (DoS) di perangkat game Windows yang terpengaruh.

Driver grafis Nvidia (juga dikenal sebagai GPU Display Driver) untuk Windows digunakan pada perangkat yang ditargetkan untuk penggemar game; itu adalah komponen perangkat lunak yang memungkinkan sistem operasi dan program perangkat untuk menggunakan perangkat keras grafis tingkat tinggi yang dioptimalkan untuk permainan.

Salah satu kelemahannya, CVE-2020-5962, ada pada komponen Panel Kontrol Nvidia, yang menyediakan kontrol pengaturan driver grafis serta utilitas lain yang diinstal pada sistem. Cacat ini dapat memungkinkan penyerang dengan akses sistem lokal untuk merusak file sistem, yang dapat menyebabkan DoS atau peningkatan hak istimewa, menurut penasihat keamanan Nvidia, Rabu.

Kerentanan lain (CVE ‑ 2020-5963) ada di CUDA Driver, sebuah platform komputasi dan model pemrograman yang diciptakan oleh Nvidia. Masalahnya bermula dari kontrol akses yang tidak tepat dalam API Komunikasi Proses Antar pengemudi. Ini bisa mengarah pada eksekusi kode, DoS atau pengungkapan informasi.

Source: NVIDIA Advisory

Berbagai driver terpengaruh untuk pengguna Windows dan Linux, termasuk yang menggunakan perangkat lunak GeForce, Quadro, dan Tesla Nvidia. Daftarnya dapat dilihat pada gambar di bawah ini;

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post

Kompromi Copy-paste – Taktik, Teknik, dan Prosedur yang Digunakan Untuk Menargetkan Beberapa Jaringan di Australia

by

Pada hari kamis lalu (18/06) Pusat Keamanan Siber Australia (ACSC) mengumumkan bahwa Pemerintah Australia saat ini menyadari adanya penargetan berkelanjutan pemerintah dan perusahaan Australia oleh aktor berbasis negara yang canggih. Di dalam pengunguman tersebut ACSC juga mengeluarkan peringatan kepada organisasi-organisasi Australia, agar keduanya menyadari ancaman ini dan mengambil langkah segera untuk meningkatkan pertahanan jaringan mereka.

Peringatan ACSC yang berjudul ‘Copy-paste compromises’ berasal dari aktor yang menggunakan kode eksploit proof-of-concept, web shells, dan alat-alat lain yang disalin hampir identik dari sumber terbuka (open source).

Aktor ini telah diidentifikasi memanfaatkan sejumlah vektor akses awal, dengan yang paling umum adalah eksploitasi infrastruktur public-facing – terutama melalui penggunaan kerentanan eksekusi kode jarak jauh dalam versi Telerik UI yang tidak ditambal (patched).

Aktor ini juga telah menunjukkan kemampuan untuk dengan cepat memanfaatkan kode eksploitasi proof-of-concepts yang telah dipublikasikan untuk menargetkan jaringan yang diminati dan secara teratur melakukan pengintaian terhadap jaringan target untuk mencari layanan yang rentan, berpotensi mempertahankan daftar layanan public-facing agar dapat dengan cepat menargetkan kerentanan baru yang dirilis di masa mendatang.

Ketika eksploitasi infrastruktur public-facing tidak berhasil, ACSC telah mengidentifikasi aktor akan menggunakan berbagai teknik spearphishing. Spearphishing ini berbentuk:
– tautan ke situs web pemanen kredensial
– email dengan tautan ke file jahat, atau dengan file jahat yang langsung dilampirkan
– tautan yang mendorong pengguna untuk memberikan token OAuth Office 365 kepada aktor
– penggunaan layanan pelacakan email untuk mengidentifikasi email yang telah dibuka dan click-through event

Setelah akses awal tercapai, aktor memanfaatkan campuran open source dan alat khusus untuk bertahan, dan berinteraksi dengan, jaringan korban. Meskipun alat ditempatkan di dalam jaringan, aktor tersebut berpindah ke remote access yang sah menggunakan kredensial curian. Agar berhasil menanggapi ancaman terkait, semua akses harus diidentifikasi dan dihapus.

Dalam berinteraksi dengan jaringan korban, aktor diidentifikasi menggunakan situs web resmi Australia yang dikompromikan sebagai server C2 mereka. Terutama, perintah dan kontrol dilakukan menggunakan web shells dan lalu lintas HTTP/HTTPS. Teknik ini membuat pemblokiran geografis tidak efektif dan menambahkan legitimasi ke lalu lintas jaringan yang jahat selama penyelidikan.

Untuk memitigasi ancaman ini, ACSC telah merekomendasikan para IT Administrator di organisasi untuk:
– Melakukan tambalan (patching) dengan cepat untuk seluruh perangkat lunak, sistem operasi, dan perangkat yang menghadap ke internet (internet facing)
– Penggunaan otentikasi multi-faktor di semua layanan akses jarak jauh
– Meninjau dan menerapkan panduan ACSC pada Windows Event Logging and Forwarding dan System Monitoring.

Advisory selengkapnya dapat dibaca pada tautan berikut:
Source: ACSC

Kerentanan Keamanan Router Netgear Akhirnya Diperbaiki Setelah Enam Bulan

by

Netgear telah mengeluarkan tambalan (patch) untuk memperbaiki kerentanan keamanan di dua router yang dapat dieksploitasi oleh penyerang untuk mengambil kendali penuh perangkat dari jarak jauh.

Dua perangkat yang telah menerima tambalan adalah R6400v2 dan R6700v3. Namun, 77 router Netgear lainnya dilaporkan masih tetap rentan terhadap kerentanan zero-day yang dilaporkan ke perusahaan pada Januari tahun ini.

Kerentanan, yang terletak pada daemon HTTPD yang digunakan untuk mengelola router, ditemukan secara independen oleh Grimm’s Adam Nichols dan d4rkn3ss dari VNPT ISC Vietnam melalui Zero Day Initiative (ZDI).

Untuk mengeksploitasi kelemahan pada router Netgear, penyerang perlu membuat string yang dibuat khusus yang mampu mengeksekusi perintah pada perangkat tanpa harus mengautentikasi terlebih dahulu.

Dalam blognya, Nichols menjelaskan bahwa sementara cookie stack biasanya dapat mengurangi kerentanan ini, banyak router Netgear tidak menggunakannya, dengan mengatakan:

“Dalam sebagian besar perangkat lunak modern, kerentanan ini tidak dapat dieksploitasi. Perangkat lunak modern biasanya berisi stack cookie yang akan mencegah eksploitasi. Namun, R7000 tidak menggunakan stack cookies. Faktanya, dari semua produk Netgear yang menggunakan basis kode yang sama, hanya firmware D8500 versi 1.0.3.29 dan firmware R6300v2 versi 1.0.4.12-1.0.4.20 yang menggunakan stack cookie. Namun, versi D8500 dan R6300v2 yang lebih baru berhenti menggunakan stack cookies, membuat kerentanan ini sekali lagi dieksploitasi.”

Secara default, Daemon HTTPD router ini hanya dapat diakses melalui LAN, meskipun admin router dapat mengaktifkannya sehingga dapat diakses dari jarak jauh melalui internet. Namun, penyerang masih dapat membuat situs web berbahaya menggunakan JavaScript untuk melakukan serangan rebinding DNS yang akan memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh pada router yang tidak dapat diakses melalui internet.

Jika Anda memiliki router Netgear R6400v2 atau R6700v3, Anda dapat mengunduh hot-fix untuk memperbaiki kerentanannya sekarang, tetapi jika Anda memiliki salah satu dari 77 router yang terpengaruh, Anda kurang beruntung sampai perusahaan mengeluarkan patch untuk ke 77 router tersebut.

Selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tech Radar

Bug Pada Cisco Webex dan Router-nya Memungkinkan Eksekusi Kode Oleh Penyerang Jarak Jauh

by

Cisco telah memperingatkan adanya tiga kerentanan tingkat tinggi dalam aplikasi konferensi web Webex yang populer, termasuk yang memungkinkan penyerang tidak tervalidasi untuk mengeksekusi kode dari jarak jauh pada sistem yang terkena dampak. Berikut daftarnya:

Kerentanan 1 (CVE-2020-3342): Validasi yang tidak tepat atas perlindungan kriptografi, pada file yang diunduh oleh aplikasi sebagai bagian dari pembaruan perangkat lunak. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode apa pun (arbitrary code execution) pada sistem yang terpengaruh dengan hak istimewa pengguna.

Nilai CVSS: 8.8

Versi yang terpengaruh: Aplikasi Desktop Webex untuk Mac versi sebelum 39.5.11. Versi aplikasi untuk Windows tidak terpengaruh.

Perbaikan: Kerentanan telah diperbaiki pada versi 39.5.11 dan yang lebih baru.

 

Kerentanan 2 (CVE-2020-3361): Kerentanan berasal dari penanganan token otentikasi yang tidak benar oleh situs Webex yang rentan. Eksploitasi yang berhasil dapat memungkinkan penyerang jarak jauh untuk mendapatkan akses tidak sah ke situs Webex yang rentan.

Nilai CVSS: 8.1

Versi yang terpengaruh: Situs Cisco Webex Meetings (versi 39.5.25 dan sebelumnya, WBS 40.4.10 dan sebelumnya, atau WBS 40.6.0) dan server Cisco Webex Meetings (versi 4.0 MR3 dan sebelumnya)

Perbaikan: Server Cisco Webex Meetings Release 4.0 MR3 Security Patch 1; Perusahaan mengatakan pelanggan di situs Cisco Webex Meetings yang dihosting Cisco tidak perlu mengambil tindakan apa pun untuk menerima pembaruan ini.

 

Kerentanan 3 (CVE-2020-3263): Kerentanan ini disebabkan oleh validasi input yang tidak benar yang diberikan ke URL aplikasi, ini dapat memungkinkan penyerang jarak jauh untuk menjalankan program pada sistem pengguna yang terpengaruh.

Nilai CVSS: 7.5

Versi yang terpengaruh: Aplikasi Desktop Cisco Webex Meetings (versi lebih lama dari 39.5.12)

Perbaikan: Perbaikan telah tersedia pada versi 40.1.0 dan yang lebih baru.

Di luar Webex, raksasa jaringan itu pada hari Rabu juga menambal (patch) banyak bug di beberapa produk, termasuk router RV (yang menawarkan teknologi jaringan pribadi virtual untuk pekerja jarak jauh di bisnis kecil) dan perangkat lunak TelePresence Collaboration Endpoint.

Untuk mengetahui kerentanan-kerentanan tersebut, buka tautan di bawah ini;
Source: The Threat Post | Cisco’s Security Update

Kerentanan Baru Ditemukan pada D-Link Home Routers

by

Pada sebuah tulisan blog yang diterbitkan pada 12 Juni 2020, para peneliti Unit42 dari Palo Alto Network mengungkapkan adanya kerentanan pada D-Link router.

Total ada 6 Kerentanan yang telah ditemukan sejak 28 Februari lalu dan ditemukan pada model router D-Link DIR-865L, yang ditujukan untuk penggunaan home network. Adanya tren baru (Work From Home) ini meningkatkan kemungkinan serangan berbahaya terhadap home network, yang membuatnya semakin penting untuk kita menjaga perangkat jaringan agar selalu diperbarui.

Peneliti mengatakan bahwa ada kemungkinan beberapa kerentanan yang ditemukan juga hadir dalam model router yang lebih baru karena router-router tersebut menggunakan basis kode yang sama. Berikut ini adalah enam kerentanan yang ditemukan:

“Kombinasi berbeda dari kerentanan ini dapat menyebabkan risiko yang signifikan. Misalnya, pengguna jahat dapat melihat lalu lintas jaringan untuk mencuri session cookie. Dengan informasi ini, mereka dapat mengakses portal administratif untuk berbagi file, memberi mereka kemampuan untuk mengunggah file berbahaya, mengunduh file sensitif, atau menghapus file penting. Mereka juga dapat menggunakan cookie untuk menjalankan perintah apa saja untuk melakukan serangan denial of service” tulis peneliti dalam blog tersebut.

Perusahaan D-Link sendiri sudah mengetahui mengenai kerentanan ini dari Palo Alto dan telah menerbitkan patch untuk memperbaiki kerentanan ini. Namun, patch yang dirilis hanya memperbaiki 3 kerentanan, yaitu: Cross-Site Request Forgery (CSRF), Inadequate Encryption Strength dan Cleartext Storage of Sensitive Information.

Dan berita buruk lainnya adalah bahwa model DIR-865L ini ternyata telah mencapai akhir dukungan (EoL/EoS) sejak 02/01/2016. Perusahaan mengatakan, “Produk  (DIR-865L) telah mencapai End of Life(EoL)/End of Support(EoS), dan tidak ada lagi dukungan atau pengembangan yang diperluas untuk mereka. Setelah suatu produk melewati tanggal EoL / EoS, D-Link tidak akan dapat menyelesaikan masalah Perangkat atau Firmware karena semua pengembangan dan dukungan pelanggan telah terhenti.”

Berikut adalah rekomendasi dari Palo Alto untuk pengguna router D-Link:

  • Instal versi terbaru firmware. Firmware dapat ditemukan di situs web D-Link di mana mereka mengumumkan kerentanannya: Pengumuman D-Link.
  • Default semua lalu lintas ke HTTPS untuk bertahan terhadap serangan session hijacking.
  • Ubah zona waktu pada router untuk bertahan melawan aktor jahat yang menghitung id sesi yang dibuat secara acak. Anda dapat menemukan cara melakukannya di situs D-Link.
  • Jangan gunakan router ini untuk berbagi informasi sensitif sampai seluruh kerentanannya ditambal (patched).

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Unit42 Palo Alto

Dua Serangan Baru Ini Berdampak Pada CPU Intel

by

Pada hari Selasa, dua tim akademik terpisah mengungkapkan dua eksploitasi baru dan khas yang menembus Intel Software Guard eXtension, sejauh ini merupakan wilayah paling sensitif dari prosesor perusahaan tersebut.

Intel Software Guard eXtensions (SGX) adalah fitur keamanan prosesor Intel modern yang memungkinkan aplikasi berjalan di dalam wadah perangkat lunak yang dilindungi yang dikenal sebagai enclave, menyediakan enkripsi memori berbasis perangkat keras yang mengisolasi kode aplikasi dan data dalam memori.

Serangan SGX baru dikenal sebagai SGAxe dan CrossTalk. Keduanya masuk ke wilayah CPU yang diperkuat menggunakan serangan sisi-kanal yang terpisah, kelas peretasan yang menyimpulkan data sensitif dengan mengukur perbedaan waktu, konsumsi daya, radiasi elektromagnetik, suara, atau informasi lain dari sistem yang menyimpannya. Asumsi untuk kedua serangan kira-kira sama. Seorang penyerang telah merusak keamanan mesin target melalui eksploitasi perangkat lunak atau mesin virtual jahat yang membahayakan integritas sistem. Walaupun itu merupakan rintangan yang tinggi, justru skenario itulah yang seharusnya dipertahankan oleh SGX.

Intel merilis pembaruan baru pada hari Selasa dan mengharapkannya tersedia untuk semua end-user dalam beberapa minggu mendatang. Pengguna, terutama mereka yang bergantung pada SGX, harus memeriksa dengan produsen mesin mereka dan memastikan bahwa pembaruan diinstal secepat mungkin.

Dilansir dari Ars Technica, SGAxe mampu mencuri sejumlah besar data pilihan penyerang yang dilindungi oleh SGX. Satu kelas data sensitif adalah milik pengguna target — misalnya, alamat dompet atau rahasia lain yang digunakan dalam transaksi keuangan yang melibatkan blockchains.

Serangan dapat dengan mudah mencuri kunci kriptografi yang digunakan SGX untuk “pengesahan,” atau proses pembuktian ke remote server bahwa perangkat keras tersebut merupakan prosesor Intel asli dan bukan salah satu simulasi berbahaya. Remote server dapat meminta perangkat penghubung untuk menyediakan kunci pengesahan ini sebelum melakukan transaksi keuangan, memutar video yang dilindungi, atau melakukan fungsi terbatas lainnya.

Serangan SGX kedua, CrossTalk, didasarkan pada kanal samping yang sebelumnya tidak dikenal yang dibuat oleh buffer tidak berdokumen yang digunakan semua core CPU Intel. “Staging buffer” ini, sebagaimana peneliti dari Vrije University di Amsterdam dan ETH Zurich menyebutnya, mempertahankan output dari RDRAND dan RDSEED, yang merupakan salah satu instruksi paling sensitif yang dapat dilakukan oleh CPU Intel karena memberikan angka acak yang diperlukan saat membuat kunci kripto.

Kanal samping yang disediakan oleh staging buffer yang baru ditemukan ini memungkinkan penyerang untuk membuat serangan eksekusi spekulatif pertama yang dikenal di dunia yang bekerja di seluruh core CPU. Penyerang yang mendapatkan nomor acak dapat menggunakannya untuk menyimpulkan kuncinya.

Para peneliti yang menguji CPU Intel yang dirilis dari 2015 hingga 2019, menemukan bukti bahwa mayoritas CPU klien reguler, termasuk prosesor seri Xeon E3, rentan terhadap CrossTalk.

 

Selengkapnya dapat dibaca pada tautan berikut:
Source: Ars Technica

Eksploitasi Kritis Pada Windows 10 Telah Dikonfirmasi, Beberapa Bulan Setelah Pembaruan Darurat Microsoft

by

Badan keamanan siber pemerintah AS memperingatkan para actor cyber sedang menargetkan sistem Windows 10 yang masih rentan terhadap celah keamanan kritis yang telah 3 bulan diungkapkan.

CVE-2020-0796, yang lebih dikenal hari ini sebagai SMBGhost, dianggap sangat berbahaya jika digunakan sebagai senjata untuk menyerang, sehingga layak mendapat peringkat sistem penilaian kerentanan (CVSS) “sempurna” (10). Microsoft cepat bertindak. Mereka mengeluarkan pemberitahuan darurat dalam beberapa hari.

SMBGhost adalah sebuah kerentanan wormable yang dapat mengaktifkan eksekusi sembarang kode dari jarak jauh, kemudian pada akhirnya, mengendalikan sistem yang ditargetkan jika serangan berhasil diluncurkan.

Serangan seperti itu akan membutuhkan mesin Windows 10 atau Windows Server Core yang tidak ditambal dan rentan serta, yang terpenting, kode eksploit yang berfungsi dan tersedia.

Dalam sebuah pemberitahuan, CISA baru saja mengkonfirmasi bahwa mereka mengetahui kode proof of concept (PoC) yang tersedia untuk umum dan fungsional. Selain itu, CISA juga memperingatkan, “pelaku cyber jahat menargetkan sistem yang belum ditambal dengan PoC baru, menurut laporan sumber terbuka baru-baru ini.”

CISA telah mengatakan bahwa “sangat merekomendasikan menggunakan firewall untuk memblokir port SMB dari internet,” dan bahwa aplikasi tambalan dan pembaruan untuk kerentanan kritis tersebut harus diterapkan sesegera mungkin.

Pembaruan keamanan Microsoft yang menangani SMBGhost di Windows 10 versi 1909 dan 1903 dan Server Core untuk versi yang sama, dapat ditemukan di sini.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes