Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Apple Merilis Perbaikan Baru untuk iPhone zero-day yang Dieksploitasi oleh Hacker

by

Apple pada hari Senin merilis versi baru sistem operasi iPhone dan iPad untuk memperbaiki kerentanan yang dieksploitasi oleh hacker, yang berarti mereka memanfaatkannya untuk meretas perangkat Apple.

Di halaman pembaruan keamanan, Apple menulis bahwa menyadari laporan jika masalah ini mungkin telah dieksploitasi secara aktif. Ini adalah bahasa yang digunakan Apple saat seseorang memberitahu perusahaan bahwa mereka telah mengamati hacker mengeksploitasi bug terhadap target di dunia nyata, berlawanan dengan kerentanan yang ditemukan oleh peneliti di lingkungan yang terkendali.

Juru bicara Apple, Scott Radcliffe, mengatakan bahwa perusahaan tidak menambahkan apa pun selain dari apa yang ada di catatan rilis.

Bug terbaru ini ada di WebKit, mesin browser Apple yang digunakan di Safari, dan secara historis merupakan target populer bagi hacker, karena dapat membuka akses ke data perangkat lainnya.

Motherboard melaporkan bahwa hanya dalam empat bulan pertama tahun itu, Apple telah menambal tujuh bug yang dieksploitasi secara liar pada tahun 2021. Sejak itu, banyak hal telah membaik.

Hitungan kerentanan TechCrunch sejak Januari tahun lalu, menunjukkan sembilan bug di iOS yang mungkin telah dieksploitasi secara aktif.

Kemungkinan rata-rata pengguna iPhone akan menjadi sasaran zero-day seperti ini sangat kecil, tetapi ponsel harus tetap harus diperbarui.

Selengkapnya: TechCrunch+

OneKey Telah Memperbaiki Kekurangan yang membuat Wallet Perangkat Kerasnya Diretas dalam 1 Detik

by

Unciphered memposting video yang menunjukkan kerentanan kritis besar-besaran di OneKey Mini. Pencipta mengatakan itu telah ditambal dan mereka sedang bekerja untuk mengamankan wallet lebih lanjut.

Sebuah video di YouTube yang diposting pada 10 Februari oleh startup cybersecurity Unciphered menunjukkan bahwa mereka telah menemukan cara mengeksploitasi kerentanan kritis besar-besaran yang memungkinkan mereka untuk membuka OneKey Mini.

Namun, dalam pernyataan 10 Februari, OneKey mengatakan telah mengatasi kelemahan keamanan yang diidentifikasi oleh Unciphered, mencatat bahwa tim perangkat kerasnya telah memperbarui tambalan keamanan awal tahun ini tanpa siapa pun yang terpengaruh dan semua kerentanan yang diungkapkan telah telah atau sedang diperbaiki.

Meskipun kerentanannya memprihatinkan, vektor serangan yang diidentifikasi oleh Unciphered tidak dapat digunakan dari jarak jauh dan memerlukan pembongkaran perangkat dan akses fisik melalui perangkat FPGA khusus di lab agar dapat dieksekusi.

Dalam posting blognya, OneKey mengatakan telah bersusah payah untuk memastikan keamanan penggunanya, termasuk melindungi mereka dari serangan “supply chain”.

Langkah-langkah itu mencakup pengemasan anti rusak untuk pengiriman dan penggunaan penyedia layanan rantai pasokan dari Apple untuk memastikan manajemen keamanan rantai pasokan yang ketat.

Di masa mendatang, mereka berharap dapat mengimplementasikan autentikasi onboard dan memutakhirkan wallet perangkat keras yang lebih baru dengan komponen keamanan tingkat tinggi.

Selengkapnya: Cointelegraph

Italia Memperingatkan Hacker yang Menargetkan Kerentanan Server yang Diketahui

by

Ribuan server komputer menjadi sasaran serangan peretasan ransomware global yang menargetkan server VMware (VMW.N) ESXi, Badan Keamanan Siber Nasional (ACN) Italia mengatakan pada hari Minggu, memperingatkan organisasi untuk mengambil tindakan untuk melindungi sistem mereka.

Serangan berusaha mengeksploitasi kerentanan perangkat lunak dalam skala besar. Perusahaan perangkat lunak mengetahui laporan tersebut dan mengeluarkan tambalan pada Februari 2021 ketika menemukan kerentanan yang sekarang sedang dieksploitasi, mendesak pelanggan untuk menerapkan tambalan jika mereka belum melakukannya.

Kepada pengguna yang terpengaruh diperingatkan untuk segera mengambil tindakan agar tidak terkunci dari sistem mereka. Pejabat keamanan dunia maya AS mengatakan mereka menilai dampak dari insiden yang dilaporkan.

Selengkapnya: Reuters

Cisco Memperbaiki Bug yang Memugkinkan Persistensi Backdoor di Antara Reboot

by

Cisco telah merilis pembaruan keamanan minggu ini untuk mengatasi vulnerability tingkat tinggi di lingkungan hosting aplikasi Cisco IOx yang dapat dieksploitasi dalam serangan injeksi perintah.

Security flaw (CVE-2023-20076) disebabkan oleh sanitasi parameter yang tidak lengkap yang diteruskan selama proses aktivasi aplikasi. Itu ditemukan dan dilaporkan oleh peneliti keamanan Sam Quinn dan Kasimir Schulz dengan Trellix Advanced Research Center.

Eksploitasi yang berhasil dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna memungkinkan pelaku ancaman terautentikasi dari jarak jauh untuk menjalankan perintah dengan izin root pada sistem operasi yang mendasarinya.

“Seorang penyerang dapat mengeksploitasi vulnerability ini dengan menyebarkan dan mengaktifkan aplikasi di lingkungan hosting aplikasi Cisco IOx dengan file payload aktivasi buatan,” Cisco menjelaskan dalam penasihat keamanan yang diterbitkan pada hari Rabu.

Perusahaan mengatakan vulnerability mempengaruhi perangkat Cisco yang menjalankan software IOS XE, tetapi hanya jika mereka tidak mendukung buruh pelabuhan asli.

Selain perangkat berbasis IOS XE yang dikonfigurasi dengan IOx, daftar perangkat yang terpengaruh juga mencakup router ISR Industri Seri 800, modul komputasi CGR1000, gateway komputasi industri IC3000, router industri WPAN IR510, dan titik akses Cisco Catalyst (COS-AP).

Perusahaan juga mengonfirmasi bahwa flaw CVE-2023-20076 tidak memengaruhi sakelar Seri Catalyst 9000, perangkat lunak iOS XR dan NX-OS, atau produk Meraki.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan tidak menemukan bukti bahwa kerentanan ini dieksploitasi secara liar.

Pada bulan Januari, Cisco memperingatkan pelanggan tentang kerentanan bypass otentikasi kritis (CVE-2023-20025) dengan kode eksploit publik yang memengaruhi beberapa model router VPN akhir masa pakainya.

Satu minggu kemudian, Censys menemukan lebih dari 20.000 router Cisco RV016, RV042, RV042G, dan RV082 yang belum ditambal terhadap CVE-2023-20025 dan terkena serangan.

sumber : bleepingcomputer

Vulnerability Dapat Mengarah ke DoS, Eksekusi Kode

by Leave a Comment

F5 memperingatkan tentang vulnerability string format tingkat keparahan tinggi di BIG-IP yang dapat memungkinkan penyerang yang diautentikasi menyebabkan kondisi denial-of-service (DoS) dan berpotensi mengeksekusi kode arbitrer.

Dilacak sebagai CVE-2023-22374, cacat keamanan berdampak pada iControl SOAP, API terbuka yang memungkinkan komunikasi antar sistem, yang berjalan sebagai root.

Antarmuka SOAP dapat diakses dari jaringan, baik melalui port manajemen BIG-IP dan/atau alamat IP mandiri, dan dibatasi untuk akun administratif.

Namun, perusahaan cybersecurity menjelaskan, penyerang tidak dapat membaca memori kecuali mereka memiliki akses ke syslog.

Penyerang dapat merusak layanan dengan menggunakan penentu ‘%s’, dan dapat menggunakan penentu ‘%n’ untuk menulis data arbitrer ke sembarang penunjuk di tumpukan, yang berpotensi menyebabkan eksekusi kode jarak jauh, kata perusahaan keamanan siber.

Menurut penasehat F5, penyerang yang ingin mengeksploitasi kelemahan untuk eksekusi kode pertama-tama harus mengumpulkan informasi tentang lingkungan yang menjalankan komponen yang rentan. Namun, hanya bidang kontrol, bukan bidang data, yang diekspos oleh bug ini.

vulnerability berdampak pada BIG-IP versi 13.1.5, 14.1.4.6 hingga 14.1.5, 15.1.5.1 hingga 15.1.8, 16.1.2.2 hingga 16.1.3, dan 17.0.0. Saat ini tidak ada tambalan yang tersedia untuk vulnerability tersebut, tetapi F5 mengatakan perbaikan terbaru teknik tersedia.

Karena cacat hanya dapat dieksploitasi oleh pengguna yang diautentikasi, akses ke API SOAP iControl harus dibatasi untuk pengguna tepercaya.

CVE-2023-22374 memiliki skor CVSS 7,5 untuk sistem BIG-IP dalam mode penerapan standar, dan skor CVSS 8,5 untuk instans IP-BIG dalam mode aplikasi.

BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX, dan Traffix SDC tidak terpengaruh.

Peneliti Menjatuhkan Lexmark RCE Zero-day Daripada Menjual Vuln ‘for peanuts’

by

Seorang peneliti keamanan menghentikan rantai kerentanan eksekusi kode jarak jauh (RCE) zero-day yang memengaruhi printer Lexmark setelah mengklaim bahwa hadiah pengungkapan yang ditawarkan kepadanya “menggelikan”.

Peneliti independen Peter Geissler (@bl4sty) mengatakan bahwa pengungkapan bug secara publik, cacat zero-day pada saat rilis tetapi sekarang ditambal, lebih disukai daripada laporan yang dijual “untuk kacang”.

Dalam penasihat keamanan yang dirilis pada 23 Januari, Lexmark mengatakan masalah tersebut, dilacak sebagai CVE-2023-23560 (CVSSv3 9.0) dan dirilis di bawah satu penugasan CVE, memengaruhi lebih dari 100 model tetapi kini telah ditambal.

Perusahaan mengatakan tidak ada bukti penggunaan berbahaya di alam liar. Ketika didekati untuk memberikan komentar, Lexmark berkata: “Lexmark mengetahui detail kerentanan ini ketika diungkapkan kepada publik. Kami telah menyediakan tambalan kepada pelanggan kami.

Menurut peneliti, Lexmark tidak diberi tahu sebelum rilis zero-day karena dua alasan.

Pertama, Geissler ingin menyoroti bagaimana kontes Pwn2Own “rusak” dalam beberapa hal, seperti yang ditunjukkan saat hadiah uang rendah ditawarkan untuk “sesuatu yang berpotensi berdampak besar” – seperti rantai eksploit yang dapat membahayakan lebih dari 100 model printer.

Lebih lanjut, dia mengatakan bahwa proses keterbukaan informasi seringkali bertele-tele dan berbelit-belit.

selengkapnya : portswigger.net

Lebih dari 29.000 Perangkat QNAP Unpatched Terhadap Kelemahan Baru

by

Puluhan ribu perangkat penyimpanan terpasang jaringan (NAS) QNAP sedang menunggu untuk ditambal terhadap kelemahan keamanan kritis yang ditangani oleh perusahaan Taiwan pada hari Senin.

Pelaku ancaman jarak jauh dapat mengeksploitasi kerentanan injeksi SQL ini (CVE-2022-27596) untuk menyuntikkan kode berbahaya dalam serangan yang menargetkan perangkat QNAP yang terpapar Internet dan tidak terhubung.

Perusahaan merekomendasikan pelanggan dengan perangkat yang terpengaruh (menjalankan QTS 5.0.1 dan QuTS hero h5.0.1) untuk meningkatkan ke QTS 5.0.1.2234 build 20221201 atau lebih baru dan QuTS hero h5.0.1.2248 build 20221215 atau lebih baru untuk mengamankan mereka dari serangan.

Untuk memperbarui perangkat Anda, Anda harus masuk sebagai pengguna admin, buka “Panel Kontrol → Sistem → Pembaruan Firmware,” klik opsi “Periksa Pembaruan” di bawah bagian “Pembaruan Langsung” dan tunggu pengunduhan dan pemasangan untuk menyelesaikan.

Puluhan ribu perangkat yang belum ditambal terkena serangan
“Censys telah mengamati 67.415 host dengan indikasi menjalankan sistem berbasis QNAP; sayangnya, kami hanya dapat memperoleh nomor versi dari 30.520 host. Namun, jika sarannya benar, lebih dari 98% perangkat QNAP yang teridentifikasi akan rentan terhadap serangan ini ,” kata peneliti keamanan senior Mark Ellzey.

“Kami menemukan bahwa dari 30.520 host dengan versi, hanya 557 yang menjalankan QuTS Hero lebih besar dari atau sama dengan ‘h5.0.1.2248’ atau QTS lebih besar dari atau sama dengan ‘5.0.1.2234,’ artinya 29.968 host dapat terpengaruh oleh kerentanan ini.”

Anda juga harus menonaktifkan koneksi SSH dan Telnet, mengubah nomor port sistem, mengubah kata sandi perangkat, dan mengaktifkan perlindungan akses IP dan akun menggunakan prosedur langkah demi langkah yang terperinci ini.

selengkapnya : bleepingcomputer

Penasihat Teknis: Rantai Eksploitasi “Proxy*Hell” di Alam Liar

by

Pada akhir November 2022, para pakar Bitdefender Labs mulai melihat peningkatan serangan menggunakan rantai eksploitasi ProxyNotShell/OWASSRF yang menargetkan penerapan Microsoft Exchange lokal.

Serangan SSRF di server Microsoft Exchange adalah beberapa kerentanan yang paling populer dan sering dieksploitasi. Pihaknya memutuskan merilis penasehat teknis yang menjelaskan serangan ini dan juga mendokumentasikan beberapa serangan baru-baru ini yang terdeteksi secara liar.

Arsitektur Berorientasi Layanan (SOA)
Merupakan pendekatan desain perangkat lunak yang melibatkan pengorganisasian sistem sebagai kumpulan layanan yang berkomunikasi satu sama lain melalui antarmuka yang terdefinisi dengan baik. Salah satu manfaat utama SOA adalah memungkinkan fleksibilitas dan skalabilitas yang lebih besar dengan menghapus batasan aplikasi.

Microsoft Exchange
Microsoft Exchange adalah contoh aplikasi yang menggunakan layanan proxy untuk melindungi backend sensitif dari jaringan publik yang tidak terpercaya.

Layanan Akses Klien (CAS) adalah lapisan yang bertanggung jawab untuk menerima semua bentuk koneksi klien (front-end) dan memproyeksikannya ke layanan back-end.

Pemalsuan Permintaan Sisi Server (SSRF)
Pemalsuan permintaan sisi server (SSRF) adalah jenis serangan yang memungkinkan penyerang mengirim permintaan buatan dari server yang rentan ke server lain, atas nama server yang rentan.

Ini memungkinkan penyerang mengakses sumber daya atau informasi yang sebaliknya tidak dapat diakses secara langsung oleh mereka dan memungkinkan mereka melakukan tindakan atas nama server yang rentan.

Serangan proxy di Microsoft Exchange
Sebagian besar kerentanan yang ditemukan peneliti keamanan didasarkan pada implementasi yang cacat. Kerentanan arsitektur sulit diperbaiki dalam sistem produksi, terutama untuk perangkat lunak yang didistribusikan secara luas dimana kompatibilitas mundur merupakan fitur penting, seperti server Microsoft Exchange.

Serangan Nyata
Berikut adalah beberapa serangan kehidupan nyata yang telah dideteksi oleh para ahli Bitdefender Labs pada akhir November 2022 terdiri dari beberapa kasus diantaranya alat administrasi remote, broker akses awsal, ransomware kuba, pencurian kredensial. Terdapat kami peningkatan penggunaan ProxyNotShell/OWASSRF untuk eksekusi perintah jahat.

Selengkapnya: Bitdefender