Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Zero Day

Zero Day

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

by

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

sumber : thehackernews.com

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

by

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

  • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
  • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
  • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Hacker Mengeksploitasi Kerentanan WordPress Dalam Beberapa Jam Setelah Rilis Eksploit PoC

by

Eksploitasi kerentanan mengarah ke serangan cross-site scripting (XSS) di mana pelaku ancaman dapat menyuntikkan skrip berbahaya, pengalihan, iklan, dan bentuk manipulasi URL lainnya ke situs korban. Ini dapat mendorong skrip tidak sah ke pengunjung situs yang terpengaruh tersebut.

Menurut blog Akamai, pelaku ancaman telah mulai mengeksploitasi kerentanan yang baru-baru ini diungkapkan di WordPress, dalam waktu 24 jam setelah eksploitasi proof-of-concept (PoC) diterbitkan oleh perusahaan.

Kerentanan tingkat tinggi CVE-2023-30777 diidentifikasi oleh peneliti Patchstack pada 2 Mei, memungkinkan pengguna yang tidak diautentikasi mencuri informasi sensitif.

Dalam hal ini, eskalasi hak istimewa di situs WordPress dengan mengelabui pengguna yang memiliki hak istimewa untuk mengunjungi jalur URL yang dibuat. Kerentanan yang dijelaskan telah diperbaiki di versi 6.1.6, juga diperbaiki di versi 5.12.6, ”kata Patchstack dalam laporan terperinci pada 5 Mei yang menyertakan contoh muatan.

Peneliti keamanan di Akamai telah menemukan bahwa telah terjadi upaya serangan yang signifikan dalam waktu 48 jam setelah kode sampel diposting. Pelaku ancaman telah menggunakan sampel untuk memindai situs web rentan yang belum menerapkan tambalan atau mengupgrade ke versi terbaru.

Pengamatan menyoroti bahwa waktu respons untuk penyerang menurun dengan cepat, meningkatkan kebutuhan akan manajemen tambalan yang kuat dan cepat.

Dalam aktivitas yang dipantau oleh Akamai, aktor ancaman menyalin dan menggunakan kode sampel Patchstack dari artikel tersebut. Kegiatan ini dilakukan di semua vertikal.

Pelaku ancaman yang disponsori negara juga menggunakan kerentanan yang diketahui untuk mendapatkan akses awal ke organisasi pemerintah dan mengganggu infrastruktur penting, kata Tenable.

Firma keamanan tersebut menyarankan bahwa organisasi harus fokus pada langkah-langkah keamanan siber preventif daripada langkah-langkah keamanan siber pasca-acara reaktif untuk memitigasi risiko. Pembaruan dan tambalan rutin harus diterapkan.

Selengkapnya: arsTechnica

Microsoft mengeluarkan perbaikan opsional untuk Secure Boot zero-day yang digunakan oleh malware

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day yang dieksploitasi oleh malware BlackLotus UEFI untuk menginfeksi sistem Windows yang telah ditambal sepenuhnya.

Secure Boot adalah fitur keamanan yang memblokir bootloader yang tidak dipercaya oleh OEM pada komputer dengan firmware Unified Extensible Firmware Interface (UEFI) dan chip Trusted Platform Module (TPM) untuk mencegah rootkit memuat selama proses startup.

Menurut posting blog Microsoft Security Response Center, kelemahan keamanan (dilacak sebagai CVE-2023-24932) digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894, bug Boot Aman lainnya yang disalahgunakan dalam serangan BlackLotus tahun lalu.

Semua sistem Windows yang mengaktifkan perlindungan Boot Aman dipengaruhi oleh kelemahan ini, termasuk perangkat lokal, mesin virtual, dan berbasis cloud.

Namun, patch keamanan CVE-2023-24932 yang dirilis hari ini hanya tersedia untuk versi Windows 10, Windows 11, dan Windows Server yang didukung.

Untuk menentukan apakah perlindungan Boot Aman diaktifkan di sistem Anda, Anda dapat menjalankan perintah msinfo32 dari prompt perintah Windows untuk membuka aplikasi Informasi Sistem.

Secure Boot diaktifkan jika Anda melihat pesan “Secure Boot State ON” di sisi kiri jendela setelah memilih “System Summary.”

selengkapnya : bleepingcomputer.com

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

by

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Perbaikan Apple baru-baru ini mengungkapkan zero-days pada iPhone dan iPad lama

by

Apple telah merilis pembaruan darurat untuk mendukung patch keamanan yang dirilis pada hari Jumat, menangani dua kelemahan zero-day yang dieksploitasi secara aktif yang juga memengaruhi iPhone, iPad, dan Mac lama.

“Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif,” kata perusahaan itu dalam penasihat keamanan yang diterbitkan pada hari Senin.

Yang pertama (dilacak sebagai CVE-2023-28206) adalah kelemahan tulis di luar batas di IOSurfaceAccelerator yang memungkinkan pelaku ancaman mengeksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang ditargetkan melalui aplikasi yang dibuat dengan jahat.

Zero-day kedua (CVE-2023-28205) adalah penggunaan WebKit setelah bebas yang memungkinkan pelaku ancaman mengeksekusi kode berbahaya pada iPhone, Mac, atau iPad yang dikompromikan setelah mengelabui target mereka agar memuat halaman web berbahaya.

Hari ini, Apple menangani zero-days di iOS 15.7.5 dan iPadOS 15.7.5, macOS Monterey 12.6.5, dan macOS Big Sur 11.7.6 dengan meningkatkan validasi input dan manajemen memori.

Cacat tersebut dilaporkan oleh peneliti keamanan dengan Grup Analisis Ancaman Google dan Lab Keamanan Amnesty International, yang menemukan mereka dieksploitasi dalam serangan sebagai bagian dari rantai eksploitasi.

Kedua organisasi sering melaporkan aktor ancaman yang didukung pemerintah yang menggunakan taktik dan kerentanan serupa untuk menginstal spyware ke perangkat individu berisiko tinggi di seluruh dunia, seperti jurnalis, politisi, dan pembangkang.

Misalnya, mereka baru-baru ini membagikan detail tentang kampanye yang menyalahgunakan dua rantai eksploit yang menargetkan bug Android, iOS, dan Chrome untuk menginstal malware pengawasan komersial.

CISA juga memerintahkan agen federal untuk menambal perangkat mereka terhadap dua kerentanan keamanan ini, yang dikenal sebagai dieksploitasi secara aktif untuk meretas iPhone, Mac, dan iPad.

Pada pertengahan Februari, Apple menambal WebKit zero-day (CVE-2023-23529) lain yang sedang dalam serangan untuk memicu crash dan mendapatkan eksekusi kode pada perangkat iOS, iPadOS, dan macOS yang rentan.

selengkapnya : bleepingcomputer.com

QNAP Zero-Days Meninggalkan 80K Perangkat Rentan terhadap Serangan Cyber

by

Sepasang vulnerability zero-day di beberapa sistem operasi (OS) Quality Network Appliance Provider (QNAP) untuk peralatan network-attached storage (NAS) memengaruhi sekitar 80.000 perangkat di seluruh dunia. Mereka tetap tidak ditambal untuk dua dari empat OS yang terpengaruh.

QNAP menyediakan peralatan dan perangkat lunak untuk penyimpanan, jaringan, dan video pintar Internet of Things (IoT). Bug OS, yang ditemukan oleh para peneliti di Sternum, adalah pelanggaran akses memori, yang dapat menyebabkan kode tidak stabil dan dapat menyediakan jalur bagi penjahat dunia maya yang diautentikasi untuk mengeksekusi kode arbitrer.

Vulnerability, dilacak di bawah CVE-2022-27597 dan CVE-2022-27598, memengaruhi QTS, pahlawan QuTS, QuTScloud, dan QVP OS, menurut Sternum, dan telah diperbaiki di QTS versi 5.0.1.2346 build 20230322 (dan yang lebih baru) dan QuTS hero versi h5.0.1.2348 build 20230324 (dan yang lebih baru). QuTScloud dan QVP OS tetap belum ditambal, tetapi QNAP mengatakan bahwa itu “segera memperbaiki” kekurangannya.

Penasihat keamanan QNAP menambahkan, “Jika dieksploitasi, vulnerabilty memungkinkan pengguna terotentikasi jarak jauh untuk mendapatkan nilai rahasia.”

Sementara bug dinilai “keparahan rendah,” dan sejauh ini, para peneliti Sternum belum melihat mereka dieksploitasi di alam liar, mendapatkan tambalan dengan cepat penting – pengguna QNAP terus menjadi target favorit di antara penjahat dunia maya.

selengkapnya : darkreading.com