Zero Day

Lebih dari 4.400 Server Firewall Sophos tetap Rentan Terhadap Eksploitasi Kritis

January 19, 2023 by Coffee Bean

Lebih dari 4.400 server yang terpapar Internet menjalankan versi Sophos Firewall yang rentan terhadap eksploitasi kritis yang memungkinkan peretas mengeksekusi kode berbahaya, seorang peneliti memperingatkan.

CVE-2022-3236 adalah kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh di Portal Pengguna dan Webadmin Sophos Firewall. Ini membawa peringkat keparahan 9,8 dari 10.

Menurut penelitian yang diterbitkan baru-baru ini, lebih dari 4.400 server yang menjalankan firewall Sophos tetap rentan. Itu menyumbang sekitar 6 persen dari semua firewall Sophos, kata perusahaan keamanan VulnCheck, mengutip angka dari pencarian di Shodan.

“Lebih dari 99% Sophos Firewall yang terhubung ke Internet belum ditingkatkan ke versi yang berisi perbaikan resmi untuk CVE-2022-3236,” tulis peneliti VulnCheck, Jacob Baines. “Tetapi sekitar 93% menjalankan versi yang memenuhi syarat untuk hotfix, dan perilaku default firewall adalah mengunduh dan menerapkan hotfix secara otomatis (kecuali dinonaktifkan oleh administrator).

“Kode yang rentan hanya tercapai setelah CAPTCHA divalidasi,” tulis Baines. “CAPTCHA yang gagal akan mengakibatkan kegagalan eksploitasi. Meskipun bukan tidak mungkin, menyelesaikan CAPTCHA secara terprogram merupakan rintangan tinggi bagi sebagian besar penyerang. Sebagian besar Sophos Firewall yang terhubung ke Internet tampaknya mengaktifkan CAPTCHA login, yang berarti, bahkan pada saat yang paling tepat, kerentanan ini tidak mungkin berhasil dieksploitasi dalam skala besar.”

Ini adalah kesempatan yang baik untuk mengingatkan para pengguna ini, serta semua pengguna perangkat lunak usang jenis apa pun, untuk mengikuti praktik keamanan terbaik dan memutakhirkan ke versi terbaru yang tersedia, seperti yang dilakukan Sophos secara rutin kepada pelanggannya.”

selengkapnya : arstechnica

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

December 14, 2022 by Coffee Bean

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
Citrix ADC 12.1-FIPS before 12.1-55.291
Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Peretas Mendapatkan $989.750 Untuk 63 zero-days yang Dieksploitasi di Pwn2Own Toronto

December 13, 2022 by Flamango

Pwn2Own Toronto 2022 telah berakhir dengan pesaing mendapatkan $989.750 untuk 63 eksploitasi zero-day (dan beberapa tabrakan bug) yang menargetkan produk konsumen antara 6 Desember dan 9 Desember.

Dalam kompetisi ini, sejumlah 26 tim dan peneliti keamanan telah menargetkan berbagai perangkat elektronik seperti ponsel, printer, router nirkabel, dan penyimpanan yang terhubung ke jaringan, semuanya mutakhir dan dalam konfigurasi default mereka. Meski tidak ada tim yang mendaftar untuk meretas smartphone Apple iPhone 13 dan Google Pixel 6, para kontestan meretas Samsung Galaxy S22 yang ditambal sepenuhnya sebanyak empat kali.

Sepanjang kontes, peretas telah berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di perangkat dari berbagai vendor, termasuk Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik, dan HP.

Setelah kerentanan zero-day yang dieksploitasi selama acara Pwn2Own dilaporkan, vendor diberi waktu 120 hari untuk merilis patch sebelum ZDI mengungkapkannya secara publik. Pwn2Own Toronto 2022 telah berakhir tepat pada hari keempat kompetisi dengan kontestan mendapatkan $989.750 untuk 63 eksploitasi zero-day di berbagai kategori.Berikut ini adalah daftar pemenang kontes Pwn2Own Toronto 2022 dalam Papan Final Pwn2Own (ZDI).

Selengkapnya: BLEEPINGCOMPUTER

Cisco mengungkapkan kerentanan zero-day tingkat tinggi pada IP Phone dengan exploit code

December 13, 2022 by Coffee Bean

Cisco hari ini mengungkapkan kerentanan zero-day dengan tingkat keparahan tinggi yang memengaruhi generasi terbaru telepon IP-nya dan membuat mereka terkena eksekusi kode jarak jauh dan serangan denial of service (DoS).

Namun, PSIRT Cisco menambahkan bahwa pihaknya belum mengetahui adanya upaya untuk mengeksploitasi kelemahan keamanan ini dalam serangan.

CVE-2022-20968, saat kelemahan keamanan dilacak, disebabkan oleh validasi input yang tidak mencukupi dari paket Cisco Discovery Protocol yang diterima, yang dapat dieksploitasi oleh penyerang yang berdekatan dan tidak diautentikasi untuk memicu stack overflow.

Perangkat yang terpengaruh termasuk telepon IP Cisco yang menjalankan firmware Seri 7800 dan 8800 versi 14.2 dan sebelumnya.

Mitigasi tersedia untuk beberapa perangkat

Meskipun pembaruan keamanan untuk mengatasi CVE-2022-20968 atau solusinya belum tersedia, Cisco memberikan saran mitigasi untuk admin yang ingin mengamankan perangkat yang rentan di lingkungannya dari potensi serangan.

Ini memerlukan penonaktifan Cisco Discovery Protocol pada perangkat IP Phone 7800 dan 8800 Series yang terpengaruh yang juga mendukung Link Layer Discovery Protocol (LLDP) untuk penemuan tetangga.

“Perangkat kemudian akan menggunakan LLDP untuk menemukan data konfigurasi seperti VLAN suara, negosiasi daya, dan sebagainya,” jelas Cisco dalam penasehat keamanan yang diterbitkan Kamis.
Admin yang ingin menerapkan mitigasi ini disarankan untuk menguji keefektifan dan penerapannya di lingkungan mereka.

Cisco memperingatkan bahwa “pelanggan tidak boleh menggunakan solusi atau mitigasi apa pun sebelum terlebih dahulu mengevaluasi penerapannya pada lingkungan mereka sendiri dan dampak apa pun terhadap lingkungan tersebut.”

Sumber : bleeping computer

Apple memperbaiki zero-day baru yang digunakan dalam serangan terhadap iPhone, iPad

October 25, 2022 by Eevee

Apple telah mengatasi kerentanan zero-day kesembilan yang dieksploitasi dalam serangan di alam liar sejak awal tahun.

Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan “mungkin telah dieksploitasi secara aktif.”

Bug (CVE-2022-42827) adalah masalah out-of-bounds write yang dilaporkan ke Apple oleh peneliti anonim dan disebabkan oleh perangkat lunak yang menulis data di luar batas buffer memori saat ini.

Hal ini dapat mengakibatkan kerusakan data, aplikasi mogok, atau eksekusi kode karena hasil yang tidak ditentukan atau tidak diharapkan (juga dikenal sebagai kerusakan memori) yang dihasilkan dari data berikutnya yang ditulis ke buffer.

Seperti yang dijelaskan Apple, jika berhasil dieksploitasi dalam serangan, zero-day ini dapat digunakan oleh penyerang potensial untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Daftar lengkap perangkat yang terpengaruh termasuk iPhone 8 dan versi lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru.

Apple mengatasi kerentanan zero-day di iOS 16.1 dan iPadOS 16 dengan pemeriksaan batas yang ditingkatkan.

Sementara Apple telah mengungkapkan bahwa mereka mengetahui laporan eksploitasi aktif dari kerentanan ini di alam liar, itu belum merilis informasi apa pun mengenai serangan ini.

Ini kemungkinan akan memungkinkan pelanggan Apple untuk menambal perangkat mereka sebelum lebih banyak penyerang mengembangkan eksploitasi tambahan dan mulai menggunakannya dalam serangan yang menargetkan iPhone dan iPad yang rentan.

Meskipun bug zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan hari ini sangat disarankan untuk memblokir upaya serangan apa pun.

Sumber : Bleeping Computer

Windows zero-day yang dieksploitasi memungkinkan file JavaScript melewati peringatan keamanan

October 24, 2022 by Eevee

Update terbaru mengenai Windows Mark of the Web zero-day

Zero-day Windows baru memungkinkan pelaku ancaman menggunakan file JavaScript standalone yang berbahaya untuk melewati peringatan keamanan Mark-of-the-Web. Pelaku ancaman sudah terlihat menggunakan bug zero-day dalam serangan ransomware.

Fitur keamanan yang disebut Mark-of-the-Web (MoTW) yang menandai file sebagai telah diunduh dari Internet dan oleh karena itu harus diperlakukan dengan hati-hati karena dapat berbahaya.

Bendera MoTW ditambahkan ke file yang diunduh atau lampiran email sebagai Aliran Data Alternatif khusus yang disebut ‘Zone.Identifier,’ yang dapat dilihat menggunakan perintah ‘dir /R’ dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Aliran data alternatif ‘Zone.Identifier’ ini mencakup zona keamanan URL asal file (tiga sama dengan Internet), perujuk, dan URL ke file.

Saat pengguna mencoba membuka file dengan bendera Mark-of-the-Web, Windows akan menampilkan peringatan bahwa file tersebut kemungkinan berbahaya.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, yang menyebabkan makro dinonaktifkan.

Tim intelijen ancaman HP baru-baru ini melaporkan bahwa pelaku ancaman menginfeksi perangkat dengan ransomware Magniber menggunakan file JavaScript.

Untuk lebih jelasnya, kita tidak berbicara tentang file JavaScript yang umum digunakan di hampir semua situs web, tetapi file .JS didistribusikan oleh aktor ancaman sebagai lampiran atau unduhan yang dapat berjalan di luar browser web.

File JavaScript yang terlihat didistribusikan oleh aktor ancaman Magniber ditandatangani secara digital menggunakan blok tanda tangan yang disandikan base64 seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Setelah dianalisis oleh Will Dormann, dia menemukan bahwa penyerang menandatangani file-file ini dengan kunci yang salah format.

Ketika masuk dengan cara ini, meskipun file JS diunduh dari Internet dan menerima bendera MoTW, Microsoft tidak akan menampilkan peringatan keamanan, dan skrip akan secara otomatis dijalankan untuk menginstal ransomware Magniber.

Dormann lebih lanjut menguji penggunaan tanda tangan yang salah format ini dalam file JavaScript dan mampu membuat file JavaScript bukti konsep yang akan melewati peringatan MoTW.

Kedua file JavaScript (.JS) tersebut menerima Mark-of-the-Web, seperti yang ditunjukkan oleh kotak merah, saat diunduh dari situs web.

Mark-of-the-Web pada eksploitasi PoC Dormann
Sumber: BleepingComputer

Perbedaan antara kedua file adalah bahwa yang satu ditandatangani menggunakan kunci cacat yang sama dari file Magniber, dan yang lainnya tidak berisi tanda tangan sama sekali.

Ketika file yang tidak ditandatangani dibuka di Windows 10, peringatan keamanan MoTW ditampilkan dengan benar.

Namun, ketika mengklik dua kali ‘calc-othersig.js,’ yang ditandatangani dengan kunci yang salah format, Windows tidak menampilkan peringatan keamanan dan hanya menjalankan kode JavaSript.

Dengan menggunakan teknik ini, pelaku ancaman dapat melewati peringatan keamanan normal yang ditampilkan saat membuka file JS yang diunduh dan menjalankan skrip secara otomatis.

BleepingComputer dapat mereproduksi bug di Windows 10. Namun, untuk Windows 11, bug hanya akan terpicu saat menjalankan file JS langsung dari arsip.

Dormann mengatakan bahwa dia yakin bug ini pertama kali diperkenalkan dengan rilis Windows 10, karena perangkat Windows 8.1 yang sepenuhnya ditambal menampilkan peringatan keamanan MoTW seperti yang diharapkan.

Menurut Dormann, bug tersebut berasal dari fitur SmartScreen ‘Periksa aplikasi dan file’ baru Windows 10 di bawah Keamanan Windows > Kontrol Aplikasi & Peramban > Pengaturan perlindungan berbasis reputasi.

Dormann membagikan bukti konsep dengan Microsoft, yang mengatakan bahwa mereka tidak dapat mereproduksi bypass peringatan keamanan MoTW.

Dormann juga mengatakan bahwa pelaku ancaman dapat memodifikasi file bertanda Authenticode, termasuk file yang dapat dieksekusi (.EXE), untuk melewati peringatan keamanan MoTW.

Untuk melakukan ini, executable yang ditandatangani dapat dimodifikasi menggunakan editor hex untuk mengubah beberapa byte di bagian tanda tangan file dan dengan demikian merusak tanda tangan.

Setelah tanda tangan rusak, Windows tidak akan memeriksa file menggunakan SmartScreen, seolah-olah bendera MoTW tidak ada, dan membiarkannya berjalan.

Selengkapnya: Bleeping Computer

Windows Mark of the Web zero-day mendapat tambalan tidak resmi

October 19, 2022 by Eevee

0patch telah merilis tambalan tidak resmi gratis untuk mengatasi kelemahan zero-day yang dieksploitasi secara aktif dalam mekanisme keamanan Windows Mark of the Web (MotW).

Cacat ini memungkinkan penyerang untuk mencegah Windows menerapkan label (MotW) pada file yang diekstrak dari arsip ZIP yang diunduh dari Internet.

Windows secara otomatis menambahkan flag MotW ke semua dokumen dan executable yang diunduh dari sumber yang tidak dipercaya, termasuk file yang diekstrak dari arsip ZIP yang diunduh, menggunakan aliran data alternatif ‘Zone.Id’ khusus.

Label MotW ini memberi tahu Windows, Microsoft Office, browser web, dan aplikasi lain bahwa file harus diperlakukan dengan kecurigaan dan akan menyebabkan peringatan ditampilkan kepada pengguna bahwa membuka file dapat menyebabkan perilaku berbahaya, seperti malware yang diinstal pada perangkat.

Will Dormann, analis kerentanan senior di ANALYGENCE, yang pertama kali melihat arsip ZIP tidak menambahkan flag MoTW dengan benar, melaporkan masalah tersebut ke Microsoft pada bulan Juli.

Seperti yang dijelaskan oleh CEO ACROS Security dan salah satu pendiri layanan micropatch 0patch Mitja Kolsek, MotW adalah mekanisme keamanan Windows yang penting karena Kontrol Aplikasi Cerdas hanya akan bekerja pada file dengan bendera MotW dan Microsoft Office hanya akan memblokir makro pada dokumen yang ditandai dengan label MotW.

“Penyerang dapat mengirimkan file Word atau Excel dalam ZIP yang diunduh yang makronya tidak akan diblokir karena tidak adanya MOTW (bergantung pada pengaturan keamanan makro Office), atau akan lolos dari pemeriksaan oleh Kontrol Aplikasi Cerdas.”

Sejak zero-day dilaporkan ke Microsoft pada bulan Juli, telah terdeteksi sebagai dieksploitasi dalam serangan untuk mengirimkan file berbahaya pada sistem korban.

Sampai Microsoft merilis pembaruan resmi untuk mengatasi kekurangan tersebut, 0patch telah mengembangkan tambalan gratis untuk versi Windows yang terpengaruh berikut ini:

Windows 10 v1803 dan yang lebih baru
Windows 7 dengan atau tanpa ESU
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012
Windows Server 2012 R2
Windows Server 2008 R2 dengan atau tanpa ESU

Untuk menginstal micropatch pada perangkat Windows Anda, daftarkan akun 0patch dan instal agennya.

Mereka akan diterapkan secara otomatis setelah meluncurkan agen tanpa memerlukan sistem restart jika tidak ada kebijakan tambalan khusus untuk memblokirnya.

Selengkapnya: Bleeping Computer

Microsoft October 2022 Patch Tuesday memperbaiki zero-day yang digunakan dalam serangan serta 84 kelemahan

October 12, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Oktober 2022, dan dengan itu datang perbaikan untuk kerentanan Windows yang dieksploitasi secara aktif dan total 84 kelemahan.

Tiga belas dari 84 kerentanan yang diperbaiki dalam pembaruan kali ini diklasifikasikan sebagai ‘Kritis’ karena memungkinkan peningkatan hak istimewa, spoofing, atau eksekusi kode jarak jauh, salah satu jenis kerentanan yang paling parah.

Patch Tuesday bulan ini juga memperbaiki dua kerentanan zero-day, satu secara aktif dieksploitasi dalam serangan dan satu diungkapkan secara publik.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki kali ini dilacak sebagai ‘CVE-2022-41033 – Windows COM+ Event System Service Elevation of Privilege Vulnerability’.

“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” bunyi nasihat Microsoft.

Kerentanan yang diungkapkan kepada publik dilacak sebagai ‘CVE-2022-41043 – Microsoft Office Information Disclosure Vulnerability’ dan ditemukan oleh Cody Thomas dari SpecterOps. Microsoft mengatakan penyerang dapat menggunakan kerentanan ini untuk mendapatkan akses ke token otentikasi pengguna.

Microsoft meminta pengguna untuk segera menerapkan pembaruan sesegera mungkin untuk melindungi sistem mereka.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zero Day

Cookies Settings