Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Apache

Apache

Cacat RCE Teks Apache Commons, Haruskah Anda khawatir?

by

Cacat eksekusi kode jarak jauh (RCE) di library Teks Apache Commons membuat beberapa orang khawatir bahwa itu bisa berubah menjadi Log4Shell berikutnya. Namun, sebagian besar peneliti keamanan siber mengatakan itu sama sekali tidak mengkhawatirkan.

Apache Commons Text adalah library Java open-source populer dengan “sistem interpolasi” yang memungkinkan pengembang untuk memodifikasi, mendekode, menghasilkan, dan melepaskan string berdasarkan pencarian string yang dimasukkan.

Misalnya, meneruskan pencarian string ${base64Decoder:SGVsbG9Xb3JsZCE=} ke sistem interpolasi akan menyebabkan library mengonversinya ke nilai dekode base64 ‘HelloWorld!’.

Kerentanan CVE-2022-42889 baru di Apache Commons Text, dijuluki “Text4Shell,” disebabkan oleh evaluasi skrip yang tidak aman oleh sistem interpolasi yang dapat memicu eksekusi kode saat memproses input berbahaya dalam konfigurasi default library.

Masalah ini ditemukan oleh analis ancaman GitHub Alvaro Munoz dan dilaporkan ke Apache pada 9 Maret 2022.

Namun, pengembang library open-source membutuhkan waktu 7 bulan, hingga 12 Oktober 2022, untuk merilis perbaikan di versi 1.10.0, yang menonaktifkan interpolasi.

Haruskah Anda khawatir?
Karena penyebaran library yang rentan secara luas, dan karena cacat tersebut memengaruhi versi yang ada sejak 2018, beberapa awalnya khawatir bahwa itu dapat menyebabkan kerusakan yang meluas seperti kerentanan Log4Shell.

Namun berdasarkan laporan dari Rapid7, tidak semua versi antara 1.5 dan 1.9 tampak rentan dan bahwa potensi eksploitasinya terhubung ke versi JDK yang digunakan.

Bahkan dengan eksploitasi proof of concept (PoC) yang diperbarui menggunakan mesin JEXL sebagai jalur eksploitasi melewati batasan JDK, para peneliti masih tidak terlalu khawatir.

Tim keamanan Apache mengatakan bahwa cakupan kelemahannya tidak seserius Log4Shell, menjelaskan bahwa interpolasi string adalah fitur yang terdokumentasi. Oleh karena itu, kecil kemungkinannya bahwa aplikasi yang menggunakan library akan secara tidak sengaja melewatkan input yang tidak aman tanpa validasi.

Sementara kelemahan tingkat keparahan kritis tetap tidak ditambal selama tujuh bulan dan terpapar pada upaya eksploitasi, tidak ada laporan pelecehan di alam liar bahkan setelah eksploitasi dilepaskan.

Meskipun kita mungkin akan melihat beberapa aktor ancaman yang mengeksploitasi CVE-2022-42889 di masa depan, mungkin cakupannya akan terbatas.

Untuk saat ini, pengguna disarankan untuk meningkatkan ke versi 1.10 atau yang lebih baru sesegera mungkin untuk memperbaiki kekurangannya.

Sumber: Bleeping Computer

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

by

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Sumber: ZDNet

Selengkapnya: ZDNet

Peretas mulai menyebarkan malware dalam serangan Log4Shell di seluruh dunia

by

Dilansir dari Bleeping Computer, pelaku dan peneliti ancaman sedang memindai dan mengeksploitasi kerentanan Log4j Log4Shell untuk menyebarkan malware atau menemukan server yang rentan. Dalam artikel tersebut Bleeping Computer telah mengkompilasi muatan, scanner, dan serangan yang diketahui menggunakan kerentanan Log4j.

Jumat pagi, exploit dirilis secara publik untuk kerentanan kritis zero-day yang dijuluki ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh pada server yang rentan hanya dengan mencari atau mengubah user agent browser mereka ke string khusus.

Segera setelah itu, Apache merilis Log4j 2.15.0 untuk mengatasi kerentanan tersebut, tetapi pelaku ancaman sudah mulai memindai dan mengeksploitasi server yang rentan untuk mengekstrak data, menginstal malware, atau mengambil alih server.

Karena perangkat lunak ini digunakan di ribuan aplikasi dan situs web perusahaan, ada kekhawatiran signifikan bahwa perangkat lunak ini akan mengarah pada serangan yang meluas dan penyebaran malware.

Di bawah ini Bleeping Computer menguraikan serangan yang diketahui saat ini yang memanfaatkan kerentanan Log4j.

Cryptominer

Segera setelah kerentanan dirilis, Bleeping Computer melihat aktor ancaman mengeksploitasi kerentanan Log4Shell untuk mengeksekusi skrip shell yang mengunduh dan menginstal berbagai cryptominers, seperti yang ditunjukkan di bawah ini.

Pelaku ancaman di balik backdoor Kinsing dan botnet cryptomining menyalahgunakan kerentanan Log4j dengan muatan yang disandikan Base64 yang membuat server rentan mengunduh dan menjalankan skrip shell.

Botnet Mirai dan Muhstik

Netlab 360 melaporkan bahwa pelaku ancaman mengeksploitasi kerentanan untuk menginstal malware Mirai dan Muhstik pada perangkat yang rentan.

Keluarga malware ini merekrut perangkat dan server IoT ke dalam botnet mereka dan menggunakannya untuk menyebarkan cryptominers dan melakukan serangan DDoS skala besar.

Pemindaian dan pengungkapan informasi

Selain menggunakan eksploitasi Log4Shell untuk menginstal malware, pelaku ancaman dan peneliti keamanan menggunakan exploit untuk memindai server yang rentan dan mengekstrak informasi dari mereka.

Peneliti menggunakan exploit untuk memaksa server yang rentan mengakses URL atau melakukan permintaan DNS untuk callback domain. Ini memungkinkan peneliti atau aktor ancaman untuk menentukan apakah server rentan dan menggunakannya untuk serangan, penelitian, atau upaya di masa mendatang untuk mengklaim hadiah bug bounty.

Karena itu, sangat penting bagi semua pengguna untuk menginstal versi terbaru Log4j atau aplikasi yang terpengaruh untuk mengatasi kerentanan ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Apple iCloud, Twitter, dan Minecraft rentan terhadap eksploitasi zero-day ‘di mana-mana’

by

Sejumlah layanan populer, termasuk Apple iCloud, Twitter, Cloudflare, Minecraft, dan Steam, dilaporkan rentan terhadap eksploitasi zero-day yang memengaruhi perpustakaan logging Java yang populer.

Kerentanan, dijuluki “Log4Shell” oleh para peneliti di LunaSec dan dikreditkan ke Chen Zhaojun dari Alibaba, telah ditemukan di Apache Log4j, sebuah utilitas logging open source yang digunakan di sejumlah besar aplikasi, situs web, dan layanan.

Log4Shell pertama kali ditemukan di Minecraft milik Microsoft, meskipun LunaSec memperingatkan bahwa “banyak, banyak layanan” rentan terhadap eksploitasi ini karena kehadiran “di mana-mana” Log4j di hampir semua aplikasi dan server perusahaan berbasis Java utama.

Dalam sebuah posting blog, perusahaan keamanan siber memperingatkan bahwa siapa pun yang menggunakan Apache Struts “kemungkinan rentan.”

Perusahaan dengan server yang dipastikan rentan terhadap serangan Log4Shell sejauh ini termasuk Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent, dan Elastic, meskipun kemungkinan ada ratusan bahkan ribuan organisasi lain yang terpengaruh.

Dalam sebuah pernyataan yang diberikan kepada TechCrunch, Cloudflare mengatakan telah memperbarui sistem untuk mencegah serangan, menambahkan bahwa tidak ada bukti eksploitasi.

Tim Tanggap Darurat Komputer (CERT) untuk Selandia Baru, CERT Deutsche Telekom, dan layanan pemantauan web Greynoise telah memperingatkan bahwa penyerang secara aktif mencari server yang rentan terhadap serangan Log4Shell.

Menurut yang terakhir, Menurut yang terakhir, sekitar 100 host berbeda sedang memindai internet untuk mencari cara untuk mengeksploitasi kerentanan Log4j.

Apache Software Foundation telah merilis pembaruan keamanan darurat hari ini untuk menambal kerentanan zero-day di Log4j, bersama dengan langkah-langkah mitigasi bagi mereka yang tidak dapat segera memperbarui. Pengembang game Mojang Studios juga telah merilis pembaruan keamanan Minecraft darurat untuk mengatasi bug tersebut.

Selengkapnya: Tech Chrunch

Pembaruan darurat Apache memperbaiki tambalan yang tidak lengkap untuk bug yang dieksploitasi

by

Apache Software Foundation telah merilis HTTP Web Server 2.4.51 setelah peneliti menemukan bahwa pembaruan keamanan sebelumnya tidak memperbaiki kerentanan yang dieksploitasi secara aktif dengan benar.

Apache HTTP Server adalah open-source, server web lintas platform yang mendukung sekitar 25% situs web di seluruh dunia.

Pada hari Selasa (5/10/2021), Apache merilis Apache HTTP 2.4.50 untuk memperbaiki kerentanan traversal jalur yang dieksploitasi secara aktif di versi 2.4.49 (dilacak sebagai CVE-2021-41773). Kerentanan ini memungkinkan pelaku ancaman untuk melihat konten file yang disimpan di server yang rentan.

Sesaat setelah pembaruan dirilis, peneliti keamanan menganalisis dan mengungkapkan eksploitasi yang berfungsi untuk kerentanan. Lebih buruk lagi, para peneliti juga menemukan bahwa kerentanan dapat digunakan untuk eksekusi kode jarak jauh jika modul mod_cgi dimuat dan opsi default “require all denied” tidak ada.

Kemudian pada Kamis (7/10/2021), Apache merilis versi 2.4.51 setelah menemukan bahwa perbaikan sebelumnya untuk kerentanan CVE-2021-41773 yang dieksploitasi secara aktif tidak lengkap.

“Ditemukan bahwa perbaikan untuk CVE-2021-41773 di Apache HTTP Server 2.4.50 tidak mencukupi. Penyerang dapat menggunakan serangan traversal jalur untuk memetakan URL ke file di luar direktori yang dikonfigurasi oleh arahan mirip Alias,” ungkap Apache dalam nasihat pembaharuan.

“Jika file di luar direktori ini tidak dilindungi oleh konfigurasi default biasa “memerlukan semua ditolak”, permintaan ini dapat berhasil. Jika skrip CGI juga diaktifkan untuk jalur alias ini, ini dapat memungkinkan eksekusi kode jarak jauh.”

Oleh karena itu, sangat disarankan agar admin segera mengupgrade server mereka ke Apache HTTP 2.4.51 untuk menghapus vektor serangan yang tersisa setelah patch sebelumnya.

Selengkapnya: Bleeping Computer

Google mendanai proyek untuk mengamankan server web Apache dengan komponen Rust baru

by

Google mendanai proyek di Internet Security Research Group untuk memindahkan komponen penting dari proyek server web HTTP Apache dari bahasa pemrograman C yang rawan bug ke alternatif yang lebih aman bernama Rust.

Modul yang dimaksud disebut mod_ssl dan merupakan modul yang bertanggung jawab untuk mendukung operasi kriptografi yang diperlukan untuk membuat koneksi HTTPS di server web Apache.ISRG mengatakan berencana untuk mengembangkan modul baru yang disebut mod_tls yang akan melakukan hal yang sama tetapi menggunakan bahasa pemrograman Rust daripada C.
Modul ini akan didasarkan pada Rustls; pustaka sumber terbuka Rust dikembangkan sebagai alternatif untuk proyek OpenSSL berbasis C.

Menurut W3Techs, server web HTTP Apache adalah teknologi server web teratas saat ini, digunakan saat ini oleh 34,9% dari semua situs web yang teknologi server webnya dikenal.

“Apache httpd masih merupakan bagian infrastruktur yang sangat penting, 26 tahun setelah dimulainya,” kata Brian Behlendorf, salah satu pembuat server web Apache.

Dikembangkan menggunakan sponsor dari Mozilla, Rust diciptakan untuk membuat bahasa pemrograman multiguna yang lebih aman digunakan, tingkat rendah, sebagai alternatif untuk C dan C ++.

Tidak seperti C dan C ++, Rust dirancang sebagai bahasa pemrograman yang aman untuk memori yang dilengkapi dengan perlindungan terhadap masalah manajemen memori yang sering mengakibatkan kelemahan keamanan yang berbahaya.

Kerentanan keamanan memori telah mendominasi bidang keamanan selama beberapa dekade terakhir dan sering menyebabkan masalah yang dapat dimanfaatkan untuk mengambil alih seluruh sistem, dari desktop hingga server web dan dari ponsel cerdas hingga perangkat IoT.

Microsoft mengatakan pada 2019 bahwa persentase masalah keamanan memori yang ditambal dalam perangkat lunaknya telah mencapai sekitar 70% dari semua bug keamanan selama 12 tahun terakhir.

Pada tahun 2020, Google menggemakan angka yang sama ketika tim Chrome mengatakan bahwa 70% dari bug yang ditambal di browser webnya juga merupakan masalah terkait memori.

Dengan statistik seperti itu dari Google dan Microsoft, dan dengan hampir dua pertiga dari seluruh situs web sekarang dialihkan ke HTTPS, porting modul mod_ssl Apache ke Rust adalah cara sederhana dan cepat untuk memastikan miliaran pengguna tetap aman di tahun-tahun mendatang.

Source : ZDnet

Malware Linux Stantinko sekarang berperan sebagai server web Apache

by

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet