Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Blind Command Injection.

Blind Command Injection.

Aruba Networks Memperbaiki Enam Vulnerability Kritis di ArubaOS

by

Aruba Networks menerbitkan penasehat keamanan untuk memberi tahu pelanggan tentang enam kerentanan kritis-keparahan yang berdampak pada beberapa versi ArubaOS, sistem operasi jaringan miliknya.

Cacat tersebut memengaruhi Konduktor Mobilitas Aruba, Pengontrol Mobilitas Aruba, dan Gateway WLAN yang dikelola Aruba serta Gateway SD-WAN.

Aruba Networks adalah anak perusahaan Hewlett Packard Enterprise yang berbasis di California, yang berspesialisasi dalam jaringan komputer dan solusi konektivitas nirkabel.

Cacat kritis yang ditangani oleh Aruba kali ini dapat dipisahkan menjadi dua kategori: cacat injeksi perintah dan masalah buffer overflow berbasis stack di protokol PAPI (protokol manajemen titik akses Aruba Networks).

Semua kelemahan ditemukan oleh analis keamanan Erik de Jong, yang melaporkannya ke vendor melalui program bug bounty resmi.

Kerentanan injeksi perintah dilacak sebagai CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, dan CVE-2023-22750, dengan peringkat CVSS v3 9,8 dari 10,0.

Penyerang jarak jauh yang tidak diautentikasi dapat memanfaatkannya dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, menghasilkan eksekusi kode arbitrer sebagai pengguna istimewa di ArubaOS.

Bug buffer overflow berbasis tumpukan dilacak sebagai CVE-2023-22751 dan CVE-2023-22752, dan juga memiliki peringkat CVSS v3 9,8.

Cacat ini dapat dieksploitasi dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan kode arbitrer sebagai pengguna istimewa di ArubaOS.

versi yang terdampak :

  • ArubaOS 8.6.0.19 dan dibawahnya
  • ArubaOS 8.10.0.4 dan dibawahnya
  • ArubaOS 10.3.1.0 dan dibawahnya
  • SD-WAN 8.7.0.0-2.3.0.8 dan dibawahnya

Versi peningkatan target, menurut Aruba, harus:

  • ArubaOS 8.10.0.5 dan yang lebih baru
  • ArubaOS 8.11.0.0 dan yang lebih baru
  • ArubaOS 10.3.1.1 dan yang lebih baru
  • SD-WAN 8.7.0.0-2.3.0.9 dan yang lebih baru

Sayangnya, beberapa versi produk yang telah mencapai End of Life (EoL) juga terpengaruh oleh kerentanan ini dan tidak akan menerima pembaruan perbaikan. Ini adalah:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Solusi untuk administrator sistem yang tidak dapat menerapkan pembaruan keamanan atau menggunakan perangkat EoL adalah dengan mengaktifkan mode “Enhanced PAPI Security” menggunakan kunci non-default.

Namun, penerapan mitigasi tidak mengatasi 15 kerentanan tingkat tinggi dan delapan kerentanan tingkat menengah lainnya yang tercantum dalam penasehat keamanan Aruba, yang diperbaiki oleh versi baru.

Aruba menyatakan tidak mengetahui adanya diskusi publik, mengeksploitasi kode, atau mengeksploitasi secara aktif kerentanan ini pada tanggal rilis penasehat, 28 Februari 2022.

sumber : bleepingcomputer

Botnet EwDoor menargetkan perangkat tepi jaringan AT&T di perusahaan AS

by

Botnet yang baru-baru ini ditemukan menyerang perangkat tepi jaringan perusahaan AT&T yang belum ditambal menggunakan eksploitasi untuk kelemahan keamanan Blind Command Injection.

Botnet yang dijuluki EwDoor oleh peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), menargetkan pelanggan AT&T yang menggunakan perangkat edge EdgeMarc Enterprise Session Border Controller (ESBC).

Peralatan EdgeMarc mendukung VoIP dan lingkungan data berkapasitas tinggi, menjembatani kesenjangan antara jaringan perusahaan dan penyedia layanan mereka, dalam hal ini, operator AT&T.

Namun, ini juga mengharuskan perangkat untuk terbuka secara publik ke Internet, meningkatkan keterpaparan mereka terhadap serangan jarak jauh.

360 Netlab melihat botnet pada 27 Oktober ketika serangan pertama yang menargetkan perangkat Edgewater Networks yang terpapar Internet yang belum ditambal terhadap kerentanan kritis CVE-2017-6079 dimulai.

Para peneliti dapat melihat sekilas ukuran botnet dengan mendaftarkan salah satu domain command-and-control (C2) cadangannya dan memantau permintaan yang dibuat dari perangkat yang terinfeksi.

Selama tiga jam sebelum operator botnet beralih ke model komunikasi jaringan C2 yang berbeda, 360 Netlab dapat melihat sekitar 5.700 perangkat yang terinfeksi.

“Dengan memeriksa kembali sertifikat SSL yang digunakan oleh perangkat ini, kami menemukan bahwa ada sekitar 100 ribu IP yang menggunakan sertifikat SSL yang sama. Kami tidak yakin berapa banyak perangkat yang sesuai dengan IP ini yang dapat terinfeksi, tetapi kami dapat berspekulasi bahwa itu milik mereka. untuk kelas perangkat yang sama, kemungkinan dampaknya adalah nyata.”

360 Netlab mengatakan botnet kemungkinan digunakan untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan sebagai pintu belakang untuk mendapatkan akses ke jaringan target.

Saat ini botnet memiliki enam fitur utama: pembaruan sendiri, pemindaian port, manajemen file, serangan DDoS, shell terbalik, dan eksekusi perintah sewenang-wenang pada server yang disusupi.

“Berdasarkan perangkat yang diserang terkait komunikasi telepon, kami menganggap bahwa tujuan utamanya adalah serangan DDoS, dan pengumpulan informasi sensitif, seperti log panggilan.”

EwDoor botnet (360 Netlab)

EwDoor menggunakan enkripsi TLS untuk memblokir upaya intersepsi lalu lintas jaringan dan mengenkripsi sumber daya untuk memblokir analisis malware.

Detail teknis tambahan tentang botnet EwDoor dan indikator kompromi (IOC), termasuk domain C2 dan hash sampel malware, dapat ditemukan di laporan 360 Netlab.

Bleeping Computer