Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Bug

Bug

Seorang Mahasiswa Menemukan Bug di Perutean Email Cloudflare yang Memungkinkan Anda Membaca Email Setiap Pengguna

by

Tahun lalu, perusahaan IT Cloudflare meluncurkan layanan perutean email, yang memberi pengguna kemampuan untuk mengatur sejumlah besar alamat yang terhubung ke kotak masuk yang sama.

Perutean email dapat menjadi alat privasi yang kuat, karena memungkinkan Anda untuk menyembunyikan alamat email Anda yang sebenarnya di balik jaringan alamat sementara atau “dapat dibakar”.

Sayangnya, seperti yang ditunjukkan dalam penelitian yang diterbitkan Rabu oleh seorang mahasiswa dari Denmark, layanan Cloudflare memiliki bug raksasa di dalamnya. Cacatnya, ketika dieksploitasi dengan benar, memungkinkan pengguna mana pun untuk membaca—atau bahkan memanipulasi—email pengguna lain.

Albert Pedersen, yang saat ini menjadi mahasiswa di Skive College di Midtjylland, menulis bahwa ia menemukan kerentanan invasif pada bulan Desember. Dalam sebuah tulisan yang diterbitkan di situs webnya, Pedersen menjelaskan bahwa bug tersebut akan memungkinkan peretas untuk “memodifikasi konfigurasi perutean domain apa pun menggunakan layanan.”

Kerentanan, yang telah dikonfirmasi oleh Cloudflare tetapi dikatakan tidak pernah dieksploitasi, melibatkan cacat dalam sistem “verifikasi kepemilikan zona” program, yang berarti bahwa peretas dapat mengonfigurasi ulang perutean dan penerusan email untuk domain email yang tidak dimiliki oleh mereka.

Manipulasi eksploit yang tepat akan memungkinkan seseorang yang mengetahui bug tersebut untuk merutekan ulang email pengguna ke alamat mereka sendiri. Itu juga akan memungkinkan peretas untuk mencegah email tertentu dikirim ke target sama sekali.

Dalam tulisannya, Pedersen mencatat bahwa tidak sulit untuk menemukan daftar alamat email online yang dilampirkan ke layanan Cloudflare. Menggunakan salah satu daftar itu, orang jahat bisa dengan mudah menargetkan siapa saja yang menggunakan layanan penerusan.

Setelah menemukan eksploit, Pedersen berhasil mereproduksinya beberapa kali menggunakan beberapa domain pribadi dan memutuskan untuk melaporkan masalah tersebut ke program hadiah bug Cloudflare. Program ini akhirnya memberinya total $6.000 untuk usahanya. Pedersen juga mengatakan blognya diterbitkan dengan izin dari Cloudflare.

Dalam email ke Gizmodo, perwakilan perusahaan menegaskan kembali bahwa bug telah diperbaiki segera setelah ditemukan: “Seperti yang dirangkum dalam blog peneliti, kerentanan ini diungkapkan melalui program bug bounty kami. Kami kemudian menyelesaikan masalah dan memverifikasi bahwa kerentanan belum dieksploitasi.”

Untung saja tidak, karena jika seorang peretas mendapatkan eksploitasi ini, mereka dapat menyebabkan kekacauan kotak masuk yang nyata. Dalam tulisannya, Pederson mencatat bahwa penjahat dunia maya dapat menggunakan bug ini untuk mengatur ulang kata sandi, yang akan mengancam akun lain yang terhubung ke alamat email yang dieksploitasi:

“Ini bukan hanya masalah privasi yang besar, tetapi karena fakta bahwa tautan pengaturan ulang kata sandi sering dikirim ke alamat email pengguna, aktor jahat juga berpotensi mendapatkan kendali atas akun apa pun yang ditautkan ke alamat email itu. Ini adalah contoh bagus mengapa Anda harus menggunakan otentikasi 2 faktor,” tulisnya.

Sumber: GIZMODO

VMware mendesak admin untuk segera menambal bug bypass auth kritis

by

VMware telah memperingatkan admin hari ini untuk menambal kelemahan keamanan bypass otentikasi kritis yang memengaruhi pengguna domain lokal di beberapa produk dan memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan hak istimewa admin.

Cacat (CVE-2022-31656) dilaporkan oleh Petrus Viet dari VNG Security, yang menemukan bahwa itu berdampak pada VMware Workspace ONE Access, Identity Manager, dan vRealize Automation.

VMware menilai tingkat keparahan kerentanan keamanan ini sebagai hal yang kritis, dengan skor dasar CVSSv3 9,8/10.

Perusahaan juga menambal beberapa bug keamanan lain yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, CVE-2022-31665) dan meningkatkan hak istimewa ke ‘root’ (CVE-2022-31660, CVE- 2022-31661, CVE-2022-31664) pada server yang belum ditambal.

Daftar lengkap produk VMware yang terpengaruh oleh kerentanan ini meliputi:

  • VMware Workspace ONE Akses (Akses)
  • VMware Workspace ONE Access Connector (Konektor Akses)
  • Manajer Identitas VMware (vIDM)
  • Konektor Manajer Identitas VMware (Konektor vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Menurut VMware, tidak ada bukti bahwa kerentanan bypass otentikasi CVE-2022-31656 kritis dieksploitasi dalam serangan.

VMware menyediakan tautan unduhan tambalan dan instruksi instalasi terperinci di situs web basis pengetahuannya.

Perusahaan juga membagikan solusi sementara untuk pelanggan yang tidak dapat segera menambal peralatan mereka terhadap CVE-2022-31656.

Langkah-langkah yang dirinci oleh VMware mengharuskan admin untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan dan masuk melalui SSH untuk memulai kembali layanan cakrawala-ruang kerja.

Namun, VMware tidak merekomendasikan penggunaan solusi ini dan mengatakan satu-satunya cara untuk mengatasi kelemahan bypass auth CVE-2022-31656 sepenuhnya adalah dengan menambal produk yang rentan.

Perusahaan juga menyediakan dokumen dukungan dengan daftar pertanyaan dan jawaban mengenai bug kritis yang ditambal hari ini.

Pada bulan Mei, VMware menambal kerentanan kritis yang hampir identik, bug bypass otentikasi lain (CVE-2022-22972) yang ditemukan oleh Bruno López dari Innotec Security di Workspace ONE Access, VMware Identity Manager (vIDM), dan vRealize Automation.

Sumber: Arstechnica

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Tim kernel Linux telah mengurutkan cacat chip Retbleed

by

Pengembang kernel Linux telah mengatasi bug eksekusi spekulatif Retbleed di silikon Intel dan AMD yang lebih lama, meskipun perbaikannya tidak langsung, jadi penguin kaisar Linus Torvalds telah menunda pengiriman versi kernel berikutnya selama seminggu.

“Ketika kami memiliki salah satu masalah [perangkat keras] yang diembargo yang tertunda, tambalan tidak mendapatkan pengembangan terbuka, dan akibatnya melewatkan semua pemeriksaan kewarasan yang biasa dilakukan oleh semua infrastruktur pembuatan dan pengujian otomatisasi yang kami miliki,” Torvalds tulis dalam sebuah posting yang mengumumkan pengiriman kandidat rilis tujuh untuk kernel versi 5.19.

Retbleed bukan satu-satunya alasan penundaan.

“Minggu lalu ada dua pohon pengembangan lain yang secara independen juga meminta perpanjangan, jadi 5.19 akan menjadi salah satu rilis yang memiliki tambahan rc8 akhir pekan depan sebelum rilis final,” tulis Torvalds.

Dua pohon lain yang membutuhkan lebih banyak waktu menyangkut sistem file btrfs serta firmware untuk pengontrol untuk GPU Intel yang tampaknya kadang-kadang secara tidak sengaja menonaktifkan penguat grafis pada beberapa silikon Intel Alder Lake baru yang mengkilap.

Torvalds melaporkan kedua masalah tampaknya terkendali, “Jadi kita tidak memiliki masalah besar, tetapi satu minggu ekstra pasti diperlukan.”

Yang memalukan, karena minggu lalu Torvalds menyatakan harapannya bahwa kandidat rilis tujuh akan menjadi yang terakhir untuk versi ini sejalan dengan preferensinya untuk tujuh kandidat rilis.

Tidak ada dalam posting Torvalds yang menunjukkan penundaan lebih lanjut dapat diharapkan, jadi kernel baru akan debut minggu depan. Berikutnya akan datang versi 5.20, yang pada bentuk terbaru dapat dipilih sebagai rilis Dukungan Jangka Panjang.

Sumber: The Register

Bug Auditor Netwrix Baru Dapat Membiarkan Penyerang Mengganggu Domain Direktori Aktif

by

Para peneliti telah mengungkapkan rincian tentang kerentanan keamanan dalam aplikasi Auditor Netwrix yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode arbitrer pada perangkat yang terpengaruh.

Auditor adalah platform audit dan visibilitas yang memungkinkan organisasi untuk memiliki tampilan gabungan dari lingkungan TI mereka, termasuk Active Directory, Exchange, server file, SharePoint, VMware, dan sistem lainnya—semua dari satu konsol.

Netwrix, perusahaan di balik perangkat lunak, mengklaim lebih dari 11.500 pelanggan di lebih dari 100 negara, seperti Airbus, Virgin, King’s College Hospital, dan Credissimo, antara lain.

Cacat, yang berdampak pada semua versi yang didukung sebelum 10.5, telah digambarkan sebagai deserialisasi objek yang tidak aman, yang terjadi ketika data yang dapat dikontrol pengguna yang tidak tepercaya diuraikan untuk menimbulkan serangan eksekusi kode jarak jauh.

Akar penyebab bug adalah layanan jarak jauh .NET tanpa jaminan yang dapat diakses pada port TCP 9004 di server Netwrix, memungkinkan aktor untuk mengeksekusi perintah sewenang-wenang di server.

“Karena perintah dijalankan dengan hak istimewa NT AUTHORITY\SYSTEM, mengeksploitasi masalah ini akan memungkinkan penyerang untuk sepenuhnya berkompromi dengan server Netwrix,” kata Jordan Parkin dari Bishop Fox.

Organisasi yang mengandalkan Auditor direkomendasikan untuk memperbarui perangkat lunak ke versi terbaru, 10.5, yang dirilis pada 6 Juni, untuk mencegah potensi risiko apa pun.

Sumber : The Hacker News

OpenSSL memperbaiki dua bug crypto “one-liner”

by

OpenSSL telah merilis pembaruan keamanan untuk mengatasi kerentanan mempengaruhi OpenSSL 3.0.4. Seorang penyerang dapat mengeksploitasi kerentanan ini untukmengambil kendali dari sistem yang terpengaruh.

Beberapa headlines menggambarkan bug itu sebagai kemungkinan “cacat yang lebih buruk dari Heartbleed flaw”. Heartbleed, adalah bug kebocoran data profil tinggi yang mengintai tanpa diketahui di OpenSSL selama beberapa tahun sebelum akhirnya dipublikasikan publisitas pada tahun 2014

Faktanya, Heartbleed mungkin dapat dianggap sebagai contoh awal dari aproses BWAIN (Bug With An Impressive Name)

Heartbleed adalah bug yang mengekspos banyak situs public-facing web ke lalu lintas berbahaya dan mengatakan “Hei”! Beri tahu saya jika Anda masih di sana dengan mengirimkan kembali pesan ini: ROGER. Omong-omong, kirim kembali teks dalam buffer memori yang panjangnya 64.000 byte.”

Server yang belum ditambal akan patuh membalas dengan sesuatu seperti: ROGER [ditambah 64000 minus 5 byte dari apa pun yang kebetulan mengikuti di memori, mungkin termasuk permintaan web orang lain atau bahkan kata sandi dan kunci pribadi].

Menariknya, kedua bug yang diperbaiki dalam rilis ini dsebut sebagai “one-liners”, artinya mengubah atau menambahkan hanya satu baris kode akan menambal setiap lubang.

Faktanya, seperti yang akan kita lihat, salah satu tambalan melibatkan perubahan satu instruksi assembler, yang pada akhirnya menghasilkan hanya dua bit yang ditukar dalam kode yang dikompilasi.

Bug-bug tersebut adalah sebagai berikut:

  • CVE-2022-2274: Memori overflow di eksponensial modular RSA.
  • CVE-2022-2097: Kebocoran data di enkripsi AES-OCB.

Kode eksponensial modular sekarang mengubah hitungan bit menjadi hitungan bilangan bulat, dengan membagi jumlah bit dengan jumlah byte dalam bilangan bulat dikalikan dengan 8 (jumlah bit dalam satu byte).

Kode enkripsi AES-OCB sekarang menggunakan tes JBE (lompat jika di bawah atau sama dengan) di akhir loopnya alih-alih JB (lompat jika di bawah), yang merupakan jenis perubahan yang sama seperti mengubah loop C untuk mengatakan ( i = 1; i <= n; i++) {…} bukan untuk (i = 1; i < n; i++) {…}.

Dalam kode yang dikompilasi, ini hanya mengubah satu bit dari satu byte, yaitu dengan mengganti nilai opcode biner 0111 0010 (lompat jika di bawah) menjadi 0111 0100 (lompat jika di bawah atau sama).

Untungnya, kami tidak mengetahui mode enkripsi khusus AES-OCB yang banyak digunakan (setara modernnya adalah AES-GCM, jika Anda terbiasa dengan banyak varian enkripsi AES).

Khususnya, seperti yang ditunjukkan oleh tim OpenSSL, “OpenSSL tidak mendukung rangkaian sandi berbasis OCB untuk TLS dan DTLS,” sehingga keamanan jaringan koneksi SSL/TLS tidak terpengaruh oleh bug ini.

Apa solusinya?
OpenSSL versi 3.0 dipengaruhi oleh kedua bug ini, dan mendapat pembaruan dari 3.0.4 ke 3.0.5. Sedangkan OpenSSL versi 1.1.1 dipengaruhi oleh bug kebocoran teks biasa AES-OCB, dan mendapat pembaruan dari 1.1.1p ke 1.1.1q. Dari dua bug tersebut, bug eksponensial modular adalah yang lebih parah.

Jika Anda menggunakan OpenSSL 3 dan Anda tidak dapat memutakhirkan source code Anda, tetapi Anda dapat mengkompilasi ulang sumber yang sudah Anda gunakan, maka solusi lainnya adalah membangun kembali OpenSSL Anda saat ini menggunakan pengaturan konfigurasi no-asm.

Untuk menekan code alone AES-OCB, Anda dapat mengkompilasi ulang dengan pengaturan konfigurasi no-ocb, yang seharusnya menjadi intervensi yang tidak berbahaya jika Anda tidak sengaja menggunakan mode OCB di perangkat lunak Anda sendiri.

Sumber: Naked Security

Karyawan Rogue HackerOne mencuri laporan bug untuk dijual di samping

by

Seorang karyawan HackerOne mencuri laporan kerentanan yang dikirimkan melalui platform bug bounty dan mengungkapkannya kepada pelanggan yang terpengaruh untuk mengklaim hadiah finansial.

Pekerja nakal telah menghubungi sekitar setengah lusin pelanggan HackerOne dan mengumpulkan hadiah “dalam beberapa pengungkapan,” kata perusahaan itu pada hari Jumat.

HackerOne adalah platform untuk mengoordinasikan pengungkapan kerentanan dan menengahi hadiah uang untuk pemburu bug yang mengirimkan laporan keamanan.

Pada 22 Juni, HackerOne menanggapi permintaan pelanggan untuk menyelidiki pengungkapan kerentanan yang mencurigakan melalui saluran komunikasi di luar platform dari seseorang yang menggunakan pegangan “rzlr.”

Pelanggan telah memperhatikan bahwa masalah keamanan yang sama sebelumnya telah dikirimkan melalui HackerOne.

Tabrakan bug, di mana banyak peneliti menemukan dan melaporkan masalah keamanan yang sama, sering terjadi; dalam hal ini, laporan asli dan laporan dari aktor ancaman memiliki kesamaan yang jelas yang mendorong untuk melihat lebih dekat.

Investigasi HackerOne menentukan bahwa salah satu karyawannya memiliki akses ke platform selama lebih dari dua bulan, sejak mereka bergabung dengan perusahaan pada 4 April hingga 23 Juni, dan menghubungi tujuh perusahaan untuk melaporkan kerentanan yang telah diungkapkan melalui sistemnya.

Karyawan nakal itu menerima hadiah untuk beberapa laporan yang mereka kirimkan, kata perusahaan itu. Ini memungkinkan HackerOne untuk mengikuti jejak uang dan mengidentifikasi pelaku sebagai salah satu pekerjanya yang melakukan triage pengungkapan kerentanan untuk “banyak program pelanggan.”

Menganalisis lalu lintas jaringan aktor ancaman mengungkapkan lebih banyak bukti yang menghubungkan akun utama dan sockpuppet mereka di HackerOne.

Kurang dari 24 jam setelah memulai penyelidikan, platform bug bounty mengidentifikasi pelaku ancaman, menghentikan akses sistem mereka, dan mengunci laptop mereka dari jarak jauh sambil menunggu penyelidikan.

Selama beberapa hari berikutnya, HackerOne melakukan pencitraan forensik jarak jauh dan analisis komputer tersangka dan selesai meninjau log akses data untuk karyawan tersebut selama masa kerja untuk menentukan semua program hadiah bug yang berinteraksi dengan aktor ancaman.

Pada 30 Juni, HackerOne menghentikan pekerjaan aktor ancaman.

HackerOne mencatat bahwa mantan karyawannya telah menggunakan bahasa “mengancam” dan “mengintimidasi” dalam interaksi mereka dengan pelanggan dan mendesak pelanggan untuk menghubungi perusahaan jika mereka menerima pengungkapan yang dibuat dengan nada agresif.

Perusahaan mengatakan bahwa “dalam sebagian besar kasus” tidak ada bukti data kerentanan telah disalahgunakan. Namun, pelanggan yang memiliki laporan yang diakses oleh pelaku ancaman internal, baik untuk tujuan jahat atau sah, telah diinformasikan secara individual tentang tanggal dan waktu akses untuk setiap pengungkapan kerentanan.

Pemberitahuan tersebut memberi tahu peretas tentang insiden tersebut dan menyertakan daftar laporan yang diakses oleh aktor ancaman baik secara sah, sebagai bagian dari pekerjaan mereka, atau dengan maksud untuk menyalahgunakan kerentanan yang dikirimkan.

Pembaruan [3 Juli, 14:21 EST]: Artikel diperbarui dengan pemberitahuan HackerOne kepada peretas dengan laporan yang diakses oleh karyawan nakal.

Sumber: Bleeping Computer

Jenkins Mengungkap Lusinan Bug Zero-Day di Beberapa Plugin

by

Pada hari Kamis, tim keamanan Jenkins mengumumkan 34 kerentanan keamanan yang memengaruhi 29 plugin untuk server otomatisasi open source Jenkins, 29 dari bug tersebut masih dalam keadaan zero-days yang masih menunggu untuk ditambal.

Jenkins adalah platform yang sangat populer (dengan dukungan untuk lebih dari 1.700 plugin) yang digunakan oleh perusahaan di seluruh dunia untuk membangun, menguji, dan menerapkan perangkat lunak.

Skor dasar CVSS zero-days berkisar dari tingkat keparahan rendah hingga tinggi, dan, menurut statistik Jenkins, plugin yang terpengaruh memiliki total lebih dari 22.000 pemasangan.

Daftar lengkap kelemahan yang belum ditambal termasuk XSS, XSS Tersimpan, bug Pemalsuan Permintaan Lintas Situs (CSRF), pemeriksaan izin yang hilang atau salah, serta kata sandi, rahasia, kunci API, dan token yang disimpan dalam teks biasa.

Untungnya, sebagian besar yang berbahaya, zero-days dengan tingkat keparahan tinggi, memerlukan interaksi pengguna untuk dieksploitasi dalam serangan dengan kompleksitas rendah oleh penyerang jarak jauh dengan hak istimewa yang rendah.

Berdasarkan data Shodan, saat ini ada lebih dari 144.000 server Jenkins yang terpapar Internet yang dapat menjadi sasaran serangan jika menjalankan plugin yang belum ditambal.

Sementara tim Jenkins telah menambal empat plugin (yaitu, GitLab, plugin permintaan, Hasil TestNG, Rilis XebiaLabs XL), masih ada daftar panjang plugin yang rentan, termasuk:

  • Build Notifications Plugin hingga dan termasuk 1.5.0
  • build-metrics Plugin hingga dan termasuk 1.3
  • Cisco Spark Plugin hingga dan termasuk 1.1.1
  • Deployment Dashboard Plugin hingga dan termasuk 1.0.10
  • Elasticsearch Query Plugin hingga dan termasuk 1.2
  • eXtreme Feedback Panel Plugin hingga dan termasuk 2.0.1

“Pada publikasi nasihat ini, tidak ada perbaikan,” kata tim keamanan Jenkins ketika menjelaskan kerentanan yang belum ditambal.

Meskipun tidak ada kerentanan yang merupakan kerentanan kritis yang dapat membuat pelaku ancaman mengeksekusi kode atau perintah dari jarak jauh pada server yang rentan untuk mengambil alih, mereka dapat menjadi sasaran dalam serangan terhadap jaringan perusahaan.

Ini bukan pertama kalinya terjadi sejak server Jenkins yang belum ditambal telah dikompromikan sebelumnya untuk menambang cryptocurrency Monero.

Namun, penyerang potensial kemungkinan besar akan mengeksploitasi zero-days ini dalam serangan pengintaian yang memungkinkan mereka mendapatkan lebih banyak wawasan tentang infrastruktur perusahaan yang ditargetkan.

Selengkapnya: BleepingComputer