Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Bug

Bug

MITER membagikan daftar bug perangkat lunak paling berbahaya tahun ini

by

MITER membagikan 25 besar kelemahan paling umum dan berbahaya tahun ini yang memengaruhi perangkat lunak selama dua tahun kalender sebelumnya.

Kelemahan perangkat lunak adalah kekurangan, bug, kerentanan, atau berbagai kesalahan lain yang ditemukan dalam kode, arsitektur, implementasi, atau desain solusi perangkat lunak.

Mereka berpotensi mengekspos sistem yang mereka jalankan ke serangan yang dapat memungkinkan pelaku ancaman untuk mengendalikan perangkat yang terpengaruh, mendapatkan akses ke informasi sensitif, atau memicu kondisi penolakan layanan.

Untuk membuat daftar ini, MITER menilai setiap kelemahan berdasarkan prevalensi dan tingkat keparahannya setelah menganalisis data untuk 37.899 CVE dari Database Kerentanan Nasional (NVD) NIST dan Katalog Kerentanan Tereksploitasi (KEV) CISA.

25 bug teratas MITRE dianggap berbahaya karena biasanya mudah ditemukan, berdampak tinggi, dan lazim dalam perangkat lunak yang dirilis selama dua tahun terakhir.

Tabel di bawah ini memberikan wawasan tentang kelemahan keamanan paling kritis dan terkini yang memengaruhi perangkat lunak di seluruh dunia.

Selengkapnya

Pada bulan April, dalam kemitraan dengan FBI dan NSA, otoritas keamanan siber di seluruh dunia juga telah menerbitkan daftar 15 kerentanan teratas yang sering dieksploitasi oleh pelaku ancaman selama tahun 2021.

Seperti terungkap dalam penasihat bersama, aktor jahat memfokuskan serangan mereka tahun lalu pada kerentanan yang baru diungkapkan yang memengaruhi sistem yang terhubung ke internet, termasuk server email dan jaringan pribadi virtual (VPN).

Ini kemungkinan karena aktor jahat dan peneliti keamanan menerbitkan eksploitasi bukti konsep (POC) dalam waktu dua minggu setelah sebagian besar bug yang dieksploitasi teratas diungkapkan pada tahun 2021.

Namun, mereka juga memfokuskan beberapa serangan pada kelemahan lama yang ditambal bertahun-tahun sebelumnya, menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan setelah tambalan tersedia.

CISA dan FBI juga telah menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019. Bug teratas yang dieksploitasi secara rutin pada tahun 2020 juga dirilis bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Keamanan Siber Nasional Inggris. Pusat (NCSC).

Pada bulan November, MITER juga telah membagikan daftar pemrograman, desain, dan kelemahan keamanan arsitektur paling berbahaya yang mengganggu perangkat keras sepanjang tahun lalu.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

by

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Tagged With:

HP memperbaiki bug yang memungkinkan penyerang menimpa firmware di lebih dari 200 model

by

HP telah merilis pembaruan BIOS hari ini untuk memperbaiki dua kerentanan tingkat tinggi yang memengaruhi berbagai produk PC dan notebook, yang memungkinkan kode dijalankan dengan hak istimewa Kernel.

Hak istimewa tingkat kernel adalah hak tertinggi di Windows, memungkinkan pelaku ancaman untuk menjalankan perintah apa pun di tingkat Kernel, termasuk memanipulasi driver dan mengakses BIOS.

Cacat dilacak sebagai CVE-2021-3808 dan CVE-2021-3809, dan keduanya memiliki skor dasar CVSS 3.1 sebesar 8,8, memberi mereka peringkat keparahan yang tinggi. Saat ini, HP tidak memberikan rincian teknis tentang kekurangan ini.

Daftar produk yang terpengaruh termasuk notebook bisnis seperti Zbook Studio, ZHAN Pro, EliteBook, ProBook, dan Elite Dragonfly, PC desktop bisnis seperti EliteDesk dan ProDesk, komputer PoS ritel seperti Engage, workstation seperti Z1 dan Z2, dan PC thin client .

Untuk daftar lengkap semua model yang terpengaruh dan SoftPaq yang sesuai untuk digunakan dalam setiap kasus, periksa halaman saran keamanan dan cari perangkat Anda. Perhatikan bahwa tidak semua produk yang terdaftar telah menerima tambalan perbaikan.

Nicholas Starke, peneliti yang menemukan kekurangan ini pada November 2021, dan melaporkannya ke HP, menjelaskan masalahnya secara lebih rinci dalam posting blog terpisah.

Masalahnya tampaknya penangan SMI dapat dipicu dari lingkungan OS, misalnya, melalui driver kernel Windows.

Pengendali SMI yang rentan (StarkeBlog)

Penyerang perlu menemukan alamat memori dari fungsi “LocateProtocol” dan menimpanya dengan kode berbahaya. Terakhir, penyerang dapat memicu eksekusi kode dengan menginstruksikan pengendali SMI untuk mengeksekusi.

Penting untuk digarisbawahi bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki hak akses root/tingkat SISTEM pada sistem target, dan mengeksekusi kode dalam Mode Manajemen Sistem (SMM).

Tujuan akhir dari serangan semacam itu adalah untuk menimpa Implementasi UEFI (BIOS) dari mesin dengan gambar BIOS yang dikendalikan penyerang. Ini berarti penyerang dapat menanam malware persisten yang tidak dapat dihapus oleh alat antivirus, dan bahkan dengan penginstalan ulang OS.

Terakhir, penting juga untuk menyoroti bahwa beberapa model komputer HP memiliki mitigasi yang harus dilewati penyerang agar eksploitasi berfungsi, seperti sistem HP Sure Start misalnya.

Peneliti menjelaskan bahwa HP Sure Start dapat mendeteksi gangguan semacam ini dan mematikan host pada tindakan korupsi memori. Kemudian, pada startup pertama, peringatan akan ditampilkan kepada pengguna bersama dengan prompt untuk menyetujui boot sistem.

Perbaikan terbaru HP datang hanya dua bulan setelah pembuat komputer memasang 16 bug firmware UEFI dan tiga bulan setelah mengatasi serangkaian kelemahan BIOS yang berbeda.

Sumber: Bleeping Computer

Badan keamanan siber mengungkapkan kerentanan yang paling banyak dieksploitasi pada tahun 2021

by

Bekerja sama dengan NSA dan FBI, otoritas keamanan siber di seluruh dunia hari ini merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi oleh pelaku ancaman selama tahun 2021.

Otoritas keamanan siber mendesak organisasi dalam penasihat bersama untuk segera menambal kelemahan keamanan ini dan menerapkan sistem manajemen tambalan untuk mengurangi permukaan serangan mereka.

Secara global, aktor jahat telah diamati memfokuskan serangan mereka pada sistem yang menghadap internet, termasuk email dan server jaringan pribadi virtual (VPN), menggunakan eksploitasi yang menargetkan kerentanan yang baru diungkapkan.

“Otoritas keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris menilai, pada tahun 2021, pelaku siber jahat secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia,” bunyi nasihat itu.

Ini mungkin karena aktor jahat dan peneliti keamanan merilis eksploitasi proof of concept (POC) dalam waktu dua minggu sejak pengungkapan awal untuk sebagian besar bug yang dieksploitasi teratas sepanjang tahun 2021.

Namun, penyerang memfokuskan beberapa serangan mereka pada kerentanan lama yang ditambal bertahun-tahun sebelumnya, yang menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan ketika tambalan tersedia.

Berikut aftar 15 kelemahan keamanan yang paling banyak dieksploitasi dengan tautan ke entri Basis Data Kerentanan Nasional dan malware terkait. Selengkapnya

Badan keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris juga telah mengidentifikasi dan mengungkapkan 21 kerentanan keamanan tambahan yang biasa dieksploitasi oleh pelaku siber jahat selama tahun 2021, termasuk yang berdampak pada Accellion File Transfer Appliance (FTA), Windows Print Spooler, dan Pulse Secure Pulsa Hubungkan Aman.

Penasihat bersama mencakup langkah-langkah mitigasi yang akan membantu mengurangi risiko yang terkait dengan kelemahan penyalahgunaan teratas yang dijelaskan di atas.

CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang dieksploitasi secara rutin pada tahun 2020 bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Pusat Keamanan Siber Nasional Inggris (NCSC) ).

Pada November 2021, MITER juga membagikan daftar kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada tahun 2021 dan 25 kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Sumber: Bleeping Computer

RIG Exploit Kit menjatuhkan malware RedLine melalui bug Internet Explorer

by

Analis ancaman telah menemukan kampanye baru yang menggunakan RIG Exploit Kit untuk mengirimkan malware pencuri RedLine.

Exploit kits (EKs) telah menurun drastis popularitasnya karena mereka menargetkan kerentanan di browser web yang diperkenalkan oleh perangkat lunak plug-in seperti Flash Player dan Microsoft Sillverlight yang sekarang sudah tidak berfungsi.

Seiring dengan semakin amannya browser web dan memperkenalkan pembaruan otomatis untuk semua komponennya atau menggantinya dengan standar modern, penggunaan EK untuk mendistribusikan malware telah menurun hingga menjadi hal yang jarang ditemui akhir-akhir ini.

Kampanye yang baru-baru ini diselidiki yang mengandalkan RIG EK memanfaatkan CVE-2021-26411, kerentanan Internet Explorer yang menyebabkan kerusakan memori saat melihat situs web yang dibuat secara khusus.

Pelaku ancaman menggunakan eksploit untuk mengkompromikan mesin dan menyebarkan RedLine, malware pencuri informasi yang murah namun kuat yang beredar luas di forum berbahasa Rusia.

Dari sana, musuh menggali detail pengguna yang sensitif seperti kunci dompet cryptocurrency, detail kartu kredit, dan kredensial akun yang disimpan di browser web.

Sesuai dengan namanya, RIG EK menyertakan serangkaian eksploitasi untuk mengotomatiskan intrusi jaringan dengan melakukan eksekusi shellcode yang diperlukan pada target.

Ini telah digunakan secara luas dalam berbagai kampanye sejak 2016. Popularitasnya memuncak pada 2018 dan 2019 untuk menyebarkan berbagai malware, termasuk ransomware seperti Nemty, Sodinokibi/REvil, Buran, dan Eris.

Itu pernah lebih disukai daripada kit lain karena menggabungkan teknologi yang berbeda seperti JavaScript, VBScript, DoSWF, dan lainnya, yang digunakan untuk pengemasan, kebingungan, dan eksekusi.

Saat ini, RIG Exploit telah kehilangan status prestisiusnya tetapi beberapa pelaku ancaman masih merasa berguna untuk mengirimkan malware, seperti yang terjadi tahun lalu, ketika menjatuhkan malware WastedLoader.

Kampanye baru-baru ini ditemukan oleh para peneliti di Bitdefender, yang menemukan bahwa RIG EK menggabungkan CVE-2021-26411 untuk memulai proses infeksi yang menyelundupkan salinan pencuri RedLine ke target dalam bentuk kemasan.

Menjatuhkan muatan pada sistem target (Bitdefender)

Eksploitasi menciptakan proses baris perintah baru yang menjatuhkan file JavaScript di direktori sementara, yang pada gilirannya mengunduh muatan terenkripsi RC4 kedua dan meluncurkannya.

Pembongkaran pencuri RedLine adalah proses enam tahap yang terdiri dari dekompresi, pengambilan kunci, dekripsi runtime, dan tindakan perakitan. File DLL yang dihasilkan tidak pernah menyentuh memori disk untuk menghindari deteksi AV.

Tahap kedua membongkar muatan (Bitdefender)

Setelah RedLine terbentuk pada mesin yang disusupi sebagai .NET yang dapat dieksekusi yang dikaburkan, ia mencoba menyambung ke server C2, dalam kampanye ini, 185.215.113.121 melalui port 15386.

Komunikasi menggunakan saluran non-HTTP terenkripsi, sedangkan permintaan pertama juga melibatkan otorisasi. Permintaan kedua dijawab dengan daftar pengaturan yang menentukan tindakan apa yang akan dilakukan pada host.

Pengaturan diterima oleh C2 (Bitdefender)

Setelah itu, RedLine mulai mengumpulkan data sesuai dengan pengaturan tersebut, menargetkan serangkaian luas perangkat lunak seperti browser web, VPN, klien FTP, Discord, Telegram, Steam, dan dompet/plugin cryptocurrency.

Selain itu, RedLine mengirimkan paket informasi sistem ke C2, termasuk nama pengguna Windows dan nomor seri, daftar perangkat lunak yang diinstal, daftar proses yang berjalan, zona waktu, bahasa aktif, dan tangkapan layar.

Meskipun metode ini memerlukan tindakan pengguna dan menargetkan audiens yang lebih luas, penambahan RIG Exploit Kit mengotomatiskan proses infeksi tetapi membatasi set korban untuk mereka yang masih menjalankan versi Internet Explorer yang rentan.

Sumber: Bleeping Computer

CISA memperingatkan penyerang yang sekarang mengeksploitasi bug Windows Print Spooler

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan tiga kelemahan keamanan baru ke daftar bug yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal di Windows Print Spooler.

Kerentanan tingkat keparahan tinggi ini (dilacak sebagai CVE-2022-22718) berdampak pada semua versi Windows sesuai dengan saran Microsoft dan telah ditambal selama Patch Februari 2022 pada hari Selasa.

Satu-satunya informasi yang dibagikan Microsoft tentang kelemahan keamanan ini adalah bahwa pelaku ancaman dapat mengeksploitasinya secara lokal dalam serangan dengan kompleksitas rendah tanpa interaksi pengguna.

Redmond menambal beberapa bug Windows Print Spooler lainnya dalam 12 bulan terakhir, termasuk kerentanan eksekusi kode jarak jauh PrintNightmare yang kritis.

Setelah detail teknis dan eksploitasi proof-of-concept (POC) untuk PrintNightmare secara tidak sengaja bocor, CISA memperingatkan admin untuk menonaktifkan layanan Windows Print Spooler pada Pengontrol Domain dan sistem yang tidak digunakan untuk mencetak untuk memblokir kemungkinan serangan masuk.

Minggu lalu, CISA menambahkan bug eskalasi hak istimewa lainnya di Driver Sistem File Log Umum Windows ke daftar kelemahan yang dieksploitasi di alam liar, bug yang dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA) dan ditambal oleh Microsoft selama Patch Selasa bulan ini. .

Menurut arahan operasional yang mengikat November (BOD 22-01), semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan Tereksploitasi yang Diketahui (KEV).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 10 Mei, untuk menambal kerentanan CVE-2022-22718 yang sekarang aktif dieksploitasi dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan ini hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk memperbaiki elevasi bug hak istimewa Windows Print Spooler ini untuk menggagalkan upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan dua kerentanan keamanan lama ke katalog KEV-nya hari ini, juga disalahgunakan dalam serangan yang sedang berlangsung.

Nama Kerentanan CVE Tanggal Ditambahkan

  • CVE-2022-22718 Microsoft Windows Print Spooler Privilege Eskalasi Kerentanan 2022-04-19
  • CVE-2018-6882 Zimbra Collaboration Suite (ZCS) Skrip Lintas Situs (XSS) 2022-04-19
  • CVE-2019-3568 WhatsApp VOIP Stack Buffer Overflow Kerentanan 2022-04-19

Sejak BOD 22-01 binding directive dikeluarkan, CISA telah menambahkan ratusan bug keamanan ke dalam daftar kerentanan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk mencegah pelanggaran.

Sumber : Bleeping Computer

Bug driver firmware Lenovo UEFI memengaruhi lebih dari 100 model laptop

by

Lenovo telah menerbitkan nasihat keamanan tentang kerentanan yang berdampak pada Unified Extensible Firmware Interface (UEFI) yang dimuat pada setidaknya 100 model laptopnya.

Total tiga masalah keamanan ditemukan, dua di antaranya memungkinkan penyerang untuk menonaktifkan perlindungan untuk chip memori flash SPI tempat firmware UEFI disimpan dan untuk mematikan fitur UEFI Secure Boot, yang memastikan sistem dimuat hanya saat boot. kode yang dipercaya oleh Original Equipment Manufacturer (OEM).

Eksploitasi yang berhasil dari yang ketiga, yang diidentifikasi sebagai CVE-2021-3970, dapat memungkinkan penyerang lokal untuk mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi.

Ketiga kerentanan ditemukan oleh peneliti ESET dan dilaporkan secara bertanggung jawab kepada Lenovo pada Oktober tahun lalu. Mereka memengaruhi lebih dari 100 model laptop konsumen, termasuk IdeaPad 3, Legion 5 Pro-16ACH6 H, dan Yoga Slim 9-14ITL05, yang kemungkinan berarti jutaan pengguna dengan perangkat yang rentan.

Para peneliti di ESET memperingatkan bahwa dua kerentanan terkait UEFI (CVE-2021-3971 dan CVE-2021-3972) dapat digunakan oleh penyerang untuk “menyebarkan dan berhasil mengeksekusi flash SPI atau implan ESP.”

Kedua masalah keamanan terkait UEFI dalam produk Lenovo dihasilkan dari pengenalan dua driver firmware UEFI ke dalam produksi bernama SecureBackDoor dan SecureBackDoorPeim – yang hanya digunakan selama proses manufaktur. Penasihat keamanan dari Lenovo menjelaskan kerentanan seperti ini:

  • CVE-2021-3971: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur lama pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru disertakan dalam gambar BIOS dapat memungkinkan penyerang dengan hak yang lebih tinggi untuk memodifikasi wilayah perlindungan firmware dengan memodifikasi variabel NVRAM.
  • CVE-2021-3972: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk memodifikasi pengaturan boot aman dengan memodifikasi variabel NVRAM.

ESET telah memberikan analisis teknis terperinci dari tiga kerentanan yang ditemukan dengan mencatat bahwa “ancaman UEFI bisa sangat tersembunyi dan berbahaya” karena mereka mengeksekusi “di awal proses boot, sebelum mentransfer kontrol ke sistem operasi.”

Ini berarti bahwa sebagian besar mitigasi dan solusi keamanan yang aktif di tingkat OS tidak berguna dan eksekusi muatan hampir tidak dapat dihindari dan tidak terdeteksi.

Perusahaan keamanan siber telah menemukan dua implan seperti itu di masa lalu, keduanya digunakan di alam liar oleh pelaku ancaman:

  • Lojax – ditemukan pada tahun 2018 dan digunakan oleh aktor yang didukung negara Rusia dilacak sebagai APT28, Fancy Bear, Sednit, Strontium, dan Sofacy
  • ESPecter – diidentifikasi pada tahun 2021 dan aktif sejak 2012 (sebagai bootkit untuk sistem berbasis BIOS) untuk kegigihan pada Partisi Sistem EFI (ESP)

Ini bukan satu-satunya ancaman UEFI yang ditemukan. Kaspersky menerbitkan laporan tentang MosaicRegressor pada tahun 2020, tentang FinSpy pada tahun 2021, dan MoonBounce pada bulan Januari tahun ini.

Untuk melindungi dari serangan yang berasal dari kerentanan di atas, Lenovo merekomendasikan pengguna perangkat yang terpengaruh untuk memperbarui versi firmware sistem ke versi terbaru yang tersedia.

Ini dapat dilakukan dengan menginstal pembaruan secara manual dari halaman dukungan perangkat atau dengan bantuan utilitas untuk memperbarui driver sistem yang disediakan oleh perusahaan.

Peretas mengeksploitasi bug penting VMware CVE-2022-22954, tambal sekarang

by

Eksploitasi proof-of-concept telah dirilis secara online untuk kerentanan eksekusi kode jarak jauh VMware CVE-2022-22954, yang telah digunakan dalam serangan aktif yang menginfeksi server dengan penambang koin.

Kerentanan adalah kritis (CVSS: 9.8) eksekusi kode jarak jauh (RCE) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager, dua produk perangkat lunak yang banyak digunakan.

Vendor perangkat lunak merilis penasehat keamanan untuk kerentanan pada tanggal 6 April 2022, memperingatkan tentang kemungkinan aktor ancaman dengan akses jaringan memicu injeksi template sisi server yang menghasilkan RCE.

VMware telah merilis pembaruan keamanan untuk produk yang terpengaruh dan petunjuk penyelesaian untuk membantu mengatasi risiko penerapan yang tidak dapat segera diperbarui oleh admin.

Pada saat yang sama, ini menggarisbawahi pentingnya mengatasi kerentanan tertentu: “Kerentanan kritis ini harus segera ditambal atau dikurangi sesuai instruksi di VMSA-2021-0011. Konsekuensi dari kerentanan ini serius.”

Meskipun merilis eksploitasi publik meningkatkan risiko bahwa aktor ancaman akan mengeksploitasi mereka dalam serangan, mereka juga dimaksudkan untuk membantu mengamankan sistem melalui pengujian dan berfungsi sebagai validator perbaikan/tambalan yang ada.

Saat ini, pelaku ancaman secara aktif memindai host yang rentan, dengan firma intelijen keamanan siber Bad Packets memberi tahu bahwa mereka mendeteksi upaya untuk mengeksploitasi kerentanan di alam liar.

Alamat IP, 106.246.224.219, yang digunakan dalam payload, baru-baru ini terlihat menjatuhkan pintu belakang Tsunami Linux dalam serangan lain. Namun, tidak jelas apa ‘satu’ yang dapat dieksekusi, karena tidak lagi dapat diakses.

Peneliti keamanan Daniel Card juga berbagi di Twitter bahwa kerentanan sedang dieksploitasi untuk menjatuhkan muatan coinminer, umumnya serangan pertama yang kita lihat ketika pelaku ancaman menargetkan kerentanan baru.

Beberapa pelaku ancaman ini kemudian menutup kerentanan setelah mereka menguasai server.

Karena eksploitasi aktifnya, jika Anda belum menerapkan pembaruan atau mitigasi keamanan VMware, sangat disarankan untuk melakukannya sesegera mungkin.

Untuk pengguna produk VMware, perlu diperhatikan bahwa saran vendor mencantumkan beberapa kelemahan tingkat tinggi selain dari RCE yang disebutkan di atas, yang memengaruhi produk tambahan selain Workspace One Access dan Identity Manager, jadi pastikan Anda menggunakan versi terbaru yang tersedia.

Sumber : Bleeping Computer