Bug

Jenkins Mengungkap Lusinan Bug Zero-Day di Beberapa Plugin

July 2, 2022 by Eevee

Pada hari Kamis, tim keamanan Jenkins mengumumkan 34 kerentanan keamanan yang memengaruhi 29 plugin untuk server otomatisasi open source Jenkins, 29 dari bug tersebut masih dalam keadaan zero-days yang masih menunggu untuk ditambal.

Jenkins adalah platform yang sangat populer (dengan dukungan untuk lebih dari 1.700 plugin) yang digunakan oleh perusahaan di seluruh dunia untuk membangun, menguji, dan menerapkan perangkat lunak.

Skor dasar CVSS zero-days berkisar dari tingkat keparahan rendah hingga tinggi, dan, menurut statistik Jenkins, plugin yang terpengaruh memiliki total lebih dari 22.000 pemasangan.

Daftar lengkap kelemahan yang belum ditambal termasuk XSS, XSS Tersimpan, bug Pemalsuan Permintaan Lintas Situs (CSRF), pemeriksaan izin yang hilang atau salah, serta kata sandi, rahasia, kunci API, dan token yang disimpan dalam teks biasa.

Untungnya, sebagian besar yang berbahaya, zero-days dengan tingkat keparahan tinggi, memerlukan interaksi pengguna untuk dieksploitasi dalam serangan dengan kompleksitas rendah oleh penyerang jarak jauh dengan hak istimewa yang rendah.

Berdasarkan data Shodan, saat ini ada lebih dari 144.000 server Jenkins yang terpapar Internet yang dapat menjadi sasaran serangan jika menjalankan plugin yang belum ditambal.

Sementara tim Jenkins telah menambal empat plugin (yaitu, GitLab, plugin permintaan, Hasil TestNG, Rilis XebiaLabs XL), masih ada daftar panjang plugin yang rentan, termasuk:

Build Notifications Plugin hingga dan termasuk 1.5.0
build-metrics Plugin hingga dan termasuk 1.3
Cisco Spark Plugin hingga dan termasuk 1.1.1
Deployment Dashboard Plugin hingga dan termasuk 1.0.10
Elasticsearch Query Plugin hingga dan termasuk 1.2
eXtreme Feedback Panel Plugin hingga dan termasuk 2.0.1

“Pada publikasi nasihat ini, tidak ada perbaikan,” kata tim keamanan Jenkins ketika menjelaskan kerentanan yang belum ditambal.

Meskipun tidak ada kerentanan yang merupakan kerentanan kritis yang dapat membuat pelaku ancaman mengeksekusi kode atau perintah dari jarak jauh pada server yang rentan untuk mengambil alih, mereka dapat menjadi sasaran dalam serangan terhadap jaringan perusahaan.

Ini bukan pertama kalinya terjadi sejak server Jenkins yang belum ditambal telah dikompromikan sebelumnya untuk menambang cryptocurrency Monero.

Namun, penyerang potensial kemungkinan besar akan mengeksploitasi zero-days ini dalam serangan pengintaian yang memungkinkan mereka mendapatkan lebih banyak wawasan tentang infrastruktur perusahaan yang ditargetkan.

Selengkapnya: BleepingComputer

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

July 1, 2022 by Eevee

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

MITER membagikan daftar bug perangkat lunak paling berbahaya tahun ini

June 30, 2022 by Eevee

MITER membagikan 25 besar kelemahan paling umum dan berbahaya tahun ini yang memengaruhi perangkat lunak selama dua tahun kalender sebelumnya.

Kelemahan perangkat lunak adalah kekurangan, bug, kerentanan, atau berbagai kesalahan lain yang ditemukan dalam kode, arsitektur, implementasi, atau desain solusi perangkat lunak.

Mereka berpotensi mengekspos sistem yang mereka jalankan ke serangan yang dapat memungkinkan pelaku ancaman untuk mengendalikan perangkat yang terpengaruh, mendapatkan akses ke informasi sensitif, atau memicu kondisi penolakan layanan.

Untuk membuat daftar ini, MITER menilai setiap kelemahan berdasarkan prevalensi dan tingkat keparahannya setelah menganalisis data untuk 37.899 CVE dari Database Kerentanan Nasional (NVD) NIST dan Katalog Kerentanan Tereksploitasi (KEV) CISA.

25 bug teratas MITRE dianggap berbahaya karena biasanya mudah ditemukan, berdampak tinggi, dan lazim dalam perangkat lunak yang dirilis selama dua tahun terakhir.

Tabel di bawah ini memberikan wawasan tentang kelemahan keamanan paling kritis dan terkini yang memengaruhi perangkat lunak di seluruh dunia.

Selengkapnya

Pada bulan April, dalam kemitraan dengan FBI dan NSA, otoritas keamanan siber di seluruh dunia juga telah menerbitkan daftar 15 kerentanan teratas yang sering dieksploitasi oleh pelaku ancaman selama tahun 2021.

Seperti terungkap dalam penasihat bersama, aktor jahat memfokuskan serangan mereka tahun lalu pada kerentanan yang baru diungkapkan yang memengaruhi sistem yang terhubung ke internet, termasuk server email dan jaringan pribadi virtual (VPN).

Ini kemungkinan karena aktor jahat dan peneliti keamanan menerbitkan eksploitasi bukti konsep (POC) dalam waktu dua minggu setelah sebagian besar bug yang dieksploitasi teratas diungkapkan pada tahun 2021.

Namun, mereka juga memfokuskan beberapa serangan pada kelemahan lama yang ditambal bertahun-tahun sebelumnya, menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan setelah tambalan tersedia.

CISA dan FBI juga telah menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019. Bug teratas yang dieksploitasi secara rutin pada tahun 2020 juga dirilis bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Keamanan Siber Nasional Inggris. Pusat (NCSC).

Pada bulan November, MITER juga telah membagikan daftar pemrograman, desain, dan kelemahan keamanan arsitektur paling berbahaya yang mengganggu perangkat keras sepanjang tahun lalu.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

May 30, 2022 by Eevee

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Pakar Merincikan Kerentanan RCE Baru yang Mempengaruhi Google Chrome Developer Channel

May 29, 2022 by Søren

Detail telah muncul tentang kerentanan eksekusi kode jarak jauh kritis yang baru-baru ini ditambal di JavaScript V8 dan mesin WebAssembly yang digunakan di Google Chrome dan browser berbasis Chromium.

Masalah ini berkaitan dengan kasus penggunaan-setelah-bebas dalam komponen pengoptimalan instruksi, eksploitasi yang berhasil dapat “memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks browser.”

Cacat, yang diidentifikasi dalam versi saluran Dev Chrome 101, dilaporkan ke Google oleh Weibo Wang, seorang peneliti keamanan di perusahaan keamanan siber Singapura Numen Cyber Technology dan sejak itu telah diperbaiki secara diam-diam oleh perusahaan.

“Kerentanan ini terjadi pada tahap pemilihan instruksi, di mana instruksi yang salah telah dipilih dan mengakibatkan pengecualian akses memori,” kata Wang.

Cacat penggunaan-setelah-bebas terjadi ketika memori yang sebelumnya dibebaskan diakses, menyebabkan perilaku tidak terdefinisi dan menyebabkan program macet, menggunakan data yang rusak, atau bahkan mencapai eksekusi kode arbitrer.

Yang lebih memprihatinkan adalah bahwa kelemahan tersebut dapat dieksploitasi dari jarak jauh melalui situs web yang dirancang khusus untuk melewati batasan keamanan dan menjalankan kode arbitrer untuk mengkompromikan sistem yang ditargetkan.

“Kerentanan ini dapat dieksploitasi lebih lanjut dengan menggunakan teknik penyemprotan heap, dan kemudian mengarah pada kerentanan ‘kebingungan tipe’,” jelas Wang. “Kerentanan memungkinkan penyerang untuk mengontrol pointer fungsi atau menulis kode ke lokasi arbitrer di memori, dan akhirnya mengarah pada eksekusi kode.”

Selengkapnya: The Hacker News

Intel mengungkapkan banyak masalah keamanan pada perangkat keras mereka, tambal sekarang!

May 15, 2022 by Søren

Intel telah mengumumkan sejumlah bug firmware, yang dapat memungkinkan endpoint seperti server pusat data, workstation, perangkat seluler, dan produk penyimpanan dikompromikan.

Bug, pertama kali dilaporkan oleh The Register, bug tersebut dapat memungkinkan aktor jahat membocorkan informasi dan meningkatkan hak istimewa mereka, dan diberi label oleh Intel sebagai “keparahan tinggi”.

Daftar lengkap produk yang mungkin terpengaruh oleh kerentanan dapat ditemukan di sini, yang mencakup Prosesor Intel Core Generasi ke-10 dan Prosesor Intel Core X-series.

Sayangnya, bug di atas bukanlah satu-satunya bug yang dapat diumumkan oleh Intel.

Kerentanan keamanan potensial di Prosesor Intel yang memungkinkan kebocoran informasi juga diumumkan, meskipun ini hanya dijuluki “keparahan rendah” oleh Intel.

Intel mengatakan bahwa “Perbedaan perilaku yang dapat diamati di beberapa prosesor Intel memungkinkan pengguna yang berwenang untuk berpotensi mengaktifkan pengungkapan informasi melalui akses lokal.”

Bug tersebut berpotensi mempengaruhi semua keluarga prosesor Intel menurut raksasa perangkat keras tersebut.

Intel merekomendasikan bahwa produk apa pun yang terpengaruh harus menggunakan instruksi LFENCE “setelah memuat yang harus mengamati penulisan dari utas lain ke alamat memori bersama yang sama”.

Firewall mungkin tidak cukup dengan sendirinya dalam iklim saat ini, bukan hanya Intel yang memiliki potensi kerentanan keamanan perangkat keras yang beredar.

Peneliti akademis telah menunjukkan strategi serangan yang berhasil untuk menyiasati perlindungan yang diberikan oleh teknologi Secure Encrypted Virtualization (SEV) AMD yang terkenal.

Siapa pun yang tertarik untuk mengetahui lebih banyak bug dan memiliki informasi tentang masalah keamanan atau kerentanan dengan produk atau teknologi bermerek Intel dapat mengirimkannya melalui email ke secure@intel.com, setelah mengenkripsi informasi sensitif menggunakan kunci publik PGP-nya.

Permintaan untuk keamanan perangkat keras yang lebih besar ada di sana menurut penelitian Intel sendiri.

Survei, berdasarkan berbicara kepada 1.406 orang di seluruh Amerika Serikat, Eropa, Timur Tengah, Afrika, dan Amerika Latin, menemukan 75% responden menyatakan minatnya pada pendekatan berbasis perangkat keras untuk keamanan, sementara 40% menyatakan minatnya pada “keamanan di tingkat silikon”.

Selengkapnya: Tech Radar

Peringatan: Pembaruan Windows merusak otentikasi untuk beberapa admin server

May 14, 2022 by Søren

Microsoft memperingatkan pembaruan keamanan dapat menyebabkan kegagalan otentikasi untuk pengontrol domain Windows.

“Setelah menginstal pembaruan yang dirilis 10 Mei 2022 di pengontrol domain Anda, Anda mungkin melihat kegagalan otentikasi di server atau klien untuk layanan seperti Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP), dan Protected Extensible Authentication Protocol (PEAP),” kata goliath IT itu dalam sebuah nasihat yang diterbitkan Rabu.

Saran mengacu pada pembaruan Windows KB5013943 (dirilis Selasa, 10 Mei 2022), yang mengikuti KB5012643 (dirilis 25 April 2022) dan membahas penyebab layar berkedip saat memulai dalam Safe Mode.

Pembaruan KB5012643 April itu ditarik dari peredaran pada Rabu, 11 Mei, tanpa penjelasan.

Pembaruan Windows terbaru, KB5013943, meninggalkan masalah yang belum terselesaikan di mana beberapa aplikasi .NET Framework 3.5 gagal dibuka dan beberapa aplikasi yang menggunakan Direct3D 9 dengan GPU tertentu mogok (solusi disarankan untuk kedua kasus.)

Kesulitan otentikasi seharusnya tidak mempengaruhi perangkat Windows klien atau server pengontrol non-domain, menurut Microsoft.

Netizen yang memposting ke /r/sysadmin di Reddit mencatat terjadinya kegagalan otentikasi setelah penerapan dua tambalan Microsoft. Diidentifikasi oleh ID kerentanan CVE-2022-26931 dan CVE-2022-26923, patch tersebut dimaksudkan untuk menyelesaikan dua kerentanan eskalasi hak istimewa “keparahan tinggi” yang dijelaskan dalam KB5014754.

Selengkapnya: The Register

HP memperbaiki bug yang memungkinkan penyerang menimpa firmware di lebih dari 200 model

May 13, 2022 by Eevee

HP telah merilis pembaruan BIOS hari ini untuk memperbaiki dua kerentanan tingkat tinggi yang memengaruhi berbagai produk PC dan notebook, yang memungkinkan kode dijalankan dengan hak istimewa Kernel.

Hak istimewa tingkat kernel adalah hak tertinggi di Windows, memungkinkan pelaku ancaman untuk menjalankan perintah apa pun di tingkat Kernel, termasuk memanipulasi driver dan mengakses BIOS.

Cacat dilacak sebagai CVE-2021-3808 dan CVE-2021-3809, dan keduanya memiliki skor dasar CVSS 3.1 sebesar 8,8, memberi mereka peringkat keparahan yang tinggi. Saat ini, HP tidak memberikan rincian teknis tentang kekurangan ini.

Daftar produk yang terpengaruh termasuk notebook bisnis seperti Zbook Studio, ZHAN Pro, EliteBook, ProBook, dan Elite Dragonfly, PC desktop bisnis seperti EliteDesk dan ProDesk, komputer PoS ritel seperti Engage, workstation seperti Z1 dan Z2, dan PC thin client .

Untuk daftar lengkap semua model yang terpengaruh dan SoftPaq yang sesuai untuk digunakan dalam setiap kasus, periksa halaman saran keamanan dan cari perangkat Anda. Perhatikan bahwa tidak semua produk yang terdaftar telah menerima tambalan perbaikan.

Nicholas Starke, peneliti yang menemukan kekurangan ini pada November 2021, dan melaporkannya ke HP, menjelaskan masalahnya secara lebih rinci dalam posting blog terpisah.

Masalahnya tampaknya penangan SMI dapat dipicu dari lingkungan OS, misalnya, melalui driver kernel Windows.

Penyerang perlu menemukan alamat memori dari fungsi “LocateProtocol” dan menimpanya dengan kode berbahaya. Terakhir, penyerang dapat memicu eksekusi kode dengan menginstruksikan pengendali SMI untuk mengeksekusi.

Penting untuk digarisbawahi bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki hak akses root/tingkat SISTEM pada sistem target, dan mengeksekusi kode dalam Mode Manajemen Sistem (SMM).

Tujuan akhir dari serangan semacam itu adalah untuk menimpa Implementasi UEFI (BIOS) dari mesin dengan gambar BIOS yang dikendalikan penyerang. Ini berarti penyerang dapat menanam malware persisten yang tidak dapat dihapus oleh alat antivirus, dan bahkan dengan penginstalan ulang OS.

Terakhir, penting juga untuk menyoroti bahwa beberapa model komputer HP memiliki mitigasi yang harus dilewati penyerang agar eksploitasi berfungsi, seperti sistem HP Sure Start misalnya.

Peneliti menjelaskan bahwa HP Sure Start dapat mendeteksi gangguan semacam ini dan mematikan host pada tindakan korupsi memori. Kemudian, pada startup pertama, peringatan akan ditampilkan kepada pengguna bersama dengan prompt untuk menyetujui boot sistem.

Perbaikan terbaru HP datang hanya dua bulan setelah pembuat komputer memasang 16 bug firmware UEFI dan tiga bulan setelah mengatasi serangkaian kelemahan BIOS yang berbeda.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Bug

Cookies Settings