Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Bug

Bug

Google Mendeskripsikan Dua Bug Zero-Day yang Dilaporkan di Klien Zoom dan Server MMR

by

Eksplorasi permukaan serangan nol klik untuk solusi konferensi video populer Zoom telah menghasilkan dua kerentanan keamanan yang sebelumnya tidak diungkapkan yang dapat dieksploitasi untuk merusak layanan, mengeksekusi kode berbahaya, dan bahkan membocorkan area sewenang-wenang dari memorinya.

Natalie Silvanovich dari Google Project Zero, yang menemukan dan melaporkan dua kekurangan tahun lalu, mengatakan masalah tersebut berdampak pada klien Zoom dan server Multimedia Router (MMR), yang mengirimkan konten audio dan video antara klien dalam penyebaran di tempat.

Kelemahan sejak itu telah ditangani oleh Zoom sebagai bagian dari pembaruan yang dikirim pada 24 November 2021.

Tujuan dari serangan nol-klik adalah untuk diam-diam mendapatkan kontrol atas perangkat korban tanpa memerlukan interaksi apa pun dari pengguna, seperti mengklik tautan.

Sementara spesifik dari eksploitasi akan bervariasi tergantung pada sifat kerentanan yang dieksploitasi, sifat kunci dari hacks nol-klik adalah kemampuan mereka untuk tidak meninggalkan jejak aktivitas berbahaya, membuat mereka sangat sulit untuk dideteksi.

Dua kelemahan yang diidentifikasi oleh Project Zero adalah sebagai berikut –

  • CVE-2021-34423 (skor CVSS: 9.8) – Kerentanan buffer overflow yang dapat dimanfaatkan untuk merusak layanan atau aplikasi, atau mengeksekusi kode sewenang-wenang.
  • CVE-2021-34424 (skor CVSS: 7.5) – Cacat paparan memori proses yang dapat digunakan untuk berpotensi mendapatkan wawasan tentang area sewenang-wenang dari memori produk.

Dengan menganalisis lalu lintas RTP (Real-time Transport Protocol) yang digunakan untuk mengirimkan audio dan video melalui jaringan IP, Silvanovich menemukan bahwa adalah mungkin untuk memanipulasi isi buffer yang mendukung membaca berbagai jenis data dengan mengirim pesan obrolan yang cacat, menyebabkan klien dan server MMR macet.

Selain itu, kurangnya pemeriksaan NULL – yang digunakan untuk menentukan akhir string – memungkinkan untuk membocorkan data dari memori saat bergabung dengan rapat Zoom melalui browser web.

Peneliti juga mengaitkan cacat korupsi memori dengan fakta bahwa Zoom gagal mengaktifkan ASLR, alias pengacakan tata letak ruang alamat, mekanisme keamanan yang dirancang untuk meningkatkan kesulitan melakukan serangan buffer overflow.

“Kurangnya ASLR dalam proses Zoom MMR sangat meningkatkan risiko bahwa penyerang dapat membahayakannya,” kata Silvanovich. “ASLR bisa dibilang mitigasi yang paling penting dalam mencegah eksploitasi korupsi memori, dan sebagian besar mitigasi lainnya bergantung padanya pada tingkat tertentu agar efektif. Tidak ada alasan yang baik untuk itu untuk dinonaktifkan di sebagian besar perangkat lunak. ”

Sementara sebagian besar sistem konferensi video menggunakan perpustakaan open-source seperti WebRTC atau PJSIP untuk menerapkan komunikasi multimedia, Project Zero menyebut penggunaan format dan protokol berpemilik Zoom serta biaya lisensinya yang tinggi (hampir $ 1.500) sebagai hambatan untuk penelitian keamanan.

“Perangkat lunak sumber tertutup menghadirkan tantangan keamanan yang unik, dan Zoom dapat berbuat lebih banyak untuk membuat platform mereka dapat diakses oleh peneliti keamanan dan orang lain yang ingin mengevaluasinya,” kata Silvanovich. “Sementara Tim Keamanan Zoom membantu saya mengakses dan mengkonfigurasi perangkat lunak server, tidak jelas bahwa dukungan tersedia untuk peneliti lain, dan lisensi perangkat lunak itu masih mahal.”

Sumber: The Hacker News

Bug Pusat Kontak Cisco yang Kritis Mengancam Kerusakan Layanan Pelanggan

by

Bug keamanan kritis yang memengaruhi portofolio Unified Contact Center Enterprise (UCCE) Cisco dapat memungkinkan peningkatan hak istimewa dan pengambilalihan platform.

Cisco UCCE adalah platform layanan pelanggan lokal yang mampu mendukung hingga 24.000 agen layanan pelanggan menggunakan saluran yang mencakup suara masuk, suara keluar, respons suara interaktif keluar (IVR), dan saluran digital. Ini juga menawarkan umpan balik melalui IVR pasca-panggilan, email, dan survei intersep web; dan berbagai opsi pelaporan untuk mengumpulkan informasi tentang kinerja agen untuk digunakan dalam menetapkan metrik dan menginformasikan intelijen bisnis.

Bug yang dimaksud (CVE-2022-20658) adalah yang sangat buruk, dengan peringkat kritis 9,6 dari 10 pada skala kerentanan-keparahan CVSS, dan dapat memungkinkan penyerang jarak jauh yang diautentikasi untuk meningkatkan hak istimewa mereka menjadi administrator, dengan kemampuan untuk membuat akun administrator lain.

Ini secara khusus ada di antarmuka manajemen berbasis web dari Cisco Unified Contact Center Management Portal (Unified CCMP) dan Cisco Unified Contact Center Domain Manager (Unified CCDM) dan berasal dari fakta bahwa server bergantung pada mekanisme otentikasi yang ditangani oleh sisi klien. Itu membuka pintu bagi penyerang yang memodifikasi perilaku sisi klien untuk melewati mekanisme perlindungan.

Dipersenjatai dengan akun admin tambahan, penyerang dapat mengakses dan memodifikasi telepon dan sumber daya pengguna di semua platform yang terkait dengan Cisco Unified CCMP yang rentan.

Seseorang dapat memperkirakan malapetaka operasional dan identitas merek yang dapat ditimbulkan oleh penyerang dengan melumpuhkan sistem layanan pelanggan perusahaan besar belum lagi kerusakan yang dapat dilakukan dengan akses ke kumpulan data informasi pribadi yang harus disimpan oleh sistem di perusahaan ‘ pelanggan, termasuk komunikasi telepon dan email.

Namun, untuk berhasil mengeksploitasi kerentanan, penyerang memerlukan kredensial “Pengguna Tingkat Lanjut” yang valid, sehingga bug perlu dirantai dengan yang lain untuk akses awal.

Ada tambalan yang tersedia untuk masalah ini, tetapi tidak ada solusi. Informasi patch adalah sebagai berikut:

Versi 11.6.1 dan sebelumnya: Rilis tetap adalah 11.6.1 ES17
Versi 12.0.1: Rilis tetap adalah 12.0.1 ES5
Versi 12.5.1: Rilis tetap adalah 12.5.1 ES5
Versi 12.6.1: Tidak terpengaruh

Tidak ada eksploitasi publik yang diketahui sejauh ini, menurut raksasa jaringan itu.

Sumber : Threat Post

Bug Safari membocorkan info akun Google Anda serta riwayat penelusuran

by

Ada masalah dengan penerapan API IndexedDB di mesin WebKit Safari, yang dapat mengakibatkan kebocoran aktivitas penjelajahan secara real-time dan bahkan kebocoran identitas pengguna kepada siapa pun yang mengeksploitasi kelemahan ini.

IndexedDB adalah API browser yang banyak digunakan yang merupakan client-side storage system serbaguna tanpa batas kapasitas.

Ini biasanya digunakan untuk menyimpan data aplikasi web untuk dilihat secara offline, sementara modul, alat pengembang, dan ekstensi browser juga dapat menggunakannya untuk menyimpan informasi sensitif.

Untuk mencegah kebocoran data dari serangan skrip lintas situs, IndexedDB mengikuti kebijakan “same-origin”, mengontrol sumber daya mana yang dapat mengakses setiap bagian data.

Namun, analis FingerprintJS menemukan bahwa API IndexedDB tidak mengikuti kebijakan same-origin implementasi WebKit yang digunakan oleh Safari 15 di macOS, yang mengarah pada pengungkapan data sensitif.

Bug pelanggaran privasi ini juga memengaruhi browser web yang menggunakan mesin browser yang sama di versi iOS dan iPadOS terbaru.

Menurut para analis, mengidentifikasi seseorang melalui kelemahan ini memerlukan login dan mengunjungi situs web populer seperti YouTube dan Facebook, atau layanan seperti Google Kalender, dan Google Keep.

Kerentanan dilaporkan ke WebKit Bug Tracker pada 28 November 2021, dan pada saat penulisan ini, masih belum terselesaikan.

Salah satu cara untuk memitigasi masalah ini hingga pembaruan keamanan tersedia adalah dengan memblokir semua JavaScript, tetapi ini adalah tindakan drastis yang pasti akan menyebabkan masalah fungsionalitas di banyak halaman web.

Beralih ke browser web non-WebKit adalah satu-satunya solusi yang layak, tetapi itu hanya berlaku untuk macOS. Di iOS dan iPadOS, semua browser web terpengaruh.

Selengkapnya: Bleeping Computer

Bug WordPress Meledak pada 2021, Paling Bisa Dieksploitasi

by

Tahun lalu analis menemukan jumlah kerentanan plugin WordPress yang dapat dieksploitasi membludak.

Para peneliti dari RiskBased Security melaporkan mereka menemukan jumlah kerentanan Plugin WordPress naik tiga digit pada tahun 2021.

“10.359 kerentanan dilaporkan mempengaruhi plugin WordPress pihak ketiga pada akhir 2021,” tim RiskBased Security menjelaskan. “Dari jumlah tersebut, 2.240 kerentanan diungkapkan tahun lalu, yang merupakan peningkatan 142% dibandingkan dengan 2020.”

Lebih buruk lagi, dari kerentanan plugin WordPress tambahan, lebih dari tiga perempat (77 persen) telah mengetahui, eksploitasi publik.

Laporan tersebut menemukan bahwa 7.592 kerentanan WordPress dapat dieksploitasi dari jarak jauh; 7.993 memiliki eksploitasi publik; dan 4.797 kerentanan WordPress memiliki eksploitasi publik, tetapi tidak ada ID CVE.

Dengan kata lain, organisasi yang mengandalkan CVE tidak akan memiliki visibilitas ke 60 persen dari eksploitasi plugin WordPress yang dikenal publik, kata tim tersebut.

Fokus pada Eksploitabilitas Atas Skor CVSS

Respons yang tepat terhadap permukaan serangan WordPress yang muncul, menurut tim RiskBased, adalah pergeseran mendasar dari memprioritaskan sumber daya berdasarkan seberapa penting risiko bagi organisasi untuk berfokus pada bug yang paling mudah dieksploitasi.

“Rata-rata, skor CVSSv2 untuk semua kerentanan plugin WordPress adalah 5,5, yang oleh banyak kerangka VM saat ini dianggap sebagai risiko ‘moderat’, paling banter,” saran tim RiskBased Security. “Tetapi jika Anda membandingkan titik data ini dengan berita utama, Anda mungkin mengamati sedikit keterputusan antara praktik dan dampak Manajemen Kerentanan (VM) konvensional.”

Tim menunjuk pembaruan 10 Januari dari Cybersecurity and Infrastructure Security Agency (CISA) ke Binding Operational Directive yang menguraikan kerentanan dan ancaman aktif terhadap jaringan federal. Pembaruan ini juga memprioritaskan kerentanan yang mudah dieksploitasi daripada mereka yang memiliki skor CVSS yang lebih tinggi.

“Tim keamanan perlu memiliki pengetahuan tentang aset mereka, intelijen kerentanan komprehensif untuk semua masalah yang diketahui, dan metadata terperinci, yang memungkinkan mereka untuk memeriksa faktor-faktor seperti eksploitabilitas, untuk kemudian mengontekstualisasikan risiko yang ditimbulkannya terhadap lingkungan mereka.”

Sumber: Threatpost

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Mozilla memperbaiki bug kritis di perpustakaan kriptografi lintas platform

by

Mozilla telah mengatasi kerentanan kerusakan memori kritis yang memengaruhi rangkaian pustaka kriptografi Layanan Keamanan Jaringan (NSS) lintas platform.

NSS dapat digunakan untuk mengembangkan aplikasi klien dan server yang mendukung keamanan dengan dukungan untuk sertifikat SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3, dan berbagai sertifikat lainnya. standar keamanan.

Kelemahan keamanan ditemukan oleh peneliti kerentanan Google Tavis Ormandy dalam versi NSS sebelum 3.73 atau 3.68.1 ESR—yang juga menjulukinya BigSig—dan sekarang dilacak sebagai CVE-2021-43527.

Ini dapat menyebabkan buffer overflow berbasis heap saat menangani tanda tangan DSA atau RSA-PSS yang dikodekan DER di klien email dan pemirsa PDF menggunakan versi NSS yang rentan (bug telah diperbaiki di NSS 3.68.1 dan NSS 3.73).

Dampak dari eksploitasi heap overflow yang berhasil dapat berkisar dari crash program dan eksekusi kode arbitrer hingga melewati perangkat lunak keamanan jika eksekusi kode tercapai.

“Aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dikodekan dalam CMS, S/MIME, PKCS #7, atau PKCS #12 kemungkinan akan terpengaruh,” kata Mozilla dalam peringatan keamanan yang dikeluarkan hari ini.

“Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsionalitas TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara mereka mengonfigurasi NSS.”

“Kami yakin semua versi NSS sejak 3.14 (dirilis Oktober 2012) rentan,” Ormandy menambahkan pada pelacak masalah Project Zero.

Untungnya, menurut Mozilla, kerentanan ini tidak memengaruhi browser web Mozilla Firefox. Namun, semua pemirsa PDF dan klien email yang menggunakan NSS untuk verifikasi tanda tangan diyakini akan terpengaruh.

NSS digunakan oleh Mozilla, Red Hat, SUSE, dan lainnya dalam berbagai macam produk, termasuk:

  • Firefox, Thunderbird, SeaMonkey, dan Firefox OS.
  • Aplikasi klien sumber terbuka seperti Evolution, Pidgin, Apache OpenOffice, dan LibreOffice.
  • Produk server dari Red Hat: Red Hat Directory Server, Red Hat Certificate System, dan modul SSL mod_nss untuk server web Apache.
  • Produk server dari Oracle (sebelumnya Sun Java Enterprise System), termasuk Oracle Communications Messaging Server dan Oracle Directory Server Enterprise Edition.
  • SUSE Linux Enterprise Server mendukung NSS dan modul SSL mod_nss untuk server web Apache.

Sumber : Bleeping Computer

Microsoft Defender untuk Endpoint gagal berjalan di Windows Server

by

Microsoft telah mengkonfirmasi masalah baru yang memengaruhi perangkat Windows Server yang mencegah solusi keamanan Microsoft Defender for Endpoint berjalan di beberapa sistem.

Platform keamanan endpoint Microsoft (sebelumnya dikenal sebagai Microsoft Defender Advanced Threat Protection atau Defender ATP) gagal untuk berjalan di perangkat dengan penginstalan Windows Server Core.

Masalah yang diketahui hanya memengaruhi perangkat di mana pelanggan telah menginstal pembaruan KB5007206 atau yang lebih baru di Windows Server 2019 dan KB5007205 atau pembaruan yang lebih baru di Windows Server 2022.

Seperti yang diungkapkan Microsoft lebih lanjut, masalah yang baru dikonfirmasi ini tidak memengaruhi Microsoft Defender untuk Endpoint yang berjalan di perangkat Windows 10. Mereka saat ini sedang mengerjakan solusi untuk mengatasi bug ini dan akan memberikan perbaikan dalam pembaruan yang akan datang.

BleepingComputer juga mengetahui laporan bahwa Microsoft Defender Antivirus lumpuh dengan pemberitahuan EventID 3002 (MALWAREPROTECTION_RTP_FEATURE_FAILURE) dan kode kesalahan “Real-time protection encountered an error and failed”.

Masalah ini terjadi hanya setelah menginstal pembaruan intelijen keamanan antara versi 1.353.1477.0 dan 1.353.1486.0.

Microsoft tampaknya telah memperbaiki bug ini dengan versi 1.353.1502.0 tetapi, menurut pakar keamanan Belanda SecGuru_OTX, perangkat Anda mungkin memerlukan hard reboot untuk mengaktifkan kembali fitur-fitur seperti behavior monitoring.

Selengkapnya:
Bleeping Computer