Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Bug

Bug

Google Mendeskripsikan Dua Bug Zero-Day yang Dilaporkan di Klien Zoom dan Server MMR

by

Eksplorasi permukaan serangan nol klik untuk solusi konferensi video populer Zoom telah menghasilkan dua kerentanan keamanan yang sebelumnya tidak diungkapkan yang dapat dieksploitasi untuk merusak layanan, mengeksekusi kode berbahaya, dan bahkan membocorkan area sewenang-wenang dari memorinya.

Natalie Silvanovich dari Google Project Zero, yang menemukan dan melaporkan dua kekurangan tahun lalu, mengatakan masalah tersebut berdampak pada klien Zoom dan server Multimedia Router (MMR), yang mengirimkan konten audio dan video antara klien dalam penyebaran di tempat.

Kelemahan sejak itu telah ditangani oleh Zoom sebagai bagian dari pembaruan yang dikirim pada 24 November 2021.

Tujuan dari serangan nol-klik adalah untuk diam-diam mendapatkan kontrol atas perangkat korban tanpa memerlukan interaksi apa pun dari pengguna, seperti mengklik tautan.

Sementara spesifik dari eksploitasi akan bervariasi tergantung pada sifat kerentanan yang dieksploitasi, sifat kunci dari hacks nol-klik adalah kemampuan mereka untuk tidak meninggalkan jejak aktivitas berbahaya, membuat mereka sangat sulit untuk dideteksi.

Dua kelemahan yang diidentifikasi oleh Project Zero adalah sebagai berikut –

  • CVE-2021-34423 (skor CVSS: 9.8) – Kerentanan buffer overflow yang dapat dimanfaatkan untuk merusak layanan atau aplikasi, atau mengeksekusi kode sewenang-wenang.
  • CVE-2021-34424 (skor CVSS: 7.5) – Cacat paparan memori proses yang dapat digunakan untuk berpotensi mendapatkan wawasan tentang area sewenang-wenang dari memori produk.

Dengan menganalisis lalu lintas RTP (Real-time Transport Protocol) yang digunakan untuk mengirimkan audio dan video melalui jaringan IP, Silvanovich menemukan bahwa adalah mungkin untuk memanipulasi isi buffer yang mendukung membaca berbagai jenis data dengan mengirim pesan obrolan yang cacat, menyebabkan klien dan server MMR macet.

Selain itu, kurangnya pemeriksaan NULL – yang digunakan untuk menentukan akhir string – memungkinkan untuk membocorkan data dari memori saat bergabung dengan rapat Zoom melalui browser web.

Peneliti juga mengaitkan cacat korupsi memori dengan fakta bahwa Zoom gagal mengaktifkan ASLR, alias pengacakan tata letak ruang alamat, mekanisme keamanan yang dirancang untuk meningkatkan kesulitan melakukan serangan buffer overflow.

“Kurangnya ASLR dalam proses Zoom MMR sangat meningkatkan risiko bahwa penyerang dapat membahayakannya,” kata Silvanovich. “ASLR bisa dibilang mitigasi yang paling penting dalam mencegah eksploitasi korupsi memori, dan sebagian besar mitigasi lainnya bergantung padanya pada tingkat tertentu agar efektif. Tidak ada alasan yang baik untuk itu untuk dinonaktifkan di sebagian besar perangkat lunak. ”

Sementara sebagian besar sistem konferensi video menggunakan perpustakaan open-source seperti WebRTC atau PJSIP untuk menerapkan komunikasi multimedia, Project Zero menyebut penggunaan format dan protokol berpemilik Zoom serta biaya lisensinya yang tinggi (hampir $ 1.500) sebagai hambatan untuk penelitian keamanan.

“Perangkat lunak sumber tertutup menghadirkan tantangan keamanan yang unik, dan Zoom dapat berbuat lebih banyak untuk membuat platform mereka dapat diakses oleh peneliti keamanan dan orang lain yang ingin mengevaluasinya,” kata Silvanovich. “Sementara Tim Keamanan Zoom membantu saya mengakses dan mengkonfigurasi perangkat lunak server, tidak jelas bahwa dukungan tersedia untuk peneliti lain, dan lisensi perangkat lunak itu masih mahal.”

Sumber: The Hacker News

Bug Pusat Kontak Cisco yang Kritis Mengancam Kerusakan Layanan Pelanggan

by

Bug keamanan kritis yang memengaruhi portofolio Unified Contact Center Enterprise (UCCE) Cisco dapat memungkinkan peningkatan hak istimewa dan pengambilalihan platform.

Cisco UCCE adalah platform layanan pelanggan lokal yang mampu mendukung hingga 24.000 agen layanan pelanggan menggunakan saluran yang mencakup suara masuk, suara keluar, respons suara interaktif keluar (IVR), dan saluran digital. Ini juga menawarkan umpan balik melalui IVR pasca-panggilan, email, dan survei intersep web; dan berbagai opsi pelaporan untuk mengumpulkan informasi tentang kinerja agen untuk digunakan dalam menetapkan metrik dan menginformasikan intelijen bisnis.

Bug yang dimaksud (CVE-2022-20658) adalah yang sangat buruk, dengan peringkat kritis 9,6 dari 10 pada skala kerentanan-keparahan CVSS, dan dapat memungkinkan penyerang jarak jauh yang diautentikasi untuk meningkatkan hak istimewa mereka menjadi administrator, dengan kemampuan untuk membuat akun administrator lain.

Ini secara khusus ada di antarmuka manajemen berbasis web dari Cisco Unified Contact Center Management Portal (Unified CCMP) dan Cisco Unified Contact Center Domain Manager (Unified CCDM) dan berasal dari fakta bahwa server bergantung pada mekanisme otentikasi yang ditangani oleh sisi klien. Itu membuka pintu bagi penyerang yang memodifikasi perilaku sisi klien untuk melewati mekanisme perlindungan.

Dipersenjatai dengan akun admin tambahan, penyerang dapat mengakses dan memodifikasi telepon dan sumber daya pengguna di semua platform yang terkait dengan Cisco Unified CCMP yang rentan.

Seseorang dapat memperkirakan malapetaka operasional dan identitas merek yang dapat ditimbulkan oleh penyerang dengan melumpuhkan sistem layanan pelanggan perusahaan besar belum lagi kerusakan yang dapat dilakukan dengan akses ke kumpulan data informasi pribadi yang harus disimpan oleh sistem di perusahaan ‘ pelanggan, termasuk komunikasi telepon dan email.

Namun, untuk berhasil mengeksploitasi kerentanan, penyerang memerlukan kredensial “Pengguna Tingkat Lanjut” yang valid, sehingga bug perlu dirantai dengan yang lain untuk akses awal.

Ada tambalan yang tersedia untuk masalah ini, tetapi tidak ada solusi. Informasi patch adalah sebagai berikut:

Versi 11.6.1 dan sebelumnya: Rilis tetap adalah 11.6.1 ES17
Versi 12.0.1: Rilis tetap adalah 12.0.1 ES5
Versi 12.5.1: Rilis tetap adalah 12.5.1 ES5
Versi 12.6.1: Tidak terpengaruh

Tidak ada eksploitasi publik yang diketahui sejauh ini, menurut raksasa jaringan itu.

Sumber : Threat Post

Bug Safari membocorkan info akun Google Anda serta riwayat penelusuran

by

Ada masalah dengan penerapan API IndexedDB di mesin WebKit Safari, yang dapat mengakibatkan kebocoran aktivitas penjelajahan secara real-time dan bahkan kebocoran identitas pengguna kepada siapa pun yang mengeksploitasi kelemahan ini.

IndexedDB adalah API browser yang banyak digunakan yang merupakan client-side storage system serbaguna tanpa batas kapasitas.

Ini biasanya digunakan untuk menyimpan data aplikasi web untuk dilihat secara offline, sementara modul, alat pengembang, dan ekstensi browser juga dapat menggunakannya untuk menyimpan informasi sensitif.

Untuk mencegah kebocoran data dari serangan skrip lintas situs, IndexedDB mengikuti kebijakan “same-origin”, mengontrol sumber daya mana yang dapat mengakses setiap bagian data.

Namun, analis FingerprintJS menemukan bahwa API IndexedDB tidak mengikuti kebijakan same-origin implementasi WebKit yang digunakan oleh Safari 15 di macOS, yang mengarah pada pengungkapan data sensitif.

Bug pelanggaran privasi ini juga memengaruhi browser web yang menggunakan mesin browser yang sama di versi iOS dan iPadOS terbaru.

Menurut para analis, mengidentifikasi seseorang melalui kelemahan ini memerlukan login dan mengunjungi situs web populer seperti YouTube dan Facebook, atau layanan seperti Google Kalender, dan Google Keep.

Kerentanan dilaporkan ke WebKit Bug Tracker pada 28 November 2021, dan pada saat penulisan ini, masih belum terselesaikan.

Salah satu cara untuk memitigasi masalah ini hingga pembaruan keamanan tersedia adalah dengan memblokir semua JavaScript, tetapi ini adalah tindakan drastis yang pasti akan menyebabkan masalah fungsionalitas di banyak halaman web.

Beralih ke browser web non-WebKit adalah satu-satunya solusi yang layak, tetapi itu hanya berlaku untuk macOS. Di iOS dan iPadOS, semua browser web terpengaruh.

Selengkapnya: Bleeping Computer

Bug WordPress Meledak pada 2021, Paling Bisa Dieksploitasi

by

Tahun lalu analis menemukan jumlah kerentanan plugin WordPress yang dapat dieksploitasi membludak.

Para peneliti dari RiskBased Security melaporkan mereka menemukan jumlah kerentanan Plugin WordPress naik tiga digit pada tahun 2021.

“10.359 kerentanan dilaporkan mempengaruhi plugin WordPress pihak ketiga pada akhir 2021,” tim RiskBased Security menjelaskan. “Dari jumlah tersebut, 2.240 kerentanan diungkapkan tahun lalu, yang merupakan peningkatan 142% dibandingkan dengan 2020.”

Lebih buruk lagi, dari kerentanan plugin WordPress tambahan, lebih dari tiga perempat (77 persen) telah mengetahui, eksploitasi publik.

Laporan tersebut menemukan bahwa 7.592 kerentanan WordPress dapat dieksploitasi dari jarak jauh; 7.993 memiliki eksploitasi publik; dan 4.797 kerentanan WordPress memiliki eksploitasi publik, tetapi tidak ada ID CVE.

Dengan kata lain, organisasi yang mengandalkan CVE tidak akan memiliki visibilitas ke 60 persen dari eksploitasi plugin WordPress yang dikenal publik, kata tim tersebut.

Fokus pada Eksploitabilitas Atas Skor CVSS

Respons yang tepat terhadap permukaan serangan WordPress yang muncul, menurut tim RiskBased, adalah pergeseran mendasar dari memprioritaskan sumber daya berdasarkan seberapa penting risiko bagi organisasi untuk berfokus pada bug yang paling mudah dieksploitasi.

“Rata-rata, skor CVSSv2 untuk semua kerentanan plugin WordPress adalah 5,5, yang oleh banyak kerangka VM saat ini dianggap sebagai risiko ‘moderat’, paling banter,” saran tim RiskBased Security. “Tetapi jika Anda membandingkan titik data ini dengan berita utama, Anda mungkin mengamati sedikit keterputusan antara praktik dan dampak Manajemen Kerentanan (VM) konvensional.”

Tim menunjuk pembaruan 10 Januari dari Cybersecurity and Infrastructure Security Agency (CISA) ke Binding Operational Directive yang menguraikan kerentanan dan ancaman aktif terhadap jaringan federal. Pembaruan ini juga memprioritaskan kerentanan yang mudah dieksploitasi daripada mereka yang memiliki skor CVSS yang lebih tinggi.

“Tim keamanan perlu memiliki pengetahuan tentang aset mereka, intelijen kerentanan komprehensif untuk semua masalah yang diketahui, dan metadata terperinci, yang memungkinkan mereka untuk memeriksa faktor-faktor seperti eksploitabilitas, untuk kemudian mengontekstualisasikan risiko yang ditimbulkannya terhadap lingkungan mereka.”

Sumber: Threatpost

Bug VMware yang Belum Ditambal Sebagian Membuka Pintu untuk Pengambilalihan Hypervisor

by

Kerentanan keamanan di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMware dapat membuka jalan bagi pengambilalihan hypervisor di lingkungan virtual – dan tambalan masih tertunda untuk beberapa pengguna.

Bug (CVE-2021-22045) adalah kerentanan heap-overflow dengan tingkat keparahan tinggi yang membawa peringkat CVSS 7,7 dari 10.

Heap overflows adalah masalah memori yang dapat mengakibatkan kerusakan data atau perilaku tak terduga oleh proses apa pun yang mengakses memori yang terpengaruh area – dalam beberapa kasus mengakibatkan eksekusi kode jarak jauh (RCE).

Dalam hal ini, masalah secara khusus ada dalam fungsi emulasi perangkat CD-ROM dari produk yang terpengaruh.

“Aktor jahat dengan akses ke mesin virtual dengan emulasi perangkat CD-ROM mungkin dapat mengeksploitasi kerentanan ini bersama dengan masalah lain, untuk mengeksekusi kode pada hypervisor dari mesin virtual,” vendor mencatat dalam penasihatnya. “Eksploitasi yang berhasil membutuhkan gambar CD untuk dilampirkan ke mesin virtual.”

Reno Robert, peneliti kerentanan senior untuk Zero Day Initiative dari Trend Micro, mengatakan kepada Threatpost bahwa masalah tersebut disebabkan oleh “kurangnya validasi yang tepat dari panjang data yang disediakan pengguna sebelum menyalinnya ke buffer berbasis heap dengan panjang tetap.”

Selengkapnya: Threat Post

Bug Y2k22 menyebabkan Microsoft Exchange Server gagal di seluruh dunia: FIP-FS Scan Engine gagal memuat

by

Admin perusahaan merayakan Tahun Baru mereka terganggu oleh laporan bahwa Server Exchange mereka gagal dengan kesalahan “Mesin Pemindai FIP-FS gagal memuat – Tidak Dapat Mengonversi “2201010001” menjadi panjang (2022/01/01 00:00 UTC) “.

Masalah ini tampaknya disebabkan oleh Microsoft yang menggunakan dua angka pertama dari versi pembaruan untuk menunjukkan tahun pembaruan, yang menyebabkan versi tanggal yang “panjang” meluap.

Saat ini, tampaknya solusi utama adalah menonaktifkan pemindai anti-malware di Exchange Server dengan menggunakan Set-MalwareFilteringServer -BypassFiltering $True -identity dan memulai ulang layanan Microsoft Exchange Transport.

Microsoft sekarang telah mengakui masalah ini dan sedang memperbaikinya. Mereka menulis “Kami menyadari dan bekerja pada masalah yang menyebabkan pesan terjebak dalam antrian transportasi di Exchange Server 2016 dan Exchange Server 2019. Masalah tersebut berkaitan dengan kegagalan pemeriksaan tanggal dengan perubahan tahun baru dan itu bukan kegagalan mesin AV diri. Ini bukan masalah dengan pemindaian malware atau mesin malware, dan ini bukan masalah terkait keamanan. Pemeriksaan versi yang dilakukan terhadap file tanda tangan menyebabkan mesin malware mogok, mengakibatkan pesan terjebak dalam antrian transportasi.”

Pada perbaikan yang akan datang mereka berkata, “Teknisi kami bekerja sepanjang waktu pada perbaikan yang akan menghilangkan kebutuhan akan tindakan pelanggan, tetapi kami memutuskan bahwa setiap perubahan yang tidak melibatkan tindakan pelanggan akan memerlukan beberapa hari untuk dikembangkan dan diterapkan. Kami sedang mengerjakan pembaruan lain yang sedang dalam validasi tes akhir. Pembaruan memerlukan tindakan pelanggan, tetapi akan memberikan waktu tercepat untuk penyelesaian”

Selengkapnya: MS Power User

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer