Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for CISA

CISA

CISA memperingatkan organisasi untuk beralih ke Exchange Online Modern Auth hingga Oktober

by

CISA telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Exchange Microsoft untuk mempercepat peralihan dari metode otentikasi warisan Otentikasi Dasar tanpa dukungan otentikasi multifaktor (MFA) ke alternatif Otentikasi Modern.

Basic Auth (otentikasi proxy) adalah skema autentikasi berbasis HTTP yang digunakan oleh aplikasi untuk mengirim kredensial dalam teks biasa ke server, titik akhir, atau layanan online.

Alternatifnya, Modern Auth (Active Directory Authentication Library dan otentikasi berbasis token OAuth 2.0), menggunakan token akses OAuth dengan masa pakai terbatas yang tidak dapat digunakan kembali untuk mengautentikasi sumber daya lain selain yang dikeluarkan untuknya.

Aplikasi yang menggunakan Auth Dasar memungkinkan penyerang untuk menebak kredensial dalam serangan semprotan kata sandi atau menangkapnya dalam serangan man-in-the-middle melalui TLS. Lebih buruk lagi, saat menggunakan autentikasi dasar, otentikasi multifaktor (MFA) cukup rumit untuk diaktifkan, dan, akibatnya, sering kali tidak digunakan sama sekali.

Agen Federal Civilian Executive Branch (FCEB) juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth, yang menurut Microsoft, akan mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing yang berhasil.

Menurut panduan CISA, ini dapat dilakukan dengan membuat kebijakan otentikasi untuk semua kotak surat Exchange Online dari Halaman Auth Modern Pusat Admin M365 (detail di sini) atau kebijakan Akses Bersyarat di Azure Active Directory (AAD) menggunakan Pusat Admin AAD (petunjuk di sini).

Peringatan CISA muncul setelah Microsoft juga mengingatkan pelanggan pada bulan Mei bahwa mereka akan mulai menonaktifkan Otentikasi Dasar di penyewa acak di seluruh dunia mulai 1 Oktober 2022.

Microsoft pertama kali mengumumkan bahwa mereka akan menonaktifkan Autentikasi Dasar di Exchange Online untuk semua protokol di semua penyewa pada September 2021.

Redmond berencana untuk menonaktifkan Basic Auth untuk protokol MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, dan Remote PowerShell.

Sementara SMTP AUTH telah dinonaktifkan di jutaan penyewa yang tidak menggunakannya, Microsoft mengatakan tidak akan menonaktifkannya di tempat yang masih digunakan.

Laporan Guardicore yang diterbitkan pada September 2021 lebih jauh menyoroti pentingnya memindahkan pengguna Exchange Online dari autentikasi dasar.

Amit Serper, AVP Riset Keamanan Guardicore pada saat itu, mengungkapkan bagaimana ratusan ribu kredensial domain Windows bocor dalam teks biasa ke domain eksternal oleh klien email yang salah dikonfigurasi menggunakan auth dasar.

Sumber: Bleeping Computer

CISA Mengeluarkan Arahan Darurat Ketika Kerentanan Dunia Maya ‘Kritis’ Muncul

by

Cybersecurity and Infrastructure Security Agency mengeluarkan arahan darurat baru hari ini yang mengatakan kerentanan di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager menempatkan jaringan federal dan sistem dengan risiko langsung.

“Kerentanan ini menimbulkan risiko yang tidak dapat diterima untuk keamanan jaringan federal,” kata Direktur CISA Jen Easterly dalam rilisnya. “CISA telah mengeluarkan Arahan Darurat ini untuk memastikan bahwa badan-badan sipil federal mengambil tindakan segera untuk melindungi jaringan mereka. Kami juga sangat mendesak setiap organisasi — besar dan kecil — untuk mengikuti langkah pemerintah federal dan mengambil langkah serupa untuk melindungi jaringan mereka.”

CISA mengatakan VMware pertama kali menemukan kerentanan baru pada bulan April dan merilis tambalan, tetapi ini adalah yang baru yang perlu segera dimitigasi oleh agensi. CISA mengatakan eksposur cyber baru adalah “injeksi template sisi server yang dapat mengakibatkan eksekusi kode jarak jauh; tingkatkan hak istimewa ke ‘root;’ dan dapatkan akses administratif tanpa perlu mengautentikasi.”

VMware menyebut kerentanan “kritis” dalam sebuah posting di situs webnya, memberikan skor 9,8 dari 10.

VMware juga mengeluarkan patch untuk kerentanan baru hari ini.

Dalam arahan darurat terbaru ini, CISA percaya bahwa kerentanan terhadap sistem agensi sangat mengerikan sehingga membutuhkan tindakan segera.

Sumber: Federal News Network

Kontrol dan Praktik Keamanan yang Lemah Dieksploitasi Secara Rutin untuk Akses Awal

by

Otoritas keamanan siber Amerika Serikat, Kanada, Selandia Baru, Belanda, dan Inggris telah mengeluarkan Penasihat Keamanan Siber bersama (CSA) pada 10 kontrol keamanan yang lemah yang dieksploitasi secara rutin, konfigurasi yang buruk, dan praktik buruk yang memungkinkan pelaku jahat untuk menyusup ke jaringan. Meskipun praktik buruk ini mungkin umum, organisasi dapat menerapkan praktik dasar, seperti berikut ini, untuk membantu melindungi sistem mereka:

  • Akses kontrol.
  • Memperkuat kredensial.
  • Membangun manajemen log terpusat.
  • Gunakan solusi antivirus.
  • Gunakan alat deteksi.
  • Operasikan layanan yang terpapar pada host yang dapat diakses internet dengan konfigurasi aman.
  • Tetap perbarui perangkat lunak.

CISA mendorong organisasi untuk meninjau Kontrol dan Praktik Keamanan yang Lemah yang Dieksploitasi Secara Rutin untuk Akses Awal dan menerapkan mitigasi yang disarankan.

Sumber: CISA

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

by

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Badan keamanan siber mengungkapkan kerentanan yang paling banyak dieksploitasi pada tahun 2021

by

Bekerja sama dengan NSA dan FBI, otoritas keamanan siber di seluruh dunia hari ini merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi oleh pelaku ancaman selama tahun 2021.

Otoritas keamanan siber mendesak organisasi dalam penasihat bersama untuk segera menambal kelemahan keamanan ini dan menerapkan sistem manajemen tambalan untuk mengurangi permukaan serangan mereka.

Secara global, aktor jahat telah diamati memfokuskan serangan mereka pada sistem yang menghadap internet, termasuk email dan server jaringan pribadi virtual (VPN), menggunakan eksploitasi yang menargetkan kerentanan yang baru diungkapkan.

“Otoritas keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris menilai, pada tahun 2021, pelaku siber jahat secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia,” bunyi nasihat itu.

Ini mungkin karena aktor jahat dan peneliti keamanan merilis eksploitasi proof of concept (POC) dalam waktu dua minggu sejak pengungkapan awal untuk sebagian besar bug yang dieksploitasi teratas sepanjang tahun 2021.

Namun, penyerang memfokuskan beberapa serangan mereka pada kerentanan lama yang ditambal bertahun-tahun sebelumnya, yang menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan ketika tambalan tersedia.

Berikut aftar 15 kelemahan keamanan yang paling banyak dieksploitasi dengan tautan ke entri Basis Data Kerentanan Nasional dan malware terkait. Selengkapnya

Badan keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris juga telah mengidentifikasi dan mengungkapkan 21 kerentanan keamanan tambahan yang biasa dieksploitasi oleh pelaku siber jahat selama tahun 2021, termasuk yang berdampak pada Accellion File Transfer Appliance (FTA), Windows Print Spooler, dan Pulse Secure Pulsa Hubungkan Aman.

Penasihat bersama mencakup langkah-langkah mitigasi yang akan membantu mengurangi risiko yang terkait dengan kelemahan penyalahgunaan teratas yang dijelaskan di atas.

CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang dieksploitasi secara rutin pada tahun 2020 bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Pusat Keamanan Siber Nasional Inggris (NCSC) ).

Pada November 2021, MITER juga membagikan daftar kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada tahun 2021 dan 25 kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Sumber: Bleeping Computer

CISA memperingatkan penyerang yang sekarang mengeksploitasi bug Windows Print Spooler

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan tiga kelemahan keamanan baru ke daftar bug yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal di Windows Print Spooler.

Kerentanan tingkat keparahan tinggi ini (dilacak sebagai CVE-2022-22718) berdampak pada semua versi Windows sesuai dengan saran Microsoft dan telah ditambal selama Patch Februari 2022 pada hari Selasa.

Satu-satunya informasi yang dibagikan Microsoft tentang kelemahan keamanan ini adalah bahwa pelaku ancaman dapat mengeksploitasinya secara lokal dalam serangan dengan kompleksitas rendah tanpa interaksi pengguna.

Redmond menambal beberapa bug Windows Print Spooler lainnya dalam 12 bulan terakhir, termasuk kerentanan eksekusi kode jarak jauh PrintNightmare yang kritis.

Setelah detail teknis dan eksploitasi proof-of-concept (POC) untuk PrintNightmare secara tidak sengaja bocor, CISA memperingatkan admin untuk menonaktifkan layanan Windows Print Spooler pada Pengontrol Domain dan sistem yang tidak digunakan untuk mencetak untuk memblokir kemungkinan serangan masuk.

Minggu lalu, CISA menambahkan bug eskalasi hak istimewa lainnya di Driver Sistem File Log Umum Windows ke daftar kelemahan yang dieksploitasi di alam liar, bug yang dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA) dan ditambal oleh Microsoft selama Patch Selasa bulan ini. .

Menurut arahan operasional yang mengikat November (BOD 22-01), semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan Tereksploitasi yang Diketahui (KEV).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 10 Mei, untuk menambal kerentanan CVE-2022-22718 yang sekarang aktif dieksploitasi dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan ini hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk memperbaiki elevasi bug hak istimewa Windows Print Spooler ini untuk menggagalkan upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan dua kerentanan keamanan lama ke katalog KEV-nya hari ini, juga disalahgunakan dalam serangan yang sedang berlangsung.

Nama Kerentanan CVE Tanggal Ditambahkan

  • CVE-2022-22718 Microsoft Windows Print Spooler Privilege Eskalasi Kerentanan 2022-04-19
  • CVE-2018-6882 Zimbra Collaboration Suite (ZCS) Skrip Lintas Situs (XSS) 2022-04-19
  • CVE-2019-3568 WhatsApp VOIP Stack Buffer Overflow Kerentanan 2022-04-19

Sejak BOD 22-01 binding directive dikeluarkan, CISA telah menambahkan ratusan bug keamanan ke dalam daftar kerentanan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk mencegah pelanggaran.

Sumber : Bleeping Computer

CISA memperingatkan organisasi untuk menambal bug Windows LPE yang dieksploitasi secara aktif

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sepuluh bug keamanan baru ke daftar kerentanan yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal dengan tingkat keparahan tinggi di Windows Common Log File System Driver.

Cacat keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-24521) dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA), dan ditambal oleh Microsoft selama Patch Selasa bulan ini.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan ini setelah ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

CISA memberi mereka waktu tiga minggu, hingga 2 Mei, untuk menambal kelemahan kerentanan CVE-2022-24521 dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk menambal bug keamanan yang dieksploitasi secara aktif ini untuk memblokir upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan sembilan kerentanan lagi ke katalognya hari ini, disalahgunakan dalam serangan yang sedang berlangsung. selengkapnya

Hari ini, CISA juga mendorong admin untuk menginstal pembaruan keamanan yang mengatasi kerentanan eksekusi kode jarak jauh pra-autentikasi kritis (dengan peringkat keparahan 9,8/10) di Perpustakaan Runtime Microsoft Remote Procedure Call (RPC), juga ditambal minggu ini sebagai bagian dari April 2022 Patch Selasa.

Pada hari Senin, CISA juga memerintahkan badan-badan sipil federal untuk menambal bug keamanan yang dieksploitasi secara aktif (CVE-2022-23176) di perangkat firewall WatchGuard Firebox dan XTM.

Grup peretasan Sandworm yang didukung Rusia sebelumnya menyalahgunakan bug ini untuk membangun botnet yang dijuluki Cyclops Blink dari perangkat jaringan WatchGuard Small Office/Home Office (SOHO) yang disusupi.

Pada hari Rabu, pemerintah AS mengganggu botnet Cyclops Blink dengan menghapus malware dari server perintah-dan-kontrol sebelum dijadikan senjata dan digunakan dalam serangan.

Setelah mengeluarkan BOD 22-01 binding directive, CISA telah menambahkan ratusan kerentanan keamanan ke dalam daftar kelemahan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk memblokir pelanggaran keamanan.

Sumber :Bleeping Computer

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek