Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for CVE

CVE

Reverse Engineering Terminator alias Zemana AntiMalware/AntiLogger Driver

by

Baru-baru ini, seorang aktor ancaman (TA) yang dikenal sebagai SpyBot memposting sebuah alat, di forum peretasan Rusia, yang dapat menghentikan perangkat lunak antivirus/Endpoint Detection & Response (EDR/XDR). IMHO, semua hype di balik pengumuman ini sama sekali tidak dapat dibenarkan karena ini hanyalah contoh lain dari teknik serangan Bring Your Own Rentan Driver (BYOVD) yang terkenal: di mana driver bertanda tangan yang sah dijatuhkan ke mesin korban dan kemudian digunakan untuk menonaktifkan keamanan solusi dan/atau mengirimkan muatan tambahan.

Teknik ini memerlukan hak administratif dan penerimaan Kontrol Akun Pengguna (UAC) agar dapat berfungsi dengan baik, dan ini bukan salah satu yang paling tersembunyi. Selain itu, jika penyerang sudah menjadi admin lokal di mesin, tidak ada batas keamanan yang dapat dilintasi karena selalu GAME OVER; kemungkinannya tidak terbatas dari perspektif serangan itu.

Meskipun saya telah melihat banyak materi dari komunitas defensif (mereka cepat dalam hal ini) tentang mekanisme deteksi, IOC, kebijakan pencegahan, dan intelijen, saya merasa beberapa jalur kode rentan lain yang mungkin lebih menarik dalam driver ini belum dieksplorasi. maupun dibahas.

Zemana memiliki dua lini produk:

  • Zemana AntiMalware, zamguard64.sys
  • Zemana AntiLogger, zam64.sys

Meskipun namanya berbeda, drivernya sama (mereka juga berbagi hash yang sama); mari selami driver Zemana (zam64.sys).

Jika TA lebih teliti dengan analisisnya, mereka akan menemukan bahwa driver Zemana adalah paket awal kit ransomware yang sempurna, dan mereka akan menggunakannya daripada hanya menjualnya:

  • Itu dapat menghentikan proses: yang sempurna untuk mematikan AV/EDR/XDR dan produk keamanan lainnya.
  • Itu dapat memberikan kemampuan eskalasi hak istimewa: membantu untuk kegigihan.
  • Ini memiliki akses Baca/Tulis disk SCSI mentah sewenang-wenang yang dapat dimanfaatkan untuk melakukan enkripsi disk penuh.

Saya sangat berharap Microsoft akan menambahkan driver ini ke daftar blokir, karena mudah dipersenjatai untuk serangan paling jahat.

selengkapnya : github.com

Admin Windows memperingatkan untuk menambal bug MSMQ QueueJumper yang kritis

by

Peneliti dan pakar keamanan memperingatkan tentang kerentanan kritis dalam layanan middleware Windows Message Queuing (MSMQ) yang ditambal oleh Microsoft selama Patch Tuesday bulan ini dan mengekspos ratusan ribu sistem untuk diserang.

MSMQ tersedia di semua sistem operasi Windows sebagai komponen opsional yang menyediakan aplikasi dengan kemampuan komunikasi jaringan dengan “pengiriman pesan terjamin”, dan dapat diaktifkan melalui PowerShell atau Panel Kontrol.

Cacat (CVE-2023-21554) memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh pada server Windows yang tidak ditambal menggunakan paket MSMQ berbahaya yang dibuat khusus dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Redmond juga telah melampirkan tag “eksploitasi lebih mungkin” ke CVE-2023-21554, mengingat bahwa “menyadari contoh masa lalu dari jenis kerentanan yang dieksploitasi,” yang menjadikannya “target yang menarik bagi penyerang.”

“Dengan demikian, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukan ini dengan prioritas yang lebih tinggi,” Microsoft memperingatkan.

Peneliti keamanan Wayne Low dari FortiGuard Lab Fortinet dan Haifei Li dari Check Point Research dikreditkan karena melaporkan kelemahan tersebut ke Microsoft.

Meskipun Microsoft telah mengatasi bug ini dan 96 kelemahan keamanan lainnya sebagai bagian dari April Patch Tuesday, Microsoft juga menyarankan admin yang tidak dapat segera menggunakan patch untuk menonaktifkan layanan Windows MSMQ (jika memungkinkan) untuk menghapus vektor serangan.

Organisasi yang tidak dapat langsung menonaktifkan MSMQ atau menerapkan patch Microsoft juga dapat memblokir koneksi 1801/TCP dari sumber yang tidak tepercaya menggunakan aturan firewall.

selengkapnya : bleepingcomputer.com

HP untuk patch bug kritis pada printer LaserJet dalam waktu 90 hari

by

HP mengumumkan dalam buletin keamanan minggu ini bahwa diperlukan waktu hingga 90 hari untuk menambal kerentanan kritis yang berdampak pada firmware printer kelas bisnis tertentu.

Masalah keamanan dilacak sebagai CVE-2023-1707 dan mempengaruhi sekitar 50 model HP Enterprise LaserJet dan HP LaserJet Managed Printers.

Perusahaan menghitung skor keparahan 9,1 dari 10 menggunakan standar CVSS v3.1 dan mencatat bahwa mengeksploitasinya berpotensi menyebabkan pengungkapan informasi.

IPsec (Internet Protocol Security) adalah rangkaian protokol keamanan jaringan IP yang digunakan dalam jaringan perusahaan untuk mengamankan komunikasi jarak jauh atau internal dan mencegah akses tidak sah ke aset, termasuk printer.

FutureSmart memungkinkan pengguna untuk bekerja dan mengonfigurasi printer baik dari panel kontrol yang tersedia di printer atau dari browser web untuk akses jarak jauh.

Dalam kasus ini, celah pengungkapan informasi dapat memungkinkan penyerang mengakses informasi sensitif yang dikirimkan antara printer HP yang rentan dan perangkat lain di jaringan.

BleepingComputer telah menghubungi HP untuk mempelajari lebih lanjut tentang dampak pasti dari cacat tersebut dan jika vendor telah melihat tanda-tanda eksploitasi aktif, tetapi kami tidak menerima pernyataan pada waktu publikasi.

HP mengatakan pembaruan firmware yang mengatasi kerentanan akan dirilis dalam 90 hari, jadi saat ini belum ada perbaikan yang tersedia.

Mitigasi yang disarankan untuk pelanggan yang menjalankan FutureSmart 5.6 adalah menurunkan versi firmware mereka ke FS 5.5.0.3.

Pengguna disarankan untuk mendapatkan paket firmware dari portal unduhan resmi HP, tempat mereka dapat memilih model printer dan mendapatkan perangkat lunak yang relevan.

selengkapnya : bleepingcomputer.com

Cacti: Eksekusi Kode Jarak Jauh yang Tidak Diautentikasi

by

Cacti adalah solusi pemantauan berbasis web open-source dengan sejarah panjang sejak rilis pertamanya pada tahun 2001. Saat ini, Cacti sudah mapan, dipelihara secara aktif, dan digunakan di seluruh dunia. Pencarian cepat Shodan mengungkapkan bahwa ribuan organisasi secara publik memaparkan kasus mereka ke internet.

Untuk terus meningkatkan teknologi di balik solusi Kode Bersih kami, kami secara rutin memindai proyek sumber terbuka dan mengevaluasi hasilnya. Dalam kasus Cacti, mesin kami melaporkan kerentanan injeksi perintah yang menjanjikan. Menganalisis temuan ini mengungkapkan bahwa penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan memanfaatkan bypass autentikasi.

Artikel ini akan menguraikan dampak dan mendalami detail teknis dari kerentanan yang ditemukan. Selanjutnya, kami akan menentukan akar penyebab kerentanan dan menjelaskan bagaimana tambalan yang diterapkan menguranginya.

Kerentanan memengaruhi Cacti versi 1.2.22 dan yang lebih lama dan dilacak sebagai CVE-2022-46169 dengan skor CVSS 9,8. Penyerang yang tidak diautentikasi dapat mengeksploitasi instance Cacti yang rentan jika ada perangkat yang dipantau menggunakan sumber data tertentu. Eksploitasi memungkinkan penyerang untuk menjalankan perintah sewenang-wenang di bawah pengguna yang sama saat proses server web sedang berjalan.

Nasihat keamanan berisi tambalan yang harus diterapkan oleh administrator sistem secara manual untuk Cacti versi 1.2.22 dan yang lebih lama. Patch akan dirilis sebagai bagian dari versi 1.2.23 dan 1.3.0.

Selengkapnya: Sonar Source

QNAP Mundur Pada Cakupan Bug NAS Kritis

by

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine

Vulnerability Dapat Mengarah ke DoS, Eksekusi Kode

by Leave a Comment

F5 memperingatkan tentang vulnerability string format tingkat keparahan tinggi di BIG-IP yang dapat memungkinkan penyerang yang diautentikasi menyebabkan kondisi denial-of-service (DoS) dan berpotensi mengeksekusi kode arbitrer.

Dilacak sebagai CVE-2023-22374, cacat keamanan berdampak pada iControl SOAP, API terbuka yang memungkinkan komunikasi antar sistem, yang berjalan sebagai root.

Antarmuka SOAP dapat diakses dari jaringan, baik melalui port manajemen BIG-IP dan/atau alamat IP mandiri, dan dibatasi untuk akun administratif.

Namun, perusahaan cybersecurity menjelaskan, penyerang tidak dapat membaca memori kecuali mereka memiliki akses ke syslog.

Penyerang dapat merusak layanan dengan menggunakan penentu ‘%s’, dan dapat menggunakan penentu ‘%n’ untuk menulis data arbitrer ke sembarang penunjuk di tumpukan, yang berpotensi menyebabkan eksekusi kode jarak jauh, kata perusahaan keamanan siber.

Menurut penasehat F5, penyerang yang ingin mengeksploitasi kelemahan untuk eksekusi kode pertama-tama harus mengumpulkan informasi tentang lingkungan yang menjalankan komponen yang rentan. Namun, hanya bidang kontrol, bukan bidang data, yang diekspos oleh bug ini.

vulnerability berdampak pada BIG-IP versi 13.1.5, 14.1.4.6 hingga 14.1.5, 15.1.5.1 hingga 15.1.8, 16.1.2.2 hingga 16.1.3, dan 17.0.0. Saat ini tidak ada tambalan yang tersedia untuk vulnerability tersebut, tetapi F5 mengatakan perbaikan terbaru teknik tersedia.

Karena cacat hanya dapat dieksploitasi oleh pengguna yang diautentikasi, akses ke API SOAP iControl harus dibatasi untuk pengguna tepercaya.

CVE-2023-22374 memiliki skor CVSS 7,5 untuk sistem BIG-IP dalam mode penerapan standar, dan skor CVSS 8,5 untuk instans IP-BIG dalam mode aplikasi.

BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX, dan Traffix SDC tidak terpengaruh.

QNAP Mendesak Pelanggan untuk Update

by

Eksploitasi baru telah ditemukan yang memengaruhi pelanggan QNAP yang menjalankan versi terbaru dari sistem operasinya: QTS 5.0.1 dan QuTS hero h.5.0.1, tetapi jangan khawatir, terapkan tambalan ini dan Anda akan baik-baik saja.

Kerentanan tersebut dikatakan memungkinkan pelaku ancaman menyuntikkan kode berbahaya, dan telah dianugerahi skor sistem penilaian kerentanan umum (CVSS) sebesar 9,8 (dari 10), menjadikannya sangat penting.

Kami tidak yakin apa implikasinya jika serangan siber terjadi, namun QNAP mendesak pelanggannya untuk tetap mendapatkan informasi terbaru dan segera menambal.

Ini bukan pertama kalinya pelanggan QNAP didesak untuk mengambil tindakan guna mencegah serangan siber. Bahkan, perusahaan secara teratur diserang. Yang mengatakan, untuk sebagian besar, itu telah segera menanggapi eksploitasi dan mengeluarkan tambalan tepat waktu, memberikan ketenangan pikiran kepada penggunanya bahw itu berkomitmen untuk melindungi data mereka.

Selain itu, serangan NAS sayangnya sering terjadi, dan pengguna dari semua jenis perangkat didesak untuk melindungi data mereka sebaik mungkin. Ini dapat mencakup antara lain penggunaan kredensial dan autentikasi yang kuat, dan penggunaan VPN dan firewall.

sumber : techradar.com

Lebih dari 19.000 Router Cisco di Akhir Masa Pakainya Terkena Serangan RCE

by

Lebih dari 19.000 router Cisco VPN akhir masa pakainya di Internet terkena serangan yang menargetkan rantai eksploitasi eksekusi perintah jarak jauh.

Dengan merantai dua kelemahan keamanan yang diungkapkan minggu lalu, pelaku ancaman dapat melewati otentikasi (CVE-2023-20025) dan menjalankan perintah sewenang-wenang (CVE-2023-2002) pada sistem operasi yang mendasari router Cisco Small Business RV016, RV042, RV042G, dan RV082 .

Cisco menilai CVE-2023-20025 sebagai kritis dan mengatakan bahwa tim Product Security Incident Response Team (PSIRT) mengetahui kode eksploit proof-of-concept yang tersedia di alam bebas.

Meskipun demikian, perusahaan juga mengatakan “belum dan tidak akan merilis pembaruan perangkat lunak yang mengatasi kerentanan ini.”

Ribuan router rentan terhadap serangan

vulnerable routers expose
Distribusi router yang rentan di seluruh dunia (Censys)

Meskipun mereka tidak akan mendapatkan pembaruan keamanan, dan Cisco mengatakan bahwa “tidak ada solusi yang mengatasi kerentanan ini”, pengguna masih dapat mengamankan perangkat mereka dari serangan dengan menonaktifkan antarmuka manajemen berbasis web dan memblokir akses ke port 443 dan 60443 untuk menggagalkan upaya eksploitasi.

selengkapnya : bleepingcomputer