Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for CVE

CVE

Kerentanan Keamanan Kritis Ditemukan di Router Netcomm dan TP-Link

by

Kerentanan keamanan telah diungkapkan di router Netcomm dan TP-Link, beberapa di antaranya dapat dipersenjatai untuk mencapai eksekusi kode jarak jauh.

Cacat, dilacak sebagai CVE-2022-4873 dan CVE-2022-4874, menyangkut kasus buffer overflow berbasis stack dan bypass otentikasi dan berdampak pada model router Netcomm NF20MESH, NF20, dan NL1902 yang menjalankan versi firmware lebih awal dari R6B035.

“Dua kerentanan, ketika dirangkai bersama, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah penasehat yang diterbitkan Selasa.

Peneliti keamanan Brendan Scarvell telah dipuji karena menemukan dan melaporkan masalah tersebut pada Oktober 2022.

Peneliti Microsoft James Hull telah diakui untuk mengungkap dua bug. The Hacker News telah menghubingi TP-Link untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

sumber :thehackernews

Implan Linux Canggih Ditemukan Mengompromikan Perangkat Keamanan Jaringan Fortinet

by

Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.

Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.

Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.

Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.

Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.

Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.

sumber : paulponraj

Hal-hal Buruk Datang dalam Paket Besar: Bypass Verifikasi Tanda Tangan .pkg di MacOS

by

Kerentanan (CVE-2022-42841) yang dapat digunakan untuk memodifikasi paket penginstal yang ditandatangani tanpa membatalkan tanda tangannya. Kerentanan ini dapat disalahgunakan untuk mem-bypass Gatekeeper, SIP dan dalam kondisi tertentu meningkatkan hak istimewa ke root.

Kerentanan
Untuk paket yang ditandatangani, hash TOC perlu digunakan untuk dua pemeriksaan berbeda:

  • Hash TOC yang dihitung harus sama dengan hash TOC yang disimpan di heap.
  • Tanda tangan dan sertifikat harus sesuai dengan hash TOC.

Ini diterapkan di lokasi berikut dalam kode sumber xar.

Di sini, TOC yang dihitung dibandingkan dengan nilai yang disimpan di heap.

https://github.com/apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/archive.c#L391-L484

Ini pertama mengambil atribut atribut checksum dari dokumen XML sebagai nilai const char *. Kemudian, strtoull mengubahnya menjadi bilangan bulat 64-bit yang tidak ditandatangani dan disimpan dalam variabel offset.

Untuk mendapatkan hash TOC untuk memvalidasi tanda tangan, sedikit kode serupa digunakan:
https://github.com/Apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/signature.c#L244-L276

Perhatikan di sini perbedaan kecil tapi sangat penting: sementara perbandingan pertama menyimpan offset dalam offset uint64_t (integer unsigned 64-bit), di sini ia menggunakan offset uint32_t (integer unsigned 32-bit). Perbedaan ini berarti bahwa jika offset berada di luar rentang yang dapat disimpan dalam nilai 32-bit, kedua pemeriksaan tersebut dapat menggunakan offset heap yang berbeda.

Dengan demikian, dimungkinkan untuk memodifikasi file xar tanpa membatalkan tanda tangannya sebagai berikut:

  • Ambil file xar yang ditandatangani dengan benar dan parsing TOC.
  • Ubah nilai offset checksum menjadi 4294967296 (dan buat perubahan lain yang Anda inginkan pada file yang disertakan, seperti menambahkan skrip prainstal berbahaya atau mengganti skrip pemeriksaan instalasi).
  • Tulis TOC yang dimodifikasi kembali ke file dan hitung hash TOC baru.
  • Tambahkan padding hingga heap berukuran tepat 4294967296 byte (4 GiB).
  • Tempatkan hash TOC baru di heap offset 4294967296, biarkan hash TOC asli di heap offset 0.

    • Perbaikan
    Ini diperbaiki oleh Apple dengan perbaikan 2 karakter: mengubah uint32_t menjadi uint64_t di macOS 13.1.

    selengkapnya : sector7

Cacat Keamanan Parah Ditemukan di Perpustakaan “jsonwebtoken” Digunakan oleh 22.000+ Proyek

by

Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan di pustaka open source jsonwebtoken (JWT) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh di server target.

Dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), masalah ini berdampak pada semua versi library, termasuk dan di bawah 8.5.1, dan telah diatasi dalam versi 9.0.0 yang dikirimkan pada 21 Desember 2022. Cacat tersebut telah dilaporkan oleh perusahaan keamanan siber pada 13 Juli 2022.

jsonwebtoken, yang dikembangkan dan dikelola oleh Okta’s Auth0, adalah modul JavaScript yang memungkinkan pengguna mendekode, memverifikasi, dan menghasilkan token web JSON sebagai sarana transmisi informasi yang aman antara dua pihak untuk otorisasi dan otentikasi. Ini memiliki lebih dari 10 juta unduhan mingguan di registri perangkat lunak npm dan digunakan oleh lebih dari 22.000 proyek.

Karena perangkat lunak open source semakin muncul sebagai jalur akses awal yang menguntungkan bagi pelaku ancaman untuk melancarkan serangan rantai pasokan, kerentanan dalam alat tersebut harus diidentifikasi secara proaktif, dimitigasi, dan ditambal oleh pengguna hilir.

Lebih buruk lagi adalah kenyataan bahwa penjahat dunia maya telah menjadi jauh lebih cepat dalam mengeksploitasi kelemahan yang baru terungkap, secara drastis mempersingkat waktu antara rilis tambalan dan ketersediaan eksploitasi. Menurut Microsoft, rata-rata hanya membutuhkan waktu 14 hari untuk mengeksploitasi terdeteksi di alam liar setelah pengungkapan bug secara publik.

Untuk mengatasi masalah penemuan kerentanan ini, Google, bulan lalu, mengumumkan perilisan OSV-Scanner, sebuah utilitas open source yang bertujuan untuk mengidentifikasi semua dependensi transitif suatu proyek dan menyoroti kekurangan relevan yang memengaruhinya.

sumber: thehackernews

Bug VMware dengan peringkat keparahan 9,8 dieksploitasi untuk menginstal malware buatan penyihir

by

Peretas telah mengeksploitasi kerentanan yang sekarang ditambal di VMware Workspace ONE Access dalam kampanye untuk menginstal berbagai ransomware dan penambang cryptocurrency, seorang peneliti di perusahaan keamanan Fortinet mengatakan pada hari Kamis.

CVE-2022-22954 adalah kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access yang membawa peringkat keparahan 9,8 dari kemungkinan 10. VMware mengungkapkan dan menambal kerentanan pada 6 April.

Dalam 48 jam, peretas merekayasa balik pembaruan dan mengembangkan eksploitasi kerja yang kemudian mereka gunakan untuk mengkompromikan server yang belum menginstal perbaikan.

Akses VMware Workspace ONE membantu administrator mengonfigurasi rangkaian aplikasi yang dibutuhkan karyawan di lingkungan kerja mereka.

Pada bulan Agustus, para peneliti di Fortiguard Labs melihat lonjakan tiba-tiba dalam upaya eksploitasi dan perubahan besar dalam taktik. Padahal sebelum para peretas memasang muatan yang memanen kata sandi dan mengumpulkan data lain, gelombang baru membawa sesuatu yang lain—khususnya, ransomware yang dikenal sebagai RAR1ransom, penambang cryptocurrency yang dikenal sebagai GuardMiner, dan Mirai, perangkat lunak yang menyatukan perangkat Linux menjadi botnet besar untuk digunakan dalam serangan penolakan layanan terdistribusi.

“Meskipun kerentanan kritis CVE-2022-22954 sudah ditambal pada bulan April, masih ada beberapa kampanye malware yang mencoba mengeksploitasinya,” tulis peneliti Fortiguard Labs Cara Lin.

Penyerang, tambahnya, menggunakannya untuk menyuntikkan muatan dan mencapai eksekusi kode jarak jauh pada server yang menjalankan produk.

Selengkapnya: ars TECHNICA

Peretas memindai kerentanan dalam waktu 15 menit setelah pengungkapan

by

Administrator sistem memiliki lebih sedikit waktu untuk menambal kerentanan keamanan yang diungkapkan daripada yang diperkirakan sebelumnya, karena laporan baru menunjukkan pelaku ancaman memindai titik akhir yang rentan dalam waktu 15 menit setelah CVE baru diungkapkan kepada publik.

Menurut Laporan Respons Insiden Unit 42 Palo Alto 2022, peretas terus-menerus memantau papan buletin vendor perangkat lunak untuk pengumuman kerentanan baru yang dapat mereka manfaatkan untuk akses awal ke jaringan perusahaan atau untuk melakukan eksekusi kode jarak jauh.

Namun, kecepatan di mana aktor ancaman mulai memindai kerentanan menempatkan administrator sistem di garis bidik saat mereka berlomba untuk menambal bug sebelum dieksploitasi.

Karena pemindaian tidak terlalu menuntut, bahkan penyerang berketerampilan rendah dapat memindai internet untuk titik akhir yang rentan dan menjual temuan mereka di pasar web gelap tempat peretas yang lebih cakap tahu cara mengeksploitasinya.

Kemudian, dalam beberapa jam, upaya eksploitasi aktif pertama diamati, sering kali mengenai sistem yang tidak pernah memiliki kesempatan untuk ditambal.

Unit 42 menyajikan CVE-2022-1388 sebagai contoh, kerentanan eksekusi perintah jarak jauh yang tidak diautentikasi yang kritis yang berdampak pada produk F5 BIG-IP.

Cacat itu terungkap pada 4 Mei 2022, dan menurut Unit 42, dalam waktu sepuluh jam sejak pengumuman CVE, mereka telah mencatat 2.552 upaya pemindaian dan eksploitasi.

Ini adalah perlombaan antara pembela dan aktor jahat, dan margin untuk penundaan di kedua sisi berkurang setiap tahun yang berlalu.

Berdasarkan data yang dikumpulkan oleh Palo Alto, kerentanan yang paling banyak dieksploitasi untuk akses jaringan di Semester 1 2022 adalah rantai eksploitasi “ProxyShell”, yang menyumbang 55% dari total insiden eksploitasi yang tercatat. ProxyShell adalah serangan yang dieksploitasi dengan menyatukan tiga kerentanan yang dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

Log4Shell mengikuti di tempat kedua dengan 14%, berbagai CVE SonicWall menyumbang 7%, ProxyLogon memiliki 5%, sedangkan RCE di Zoho ManageEngine ADSelfService Plus dieksploitasi dalam 3% kasus.

Cacat yang paling banyak dieksploitasi di H1 2022 (Unit 42)

Seperti yang terlihat dari statistik ini, bagian terbesar dalam volume eksploitasi ditangkap oleh kelemahan semi-lama dan bukan yang terbaru.

Sistem yang lebih berharga dan terlindungi lebih baik yang adminnya cepat menerapkan pembaruan keamanan ditargetkan dengan zero-days atau serangan yang terungkap segera setelah pengungkapan kelemahan.

Perlu juga dicatat bahwa menurut Unit 42, mengeksploitasi kerentanan perangkat lunak untuk pelanggaran jaringan awal menyumbang sekitar sepertiga dari metode yang digunakan.

Dalam 37% kasus, phishing adalah cara yang lebih disukai untuk mencapai akses awal. Pemaksaan kasar atau menggunakan kredensial yang disusupi adalah cara peretas menembus jaringan di 15% kasus.

Akhirnya, menggunakan trik rekayasa sosial terhadap karyawan istimewa atau menyuap orang dalam yang nakal untuk membantu akses jaringan sama dengan 10% dari insiden.

Dengan administrator sistem, admin jaringan, dan profesional keamanan yang sudah berada di bawah tekanan yang signifikan saat mereka mencoba untuk mengikuti ancaman keamanan terbaru dan masalah OS, kecepatan di mana pelaku ancaman menargetkan perangkat mereka hanya menambah tekanan tambahan.

Oleh karena itu, sangat penting untuk menjauhkan perangkat dari Internet jika memungkinkan, dan hanya memaparkannya melalui VPN atau gerbang keamanan lainnya. Dengan membatasi akses ke server, admin tidak hanya mengurangi risiko eksploitasi, tetapi juga memberikan waktu tambahan untuk menerapkan pembaruan keamanan sebelum kerentanan dapat ditargetkan secara internal.

Sayangnya, beberapa layanan harus diekspos secara publik, mengharuskan admin untuk memperketat keamanan sebanyak mungkin melalui daftar akses, hanya menampilkan port dan layanan yang diperlukan, dan menerapkan pembaruan secepat mungkin.

Sumber: Bleeping Computer

Eksploitasi dirilis untuk bug bypass autentikasi VMware yang kritis, tambal sekarang

by

Kode eksploit proof-of-concept sekarang tersedia online untuk kerentanan bypass otentikasi kritis di beberapa produk VMware yang memungkinkan penyerang mendapatkan hak istimewa admin.

VMware merilis pembaruan keamanan untuk mengatasi kelemahan CVE-2022-22972 yang memengaruhi Workspace ONE Access, VMware Identity Manager (vIDM), atau vRealize Automation.

Perusahaan juga membagikan solusi sementara untuk admin yang tidak dapat segera menambal peralatan yang rentan, mengharuskan mereka untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan.

Peneliti keamanan Horizon3 merilis eksploitasi proof-of-concept (PoC) dan analisis teknis untuk kerentanan ini hari ini, menyusul pengumuman yang dibuat pada hari Selasa bahwa PoC CVE-2022-22972 akan tersedia akhir pekan ini.

“Script ini dapat digunakan dengan bypass authentication pada vRealize Automation 7.6 menggunakan CVE-2022-22972,” kata para peneliti.

“Workspace ONE dan vIDM memiliki titik akhir otentikasi yang berbeda, tetapi inti dari kerentanannya tetap sama.

Sementara Shodan hanya menunjukkan sejumlah terbatas peralatan VMware yang terkena serangan yang akan menargetkan bug ini, ada beberapa organisasi kesehatan, industri pendidikan, dan pemerintah negara bagian dengan peningkatan risiko menjadi sasaran.

CVE-2022-22972 adalah kerentanan manipulasi header ‘Host’ yang relatif sederhana. Penyerang yang termotivasi tidak akan kesulitan mengembangkan eksploitasi untuk kerentanan ini,” tambah Horizon3.

Selengkapnya: Bleeping Computer

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek