Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Exploit

Exploit

Penasihat Teknis: Rantai Eksploitasi “Proxy*Hell” di Alam Liar

by

Pada akhir November 2022, para pakar Bitdefender Labs mulai melihat peningkatan serangan menggunakan rantai eksploitasi ProxyNotShell/OWASSRF yang menargetkan penerapan Microsoft Exchange lokal.

Serangan SSRF di server Microsoft Exchange adalah beberapa kerentanan yang paling populer dan sering dieksploitasi. Pihaknya memutuskan merilis penasehat teknis yang menjelaskan serangan ini dan juga mendokumentasikan beberapa serangan baru-baru ini yang terdeteksi secara liar.

Arsitektur Berorientasi Layanan (SOA)
Merupakan pendekatan desain perangkat lunak yang melibatkan pengorganisasian sistem sebagai kumpulan layanan yang berkomunikasi satu sama lain melalui antarmuka yang terdefinisi dengan baik. Salah satu manfaat utama SOA adalah memungkinkan fleksibilitas dan skalabilitas yang lebih besar dengan menghapus batasan aplikasi.

Microsoft Exchange
Microsoft Exchange adalah contoh aplikasi yang menggunakan layanan proxy untuk melindungi backend sensitif dari jaringan publik yang tidak terpercaya.

Layanan Akses Klien (CAS) adalah lapisan yang bertanggung jawab untuk menerima semua bentuk koneksi klien (front-end) dan memproyeksikannya ke layanan back-end.

Pemalsuan Permintaan Sisi Server (SSRF)
Pemalsuan permintaan sisi server (SSRF) adalah jenis serangan yang memungkinkan penyerang mengirim permintaan buatan dari server yang rentan ke server lain, atas nama server yang rentan.

Ini memungkinkan penyerang mengakses sumber daya atau informasi yang sebaliknya tidak dapat diakses secara langsung oleh mereka dan memungkinkan mereka melakukan tindakan atas nama server yang rentan.

Serangan proxy di Microsoft Exchange
Sebagian besar kerentanan yang ditemukan peneliti keamanan didasarkan pada implementasi yang cacat. Kerentanan arsitektur sulit diperbaiki dalam sistem produksi, terutama untuk perangkat lunak yang didistribusikan secara luas dimana kompatibilitas mundur merupakan fitur penting, seperti server Microsoft Exchange.

Serangan Nyata
Berikut adalah beberapa serangan kehidupan nyata yang telah dideteksi oleh para ahli Bitdefender Labs pada akhir November 2022 terdiri dari beberapa kasus diantaranya alat administrasi remote, broker akses awsal, ransomware kuba, pencurian kredensial. Terdapat kami peningkatan penggunaan ProxyNotShell/OWASSRF untuk eksekusi perintah jahat.

Selengkapnya: Bitdefender

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

by

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Lebih dari 19.000 Router Cisco di Akhir Masa Pakainya Terkena Serangan RCE

by

Lebih dari 19.000 router Cisco VPN akhir masa pakainya di Internet terkena serangan yang menargetkan rantai eksploitasi eksekusi perintah jarak jauh.

Dengan merantai dua kelemahan keamanan yang diungkapkan minggu lalu, pelaku ancaman dapat melewati otentikasi (CVE-2023-20025) dan menjalankan perintah sewenang-wenang (CVE-2023-2002) pada sistem operasi yang mendasari router Cisco Small Business RV016, RV042, RV042G, dan RV082 .

Cisco menilai CVE-2023-20025 sebagai kritis dan mengatakan bahwa tim Product Security Incident Response Team (PSIRT) mengetahui kode eksploit proof-of-concept yang tersedia di alam bebas.

Meskipun demikian, perusahaan juga mengatakan “belum dan tidak akan merilis pembaruan perangkat lunak yang mengatasi kerentanan ini.”

Ribuan router rentan terhadap serangan

vulnerable routers expose
Distribusi router yang rentan di seluruh dunia (Censys)

Meskipun mereka tidak akan mendapatkan pembaruan keamanan, dan Cisco mengatakan bahwa “tidak ada solusi yang mengatasi kerentanan ini”, pengguna masih dapat mengamankan perangkat mereka dari serangan dengan menonaktifkan antarmuka manajemen berbasis web dan memblokir akses ke port 443 dan 60443 untuk menggagalkan upaya eksploitasi.

selengkapnya : bleepingcomputer

Implan Linux Canggih Ditemukan Mengompromikan Perangkat Keamanan Jaringan Fortinet

by

Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.

Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.

Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.

Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.

Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.

Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.

sumber : paulponraj

Hal-hal Buruk Datang dalam Paket Besar: Bypass Verifikasi Tanda Tangan .pkg di MacOS

by

Kerentanan (CVE-2022-42841) yang dapat digunakan untuk memodifikasi paket penginstal yang ditandatangani tanpa membatalkan tanda tangannya. Kerentanan ini dapat disalahgunakan untuk mem-bypass Gatekeeper, SIP dan dalam kondisi tertentu meningkatkan hak istimewa ke root.

Kerentanan
Untuk paket yang ditandatangani, hash TOC perlu digunakan untuk dua pemeriksaan berbeda:

  • Hash TOC yang dihitung harus sama dengan hash TOC yang disimpan di heap.
  • Tanda tangan dan sertifikat harus sesuai dengan hash TOC.

Ini diterapkan di lokasi berikut dalam kode sumber xar.

Di sini, TOC yang dihitung dibandingkan dengan nilai yang disimpan di heap.

https://github.com/apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/archive.c#L391-L484

Ini pertama mengambil atribut atribut checksum dari dokumen XML sebagai nilai const char *. Kemudian, strtoull mengubahnya menjadi bilangan bulat 64-bit yang tidak ditandatangani dan disimpan dalam variabel offset.

Untuk mendapatkan hash TOC untuk memvalidasi tanda tangan, sedikit kode serupa digunakan:
https://github.com/Apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/signature.c#L244-L276

Perhatikan di sini perbedaan kecil tapi sangat penting: sementara perbandingan pertama menyimpan offset dalam offset uint64_t (integer unsigned 64-bit), di sini ia menggunakan offset uint32_t (integer unsigned 32-bit). Perbedaan ini berarti bahwa jika offset berada di luar rentang yang dapat disimpan dalam nilai 32-bit, kedua pemeriksaan tersebut dapat menggunakan offset heap yang berbeda.

Dengan demikian, dimungkinkan untuk memodifikasi file xar tanpa membatalkan tanda tangannya sebagai berikut:

  • Ambil file xar yang ditandatangani dengan benar dan parsing TOC.
  • Ubah nilai offset checksum menjadi 4294967296 (dan buat perubahan lain yang Anda inginkan pada file yang disertakan, seperti menambahkan skrip prainstal berbahaya atau mengganti skrip pemeriksaan instalasi).
  • Tulis TOC yang dimodifikasi kembali ke file dan hitung hash TOC baru.
  • Tambahkan padding hingga heap berukuran tepat 4294967296 byte (4 GiB).
  • Tempatkan hash TOC baru di heap offset 4294967296, biarkan hash TOC asli di heap offset 0.

    • Perbaikan
    Ini diperbaiki oleh Apple dengan perbaikan 2 karakter: mengubah uint32_t menjadi uint64_t di macOS 13.1.

    selengkapnya : sector7

Peringatan Keamanan WordPress: Malware Linux Baru Mengeksploitasi Lebih dari Dua Lusin Kelemahan CMS

by

Situs WordPress menjadi sasaran malware Linux yang sebelumnya tidak dikenal yang mengeksploitasi kelemahan di lebih dari dua lusin plugin dan tema untuk mengkompromikan sistem yang rentan.

Menurut vendor keamanan Rusia, Doctor Web, penggunaan situs versi lama dari add-on tanpa perbaikan penting, dapat menjadi target yang akan disuntikkan JavaScript berbahaya. Pengguna yang mengklik area mana pun dari halaman yang diserang, dialihkan ke situs lain.

Serangan melibatkan mempersenjatai daftar kerentanan keamanan yang diketahui di 19 plugin dan tema berbeda, kemungkinan dipasang di situs WordPress, digunakan untuk menyebarkan implan yang dapat menargetkan situs web tertentu untuk memperluas jaringan lebih lanjut.

Doctor Web telah mengidentifikasi versi kedua dari backdoor, yang menggunakan domain command-and-control (C2) baru serta daftar kelemahan yang diperbarui yang mencakup 11 plugin tambahan, sehingga totalnya menjadi 30.

Bulan lalu, Sucuri mencatat bahwa lebih dari 15.000 situs WordPress telah dilanggar sebagai bagian dari kampanye berbahaya untuk mengarahkan pengunjung ke portal Q&A palsu, dengan jumlah infeksi aktif saat ini mencapai 9.314.

Pengguna WordPress disarankan untuk selalu memperbarui semua komponen platform, termasuk add-on dan tema pihak ketiga, dan menggunakan login dan kata sandi yang kuat dan unik untuk mengamankan akun mereka.

Selengkapnya: The Hacker News

Eksploitasi iOS 16 Memungkinkan Pengguna Mengatur Font Sistem ke Comic Sans (dan hal lainnya)

by

Bagi penggemar iPhone tetapi membenci jenis huruf San Francisco, pengembang Zhuowei Zhang telah memposting alat yang rapi ke Github — sebuah aplikasi yang dapat menimpa sementara font sistem iOS dengan yang lain, memberi ponsel tampilan baru yang tidak disetujui Apple.

Aplikasi ini hanya membutuhkan iOS 16.1.2 atau lebih rendah untuk berfungsi, karena bergantung pada bug eksekusi kernel (CVE-2022-46689) yang ditambal di iOS 16.2. Pengguna iOS 16.2 tidak akan dapat bereksperimen dengan peretasan. Setiap perubahan font akan dikembalikan dengan reboot perangkat, dan hanya aplikasi yang menggunakan selain jenis huruf default San Francisco dapat berubah.

Aplikasi ini menyertakan sejumlah font yang sudah diinstal sebelumnya, banyak di antaranya tampaknya dirancang untuk mengganggu pandangan para desainer UI Apple. Comic Sans MS memimpin dalam hal tersebut, tetapi Segoe UI (font pilihan Windows dan Microsoft) dan Samsung “Choco Cooky” juga disertakan. Font khusus dapat diinstal selama kompatibel dengan iOS.

Selengkapnya: arsTECHNICA

Kelompok Ransomware Menggunakan Eksploit Microsoft Exchange Baru Untuk Menembus Server

by

Pelaku ancaman ransomware Play menggunakan rantai eksploit baru yang melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan cybersecurity CrowdStrike melihat eksploit (dijuluki OWASSRF) saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

OWASSRF PoC exploit (BleepingComputer)

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security.

OWASSRF PoC exploit leaked online
Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14.

CrowdStrike percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi.

Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Aktifitas Play Ransomware (ID Ransomware)

Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan.

Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.

sumber : bleeping computer