Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Exploit

Exploit

NSA Mengatakan Peretas Cina Mengeksploitasi Bug Zero-day

by

Badan Keamanan Nasional AS memperingatkan bahwa peretas yang didukung pemerintah China mengeksploitasi kerentanan zero-day di dua produk jaringan Citrix yang banyak digunakan untuk mendapatkan akses ke jaringan yang ditargetkan.

Kerentanan yang dilacak sebagai CVE-2022-27518, memengaruhi Citrix ADC, pengontrol pengiriman aplikasi, dan Citrix Gateway, alat akses jarak jauh, dan keduanya populer di jaringan perusahaan. Kerentanan dengan peringkat kritis memungkinkan penyerang yang tidak diautentikasi untuk menjalankan kode berbahaya dari jarak jauh pada perangkat yang rentan.

Dalam sebuah blog, Kepala Keamanan dan Kepercayaan Citrix, Peter Lefkowitz, menuliskan bahwa Citrix mengetahui sejumlah kecil serangan yang ditargetkan di alam liar menggunakan kerentanan ini. Namun, Citrix belum dapat menentukan industri yang menjadi target maupun yang telah banyak disusupi.

NSA mengatakan bahwa APT5, grup peretas China yang terkenal, telah secara aktif menargetkan Citrix ADC untuk masuk ke organisasi tanpa harus mencuri kredensial terlebih dahulu, memberikan panduan perburuan ancaman untuk tim keamanan, dan meminta pembagian intelijen antara sektor publik dan swasta.

Tahun lalu, APT5 mengeksploitasi kerentanan zero-day di sebuah produk jaringan lain untuk menembus jaringan A.S. yang terlibat dalam penelitian dan pengembangan pertahanan.

Selengkapnya: TechCrunch+

Peretas Mendapatkan $989.750 Untuk 63 zero-days yang Dieksploitasi di Pwn2Own Toronto

by

Pwn2Own Toronto 2022 telah berakhir dengan pesaing mendapatkan $989.750 untuk 63 eksploitasi zero-day (dan beberapa tabrakan bug) yang menargetkan produk konsumen antara 6 Desember dan 9 Desember.

Dalam kompetisi ini, sejumlah 26 tim dan peneliti keamanan telah menargetkan berbagai perangkat elektronik seperti ponsel, printer, router nirkabel, dan penyimpanan yang terhubung ke jaringan, semuanya mutakhir dan dalam konfigurasi default mereka. Meski tidak ada tim yang mendaftar untuk meretas smartphone Apple iPhone 13 dan Google Pixel 6, para kontestan meretas Samsung Galaxy S22 yang ditambal sepenuhnya sebanyak empat kali.

Sepanjang kontes, peretas telah berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di perangkat dari berbagai vendor, termasuk Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik, dan HP.

Setelah kerentanan zero-day yang dieksploitasi selama acara Pwn2Own dilaporkan, vendor diberi waktu 120 hari untuk merilis patch sebelum ZDI mengungkapkannya secara publik. Pwn2Own Toronto 2022 telah berakhir tepat pada hari keempat kompetisi dengan kontestan mendapatkan $989.750 untuk 63 eksploitasi zero-day di berbagai kategori.Berikut ini adalah daftar pemenang kontes Pwn2Own Toronto 2022 dalam Papan Final Pwn2Own (ZDI).

Selengkapnya: BLEEPINGCOMPUTER

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Dirty Pipe: Apa itu, apakah ponsel saya terpengaruh, apa yang sedang dilakukan untuk memperbaikinya, dan apakah saya perlu mengkhawatirkannya?

by

Apa itu “Pipa Kotor?”
Dirty Pipe adalah nama yang diberikan untuk kerentanan CVE-2022-0847, yang ada di kernel Linux versi 5.8 dan yang lebih baru. Peneliti menemukan masalah tersebut melalui apa yang dianggap sebagai bug yang menyebabkan log akses pada mesin rusak sebentar-sebentar.

Pemeriksaan menunjukkan bahwa masalah tersebut dapat digunakan sebagai eksploitasi yang sangat serius. Kerentanan memungkinkan data disuntikkan ke file arbitrer karena cara kernel Linux membaca, menulis, dan meneruskan data melalui apa yang disebut “pipa”.

Karena pada dasarnya semua yang ada di Linux adalah “file”, dan karena Dirty Pipe dapat secara selektif mengubah data dalam file apa pun (baik secara langsung atau melalui cara file dibaca melalui cache), itu berarti penyerang dapat menggunakan exploit untuk memodifikasi file sistem. Aktor dapat menggunakan exploit Dirty Pipe untuk menyuntikkan kode arbitrer untuk dijalankan oleh proses yang diistimewakan. Kode itu kemudian dapat digunakan untuk semua jenis aplikasi potensial, seperti memberikan izin root ke perangkat lunak lain dan memodifikasi sistem tanpa otorisasi.

Dalam istilah yang kurang teknis, Dirty Pipe adalah kerentanan di Linux yang memungkinkan aplikasi jahat mengontrol sistem hampir penuh, dan itu menakutkan.

Untuk memulai, Dirty Pipe hanya memengaruhi perangkat Android yang menjalankan kernel Linux versi 5.8 dan yang lebih baru. Tidak ada daftar lengkap ponsel yang terkait dengan versi kernel Linux tertentu, tetapi banyak ponsel Android “hidup” pada versi kernel tertentu sepanjang hidup mereka. Kernel 5.8 dirilis pada tahun 2020, tetapi perangkat Android tidak mulai menerima versi yang lebih baru sampai rilis Android 12. Gambar Kernel Generik sedikit memperumit ini, tetapi hanya Pixel 6 dan 6 Pro yang menggunakannya, dan perangkat konsumen menggunakan versi kernel setelah 5.8 juga tidak debut hingga Android 12.

Singkatnya, jika ponsel Anda diluncurkan dengan Android 11 atau lebih lama, Anda aman dari Dirty Pipe, dan bahkan jika Anda memutakhirkan ke Android 12, tidak ada alasan untuk khawatir. Itu berarti sebagian besar ponsel dari tahun 2021 dan sebelumnya tidak terpengaruh. Namun, beberapa ponsel yang lebih baru terpengaruh.

Kita tahu seri Pixel 6, Pixel 6 Pro, dan Samsung Galaxy S22 dipengaruhi oleh Dirty Pipe. Android Police secara terpisah mengonfirmasi bahwa Xiaomi 12 Pro menjalankan versi kernel Linux yang terpengaruh. Qualcomm telah mengkonfirmasi kepada kami bahwa dari semua chipsetnya, hanya Snapdragon 8 Gen 1 yang mungkin menggunakan kernel yang terpengaruh. Semua perangkat keras lainnya seharusnya tidak terpengaruh.

Jika Anda khawatir tentang apakah ponsel Anda rentan terhadap Pipa Kotor, hingga semuanya ditambal, pemeriksaan itu mudah, tetapi tidak selalu sederhana. Versi kernel harus terdaftar di suatu tempat di aplikasi Pengaturan ponsel Anda, tetapi perusahaan yang berbeda meletakkannya di tempat yang berbeda (dan beberapa bahkan menamainya secara berbeda). Yang perlu Anda perhatikan untuk saat ini adalah dua digit pertama untuk kernel.

Ikuti langkah-langkah di bawah ini untuk menemukan versi kernel untuk Google Pixel, OnePlus (menjalankan Oxygen OS 12 atau lebih baru), dan ponsel Samsung Galaxy:

Ponsel Samsung Galaxy
Ketuk Pengaturan → Tentang telepon → Informasi perangkat lunak.
Ponsel Google Pixel
Pilih Pengaturan → Tentang ponsel → Versi Android.
Ponsel OnePlus
Buka Pengaturan → Tentang perangkat → Versi.

Jika Anda memiliki telepon dari pabrikan yang berbeda, cukup ketik “kernel” di bilah pencarian Pengaturan. Meskipun mungkin masih tidak muncul di semua perangkat, ini adalah cara cepat dan mudah untuk mengakses informasi dalam banyak kasus, termasuk untuk perangkat yang tidak tercakup di atas.

Ingat, jika beberapa digit pertama versi kernel ponsel Anda lebih rendah dari 5,8, Anda aman.

Sumber : Android Police

Telah terjadi peningkatan besar dalam serangan phishing menggunakan add-in Microsoft Excel XLL

by

Gelombang serangan siber memanfaatkan file add-in Microsoft Excel untuk mengirimkan beberapa bentuk malware dalam kampanye yang dapat membuat bisnis rentan terhadap pencurian data, ransomware, dan kejahatan dunia maya lainnya.

Dirinci oleh para peneliti di HP Wolf Security, kampanye tersebut menggunakan file tambahan Microsoft Excel (XLL) berbahaya untuk menginfeksi sistem dan ada peningkatan serangan hampir enam kali lipat (588%) menggunakan teknik ini selama kuartal terakhir tahun 2021 dibandingkan dengan tiga bulan sebelumnya.

File add-in XLL sangat populer karena memungkinkan pengguna untuk menggunakan berbagai macam alat dan fungsi tambahan di Microsoft Excel. Tapi seperti makro, mereka adalah alat yang dapat dieksploitasi oleh penjahat cyber.

Serangan didistribusikan melalui email phishing berdasarkan referensi pembayaran, faktur, kutipan, dokumen pengiriman dan pesanan yang datang dengan dokumen Excel berbahaya dengan file tambahan XLL. Menjalankan file berbahaya meminta pengguna untuk menginstal dan mengaktifkan add-in, yang secara diam-diam akan menjalankan malware di mesin korban.

Keluarga malware yang diidentifikasi dikirim dalam serangan yang memanfaatkan file XLL termasuk Dridex, IcedID, BazaLoader, Agen Tesla, Raccoon Stealer, Formbook, dan Bitrat. Banyak dari bentuk malware ini dapat membuat pintu belakang ke sistem Windows yang disusupi, memberikan penyerang kemampuan untuk mengakses mesin dari jarak jauh, memantau aktivitas, dan mencuri data.

Selengkapnya: ZDNet

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

by

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

  • CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

  • CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

  • CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Kelompok peretasan menggunakan 11 zero-day untuk menyerang pengguna Windows, iOS, Android

by

Project Zero, tim zero-day bug-hunting Google, menemukan sekelompok peretas yang menggunakan 11 zero-day dalam serangan yang menargetkan pengguna Windows, iOS, dan Android dalam satu tahun.

Tim Project Zero mengungkapkan bahwa kelompok peretasan di balik serangan ini menjalankan dua kampanye terpisah, pada bulan Februari dan Oktober 2020.

Laporan bulan ini menampilkan penggunaan tujuh zero-day setelah sebelumnya diterbitkan pada Januari menunjukkan bagaimana empat zero-day digunakan bersama dengan eksploitasi n-day untuk meretas target potensial.

Sama seperti sebelumnya, penyerang menggunakan beberapa lusin situs web yang menghosting dua server exploit, masing-masing menargetkan pengguna iOS dan Windows atau Android.

“Dalam pengujian kami, kedua server exploit ada di semua domain yang ditemukan,” kata anggota tim Project Zero, Maddie Stone.

“Setelah sidik jari awal (tampaknya didasarkan pada asal alamat IP dan user-agent), iframe disuntikkan ke situs web yang mengarah ke salah satu dari dua server exploit.”

Sumber: Google Project Zero

Secara keseluruhan, saat menganalisis kampanye Oktober 2020, para peneliti Project Zero menemukan:

  • satu rantai eksploitasi yang menargetkan Windows 10 yang sepenuhnya ditambal menggunakan Google Chrome
  • dua rantai parsial menargetkan 2 perangkat Android berbeda yang sepenuhnya ditambal yang menjalankan Android 10 menggunakan Google Chrome dan Samsung Browser
  • beberapa eksploitasi RCE untuk iOS 11-13 dan eksploitasi eskalasi hak istimewa untuk iOS 13 (dengan bug yang dieksploitasi hadir hingga iOS 14.1)

Selengkapnya: Bleeping Computer

Eksploitasi Windows dan Linux Spectre yang berfungsi ditemukan di VirusTotal

by

Eksploitasi yang menargetkan sistem Linux dan Windows yang tidak ditambal terhadap kerentanan berusia tiga tahun yang dijuluki Spectre ditemukan oleh peneliti keamanan Julien Voisin di VirusTotal.

Kerentanan tersebut diungkapkan sebagai bug perangkat keras pada Januari 2018 oleh peneliti Google Project Zero.

Jika berhasil dieksploitasi pada sistem yang rentan, ini dapat digunakan oleh penyerang untuk mencuri data sensitif, termasuk kata sandi, dokumen, dan data lain yang tersedia di privileged memori.

Voisin menemukan dua eksploitasi Linux dan Windows yang berfungsi pada platform analisis malware VirusTotal online.

Pengguna yang tidak memiliki hak istimewa dapat menggunakan eksploitasi untuk mengambil hash LM/NT pada sistem Windows dan file Linux/etc/shadow dari memori kernel perangkat yang ditargetkan.

Eksploitasi juga memungkinkan pengambilan tiket Kerberos yang dapat digunakan dengan PsExec untuk eskalasi hak istimewa lokal dan gerakan lateral pada sistem Windows.

Eksploitasi terkait diunggah di VirusTotal bulan lalu sebagai bagian dari paket yang lebih besar, penginstal Immunity Canvas 7.26 untuk Windows dan Linux.

Alat pengujian penetrasi CANVAS menggabungkan “ratusan eksploitasi, sistem eksploitasi otomatis”, dan juga dilengkapi dengan kerangka kerja pengembangan eksploitasi untuk membuat eksploitasi khusus.

Seperti yang dikatakan Voisin, eksploitasi akan rusak jika mesin yang dijalankan menjalankan versi Linux atau Windows yang ditambal.

Mereka yang menjalankan versi OS yang lebih lama pada silikon yang lebih lama (PC era 2015 dengan Haswell atau prosesor Intel yang lebih lama) mungkin yang paling rentan terkena serangan Spectre.

Selengkapnya: Bleeping Computer