Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Exploit

Exploit

Lebih dari 80.000 kamera Hikvision yang dapat dieksploitasi diekspos secara online

by

Peneliti keamanan telah menemukan lebih dari 80.000 kamera Hikvision rentan terhadap cacat injeksi perintah kritis yang mudah dieksploitasi melalui pesan yang dibuat khusus yang dikirim ke server web yang rentan.

Cacat tersebut dilacak sebagai CVE-2021-36260 dan telah diatasi oleh Hikvision melalui pembaruan firmware pada September 2021.

Namun, menurut whitepaper yang diterbitkan oleh CYFIRMA, puluhan ribu sistem yang digunakan oleh 2.300 organisasi di 100 negara masih belum menerapkan pembaruan keamanan.

Ada dua eksploitasi publik yang diketahui untuk CVE-2021-36260, satu diterbitkan pada Oktober 2021 dan yang kedua pada Februari 2022, sehingga aktor ancaman dari semua tingkat keahlian dapat mencari dan mengeksploitasi kamera yang rentan.

Pada bulan Desember 2021, botnet berbasis Mirai yang disebut ‘Moobot’ menggunakan eksploit tertentu untuk menyebar secara agresif dan mendaftarkan sistem ke kawanan DDoS (distributed denial of service).

Pada Januari 2022, CISA memperingatkan bahwa CVE-2021-36260 termasuk di antara bug yang dieksploitasi secara aktif dalam daftar yang diterbitkan saat itu, memperingatkan organisasi bahwa penyerang dapat “mengambil alih” perangkat dan segera menambal kelemahannya.

Dari sampel yang dianalisis dari 285.000 server web Hikvision yang terhubung ke internet, perusahaan keamanan siber menemukan sekitar 80.000 masih rentan terhadap eksploitasi.

Sebagian besar terletak di Cina dan Amerika Serikat, sementara Vietnam, Inggris, Ukraina, Thailand, Afrika Selatan, Prancis, Belanda, dan Rumania semuanya terhitung di atas 2.000 titik akhir yang rentan.

Selengkapnya: Bleeping Computer

Peretas China Mengeksploitasi Kerentanan Zero-Day Firewall Sophos untuk Menargetkan Entitas Asia Selatan

by

Seorang aktor ancaman persisten canggih (APT) China yang canggih mengeksploitasi kerentanan keamanan kritis dalam produk firewall Sophos yang terungkap awal tahun ini untuk menyusup ke target Asia Selatan yang tidak disebutkan namanya sebagai bagian dari serangan yang sangat bertarget.

“Penyerang menerapkan web shell backdoor yang menarik, membuat bentuk sekunder dari persistensi, dan akhirnya meluncurkan serangan terhadap staf pelanggan,” kata Volexity dalam sebuah laporan. “Serangan-serangan ini bertujuan untuk lebih jauh menembus server web yang dihosting di cloud yang menghosting situs web organisasi yang menghadap publik.”

Cacat zero-day yang dimaksud dilacak sebagai CVE-2022-1040 (skor CVSS: 9,8), dan menyangkut kerentanan bypass otentikasi yang dapat dipersenjatai untuk mengeksekusi kode arbitrer dari jarak jauh. Ini mempengaruhi Sophos Firewall versi 18.5 MR3 (18.5.3) dan sebelumnya.

Perusahaan keamanan siber, yang mengeluarkan tambalan untuk cacat pada 25 Maret 2022, mencatat bahwa itu disalahgunakan untuk “menargetkan sekelompok kecil organisasi tertentu terutama di kawasan Asia Selatan” dan telah memberi tahu entitas yang terkena dampak secara langsung.

Sekarang menurut Volexity, bukti awal eksploitasi kelemahan dimulai pada 5 Maret 2022, ketika mendeteksi aktivitas jaringan anomali yang berasal dari Sophos Firewall pelanggan yang tidak disebutkan namanya yang menjalankan versi terbaru, hampir tiga minggu sebelum pengungkapan publik dari kerentanan.

“Penyerang menggunakan akses ke firewall untuk melakukan serangan man-in-the-middle (MitM),” kata para peneliti. “Penyerang menggunakan data yang dikumpulkan dari serangan MitM ini untuk mengkompromikan sistem tambahan di luar jaringan tempat firewall berada.”

Selengkapnya: The Hacker News

Eksploitasi dirilis untuk bug bypass autentikasi VMware yang kritis, tambal sekarang

by

Kode eksploit proof-of-concept sekarang tersedia online untuk kerentanan bypass otentikasi kritis di beberapa produk VMware yang memungkinkan penyerang mendapatkan hak istimewa admin.

VMware merilis pembaruan keamanan untuk mengatasi kelemahan CVE-2022-22972 yang memengaruhi Workspace ONE Access, VMware Identity Manager (vIDM), atau vRealize Automation.

Perusahaan juga membagikan solusi sementara untuk admin yang tidak dapat segera menambal peralatan yang rentan, mengharuskan mereka untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan.

Peneliti keamanan Horizon3 merilis eksploitasi proof-of-concept (PoC) dan analisis teknis untuk kerentanan ini hari ini, menyusul pengumuman yang dibuat pada hari Selasa bahwa PoC CVE-2022-22972 akan tersedia akhir pekan ini.

“Script ini dapat digunakan dengan bypass authentication pada vRealize Automation 7.6 menggunakan CVE-2022-22972,” kata para peneliti.

“Workspace ONE dan vIDM memiliki titik akhir otentikasi yang berbeda, tetapi inti dari kerentanannya tetap sama.

Sementara Shodan hanya menunjukkan sejumlah terbatas peralatan VMware yang terkena serangan yang akan menargetkan bug ini, ada beberapa organisasi kesehatan, industri pendidikan, dan pemerintah negara bagian dengan peningkatan risiko menjadi sasaran.

CVE-2022-22972 adalah kerentanan manipulasi header ‘Host’ yang relatif sederhana. Penyerang yang termotivasi tidak akan kesulitan mengembangkan eksploitasi untuk kerentanan ini,” tambah Horizon3.

Selengkapnya: Bleeping Computer

Windows 11 diretas lagi di Pwn2Own, Tesla Model 3 juga

by

Selama hari kedua kompetisi peretasan Pwn2Own Vancouver 2022, para kontestan meretas OS Windows 11 Microsoft lagi dan mendemonstrasikan zero-days di sistem infotainment Tesla Model 3.

Demonstrasi pertama hari itu datang dari tim @Synacktiv, yang berhasil mendemonstrasikan dua bug unik (Bebas Ganda & OOBW) dan tabrakan pelarian kotak pasir sambil menargetkan sistem infotainment Tesla Model 3, menghasilkan $75.000 untuk upaya mereka.

@Jedar_LZ juga gagal mendemonstrasikan eksploitasi zero-day terhadap mobil Tesla. Meskipun bug tersebut tidak dieksploitasi dalam waktu yang ditentukan, Zero Day Initiative (ZDI) Trend Micro memperoleh detail eksploitasi dan mengungkapkannya kepada Tesla.

Peningkatan hak istimewa Windows 11 ketiga zero-day yang disebabkan oleh bug kontrol akses yang tidak tepat didemonstrasikan pada hari kedua oleh T0, dengan namnp gagal menunjukkan eskalasi hak istimewa Windows 11 kedua zero-day dalam waktu yang ditentukan.

Dua lagi kerentanan eskalasi hak istimewa lokal di Windows 11 berhasil didemonstrasikan oleh tim STAR Labs dan Marcin Wiązowski selama putaran pertama kontes Pwn2Own.

Desktop Ubuntu juga diretas dua kali, dengan Bien Pham (@bienpnn) dan Tim TUTELARI dari Universitas Northwestern meningkatkan hak istimewa menggunakan dua bug Use After Free dan masing-masing menghasilkan $40.000.

Selengkapnya: Bleeping Computer

Tombol ‘Bungkam’ di aplikasi konferensi mungkin tidak benar-benar mematikan suara mikrofon Anda

by

Sebuah studi baru menunjukkan bahwa menekan tombol bisu pada aplikasi konferensi video populer (VCA) mungkin tidak benar-benar berfungsi seperti yang Anda pikirkan, dengan aplikasi masih mendengarkan di mikrofon Anda.

Lebih khusus lagi, dalam perangkat lunak yang dipelajari, menekan mute tidak mencegah transmisi audio ke server aplikasi, baik secara terus-menerus atau berkala.

Karena aktivitas ini tidak didokumentasikan dalam kebijakan privasi terkait, pengguna memiliki pemahaman yang buruk tentang cara kerja sistem bisu, dengan salah berasumsi bahwa input audio terputus saat mereka mengaktifkannya.

Kesalahpahaman ini tercermin dalam studi tahap pertama, yang berkisar pada survei 223 pengguna VCA tentang harapan mereka saat menekan mute.

Sebagian besar (77,5%) responden merasa aplikasi tidak dapat terus mengakses mikrofon dan mungkin mengumpulkan data saat mode bisu aktif.

Studi ini dilakukan oleh tim peneliti di University of Wisconsin-Madison dan Loyola University di Chicago, yang menerbitkan makalah tentang hasil mereka.

Sebagai bagian dari penelitian, para peneliti melakukan analisis biner runtime menyeluruh dari aplikasi yang dipilih untuk menentukan jenis data yang dikumpulkan setiap aplikasi dan apakah data tersebut merupakan risiko privasi.

Aplikasi yang diuji dalam fase penelitian ini adalah Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet, dan Discord.

Selengkapnya: Bleeping Computer

Dirty Pipe: Apa itu, apakah ponsel saya terpengaruh, apa yang sedang dilakukan untuk memperbaikinya, dan apakah saya perlu mengkhawatirkannya?

by

Apa itu “Pipa Kotor?”
Dirty Pipe adalah nama yang diberikan untuk kerentanan CVE-2022-0847, yang ada di kernel Linux versi 5.8 dan yang lebih baru. Peneliti menemukan masalah tersebut melalui apa yang dianggap sebagai bug yang menyebabkan log akses pada mesin rusak sebentar-sebentar.

Pemeriksaan menunjukkan bahwa masalah tersebut dapat digunakan sebagai eksploitasi yang sangat serius. Kerentanan memungkinkan data disuntikkan ke file arbitrer karena cara kernel Linux membaca, menulis, dan meneruskan data melalui apa yang disebut “pipa”.

Karena pada dasarnya semua yang ada di Linux adalah “file”, dan karena Dirty Pipe dapat secara selektif mengubah data dalam file apa pun (baik secara langsung atau melalui cara file dibaca melalui cache), itu berarti penyerang dapat menggunakan exploit untuk memodifikasi file sistem. Aktor dapat menggunakan exploit Dirty Pipe untuk menyuntikkan kode arbitrer untuk dijalankan oleh proses yang diistimewakan. Kode itu kemudian dapat digunakan untuk semua jenis aplikasi potensial, seperti memberikan izin root ke perangkat lunak lain dan memodifikasi sistem tanpa otorisasi.

Dalam istilah yang kurang teknis, Dirty Pipe adalah kerentanan di Linux yang memungkinkan aplikasi jahat mengontrol sistem hampir penuh, dan itu menakutkan.

Untuk memulai, Dirty Pipe hanya memengaruhi perangkat Android yang menjalankan kernel Linux versi 5.8 dan yang lebih baru. Tidak ada daftar lengkap ponsel yang terkait dengan versi kernel Linux tertentu, tetapi banyak ponsel Android “hidup” pada versi kernel tertentu sepanjang hidup mereka. Kernel 5.8 dirilis pada tahun 2020, tetapi perangkat Android tidak mulai menerima versi yang lebih baru sampai rilis Android 12. Gambar Kernel Generik sedikit memperumit ini, tetapi hanya Pixel 6 dan 6 Pro yang menggunakannya, dan perangkat konsumen menggunakan versi kernel setelah 5.8 juga tidak debut hingga Android 12.

Singkatnya, jika ponsel Anda diluncurkan dengan Android 11 atau lebih lama, Anda aman dari Dirty Pipe, dan bahkan jika Anda memutakhirkan ke Android 12, tidak ada alasan untuk khawatir. Itu berarti sebagian besar ponsel dari tahun 2021 dan sebelumnya tidak terpengaruh. Namun, beberapa ponsel yang lebih baru terpengaruh.

Kita tahu seri Pixel 6, Pixel 6 Pro, dan Samsung Galaxy S22 dipengaruhi oleh Dirty Pipe. Android Police secara terpisah mengonfirmasi bahwa Xiaomi 12 Pro menjalankan versi kernel Linux yang terpengaruh. Qualcomm telah mengkonfirmasi kepada kami bahwa dari semua chipsetnya, hanya Snapdragon 8 Gen 1 yang mungkin menggunakan kernel yang terpengaruh. Semua perangkat keras lainnya seharusnya tidak terpengaruh.

Jika Anda khawatir tentang apakah ponsel Anda rentan terhadap Pipa Kotor, hingga semuanya ditambal, pemeriksaan itu mudah, tetapi tidak selalu sederhana. Versi kernel harus terdaftar di suatu tempat di aplikasi Pengaturan ponsel Anda, tetapi perusahaan yang berbeda meletakkannya di tempat yang berbeda (dan beberapa bahkan menamainya secara berbeda). Yang perlu Anda perhatikan untuk saat ini adalah dua digit pertama untuk kernel.

Ikuti langkah-langkah di bawah ini untuk menemukan versi kernel untuk Google Pixel, OnePlus (menjalankan Oxygen OS 12 atau lebih baru), dan ponsel Samsung Galaxy:

Ponsel Samsung Galaxy
Ketuk Pengaturan → Tentang telepon → Informasi perangkat lunak.
Ponsel Google Pixel
Pilih Pengaturan → Tentang ponsel → Versi Android.
Ponsel OnePlus
Buka Pengaturan → Tentang perangkat → Versi.

Jika Anda memiliki telepon dari pabrikan yang berbeda, cukup ketik “kernel” di bilah pencarian Pengaturan. Meskipun mungkin masih tidak muncul di semua perangkat, ini adalah cara cepat dan mudah untuk mengakses informasi dalam banyak kasus, termasuk untuk perangkat yang tidak tercakup di atas.

Ingat, jika beberapa digit pertama versi kernel ponsel Anda lebih rendah dari 5,8, Anda aman.

Sumber : Android Police

Telah terjadi peningkatan besar dalam serangan phishing menggunakan add-in Microsoft Excel XLL

by

Gelombang serangan siber memanfaatkan file add-in Microsoft Excel untuk mengirimkan beberapa bentuk malware dalam kampanye yang dapat membuat bisnis rentan terhadap pencurian data, ransomware, dan kejahatan dunia maya lainnya.

Dirinci oleh para peneliti di HP Wolf Security, kampanye tersebut menggunakan file tambahan Microsoft Excel (XLL) berbahaya untuk menginfeksi sistem dan ada peningkatan serangan hampir enam kali lipat (588%) menggunakan teknik ini selama kuartal terakhir tahun 2021 dibandingkan dengan tiga bulan sebelumnya.

File add-in XLL sangat populer karena memungkinkan pengguna untuk menggunakan berbagai macam alat dan fungsi tambahan di Microsoft Excel. Tapi seperti makro, mereka adalah alat yang dapat dieksploitasi oleh penjahat cyber.

Serangan didistribusikan melalui email phishing berdasarkan referensi pembayaran, faktur, kutipan, dokumen pengiriman dan pesanan yang datang dengan dokumen Excel berbahaya dengan file tambahan XLL. Menjalankan file berbahaya meminta pengguna untuk menginstal dan mengaktifkan add-in, yang secara diam-diam akan menjalankan malware di mesin korban.

Keluarga malware yang diidentifikasi dikirim dalam serangan yang memanfaatkan file XLL termasuk Dridex, IcedID, BazaLoader, Agen Tesla, Raccoon Stealer, Formbook, dan Bitrat. Banyak dari bentuk malware ini dapat membuat pintu belakang ke sistem Windows yang disusupi, memberikan penyerang kemampuan untuk mengakses mesin dari jarak jauh, memantau aktivitas, dan mencuri data.

Selengkapnya: ZDNet

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer