Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Exploitation

Exploitation

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

by

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Blocked attacks (Wordfence)

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

by

Pengelola kata sandi KeePass yang populer rentan untuk mengekstraksi kata sandi utama dari memori aplikasi, memungkinkan penyerang yang menyusupi perangkat untuk mengambil kata sandi bahkan dengan basis data terkunci.

Masalah ini ditemukan oleh peneliti keamanan yang dikenal sebagai ‘vdohney,’ yang menerbitkan alat proof-of-concept yang memungkinkan penyerang mengekstrak kata sandi utama KeePass dari memori sebagai proof-of-concept (PoC).

Pengelola kata sandi memungkinkan pengguna membuat kata sandi unik untuk setiap akun online dan menyimpan kredensial dalam database yang mudah dicari, atau gudang kata sandi, sehingga Anda tidak perlu mengingatnya satu per satu.

Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Kata sandi utama ini mengenkripsi basis data kata sandi KeePass, mencegahnya dibuka atau dibaca tanpa terlebih dahulu memasukkan kata sandi. Namun, setelah kata sandi utama itu disusupi, pelaku ancaman dapat mengakses semua kredensial yang disimpan dalam database.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan KeePass baru yang dilacak sebagai CVE-2023-3278 memungkinkan untuk memulihkan kata sandi utama KeePass, selain dari satu atau dua karakter pertama, dalam bentuk teks-jelas, terlepas dari apakah ruang kerja KeePass terkunci, atau mungkin, bahkan jika program ditutup.

Kerentanan berdampak pada versi terbaru KeePass, 2.53.1, dan karena program ini bersifat open-source, setiap project fork kemungkinan akan terpengaruh.

Selengkapnya: Bleeping Computer

Google memperingatkan pengguna untuk mengambil tindakan guna melindungi dari kelemahan yang dapat dieksploitasi dari jarak jauh di ponsel Android populer

by

Unit riset keamanan Google membunyikan alarm pada serangkaian kerentanan yang ditemukan di chip Samsung tertentu yang disertakan dalam lusinan model Android, perangkat yang dapat dikenakan, dan kendaraan, karena khawatir kelemahan tersebut dapat segera ditemukan dan dieksploitasi.

Dengan mendapatkan kemampuan untuk menjalankan kode dari jarak jauh pada tingkat baseband perangkat — pada dasarnya modem Exynos yang mengonversi sinyal sel menjadi data digital — penyerang akan dapat memperoleh akses yang hampir tak terbatas ke data yang mengalir masuk dan keluar dari perangkat yang terpengaruh, termasuk panggilan seluler, pesan teks, dan data seluler, tanpa memberi tahu korban.

Saat pengungkapan berlangsung, jarang melihat Google — atau firma riset keamanan mana pun — membunyikan alarm pada kerentanan dengan tingkat keparahan tinggi sebelum ditambal. Google mencatat risikonya kepada publik, menyatakan bahwa penyerang yang terampil “akan dapat dengan cepat membuat eksploitasi operasional” dengan penelitian dan upaya yang terbatas.

Peneliti Project Zero Maddie Stone menulis di Twitter bahwa Samsung memiliki waktu 90 hari untuk menambal bug, tetapi belum.

Samsung mengonfirmasi dalam daftar keamanan Maret 2023 bahwa beberapa modem Exynos rentan, memengaruhi beberapa produsen perangkat Android, tetapi memberikan sedikit detail lainnya.

Menurut Project Zero, perangkat yang terpengaruh mencakup hampir selusin model Samsung, perangkat Vivo, dan handset Pixel 6 dan Pixel 7 milik Google. Perangkat yang terpengaruh juga termasuk perangkat yang dapat dikenakan dan kendaraan yang mengandalkan chip Exynos untuk terhubung ke jaringan seluler.

Google mengatakan bahwa tambalan akan bervariasi tergantung pabrikannya, tetapi mencatat bahwa perangkat Pixel-nya sudah ditambal dengan pembaruan keamanan bulan Maret.

Sampai produsen yang terkena dampak mendorong pembaruan perangkat lunak kepada pelanggan mereka, Google mengatakan pengguna yang ingin melindungi diri mereka sendiri dapat mematikan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) di pengaturan perangkat mereka, yang akan “menghilangkan risiko eksploitasi dari kerentanan ini. ”

Google mengatakan 14 kerentanan yang tersisa tidak terlalu parah karena memerlukan akses ke perangkat atau memiliki akses orang dalam atau akses istimewa ke sistem operator seluler.

selengkapnya : techcrunch.com

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

by

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

  • Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
  • Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
  • Citrix ADC 12.1-FIPS before 12.1-55.291
  • Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Akademisi menemukan 30 kerentanan unggahan file di 23 aplikasi web, CMSes, dan forum

by

Melalui penggunaan perangkat pengujian otomatis, tim akademisi Korea Selatan telah menemukan 30 kerentanan dalam mekanisme pengunggahan file yang digunakan oleh 23 aplikasi web open-source, forum, store builders, dan sistem manajemen konten (CMSes).

 

Jenis kerentanan ini memungkinkan peretas untuk mengeksploitasi bentuk unggahan file dan menanamkan file berbahaya di server korban. File-file ini dapat digunakan untuk mengeksekusi kode pada situs web, melemahkan pengaturan keamanan yang ada, atau berfungsi sebagai backdoors, yang memberikan peretas kontrol sepenuhnya atas server korban.

 

Projek yang terkena dampak termasuk WordPress, Concrete5, Composr, SilverStripe, ZenCart, dan lainnya.

 

Pengujian berlangsung pada Februari 2019, dan beberapa aplikasi web mungkin telah menerima pembaruan selama setahun terakhir. Namun, peneliti Korea Advanced Institute of Science and Technology Constitution (KAIST) dan Electronics and Telecommunications Research Institute (ETRI) mengatakan bahwa tidak semua projek telah menambal kerentanan yang mereka temukan, dan beberapa projek yang ditandai dengan warna kuning mungkin masih mengandung satu atau lebih kerentanan pengunggahan file.

 

Tabel projek dan berita selengkapnya dapat diakses pada tautan di bawah ini;

Source: ZDNet