Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Firmware

Firmware

Bug keyboard Corsair Membuatnya Mengetik Sendiri, Tidak Ada Malware yang Terlibat

by

Corsair telah mengonfirmasi bahwa bug pada firmware keyboard K100, dan bukan malware, berada di belakang teks yang dimasukkan sebelumnya diketik secara otomatis ke dalam aplikasi beberapa hari kemudian.

Pernyataan perusahaan muncul setelah beberapa pengguna K100 melaporkan bahwa keyboard mereka mengetik teks sendiri secara acak.

Beberapa mengatakan mereka telah menguji keyboard K100 mereka dalam mode aman untuk mengecualikan kemungkinan malware berjalan di Windows dan masih menyaksikan pengetikan kata secara acak, sehingga sumber masalahnya ditentukan berada di perangkat keras itu sendiri.

“Keyboard Corsair benar-benar tidak mencatat input pengguna dengan cara apa pun dan tidak memiliki kemampuan untuk mencatat setiap penekanan tombol,” kata Corsair kepada Ars Technica.

Penyebab pasti dari bug ini belum ditentukan, dan juru bicara Corsair mengatakan perusahaan tersebut bekerja dengan pengguna yang terkena dampak untuk menyelidiki sifat sebenarnya dari masalah tersebut.

Solusi belum pasti
Sayangnya, pembaruan firmware terbaru yang tersedia untuk perangkat K100 (versi 1.11.39) beberapa minggu yang lalu tidak memperbaiki masalah tersebut.

Lebih buruk lagi, pembaruan firmware terbaru ini telah menyebabkan pembekuan acak pada keyboard, yang dilaporkan beberapa pengguna mungkin terkait dengan pengaturan tingkat polling tinggi.

Namun, beberapa pengguna melaporkan bahwa pengaturan ulang pabrik dan menghapus memori keyboard masih tidak mencegah masalah terjadi lagi setelah beberapa saat. Oleh karena itu, pengguna mungkin harus menunggu hingga Corsair menyediakan pembaruan firmware yang memperbaiki bug ini.

Mengulangi masukan yang ditangkap secara acak dapat memaparkan informasi sensitif dalam berbagi layar dan presentasi. Itu juga dapat mengganggu pengalaman bermain pengguna, jadi jika Anda menggunakan keyboard dalam situasi ini, Anda mungkin ingin menggantinya dengan yang lain sampai bug diperbaiki.

sumber : bleeping computer

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

by

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

by

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

Peretas Mendistribusikan Alat Pembobol Kata Sandi untuk PLC dan HMI untuk Menargetkan Sistem Industri

by

Insinyur dan operator industri menjadi target kampanye baru yang memanfaatkan perangkat lunak pembobol kata sandi untuk menguasai Programmable Logic Controllers (PLC) dan mengkooptasi mesin ke botnet.

Perangkat lunak itu “mengeksploitasi kerentanan dalam firmware yang memungkinkannya mengambil kata sandi sesuai perintah,” kata peneliti keamanan Dragos, Sam Hanson. “Selanjutnya, perangkat lunak itu adalah penetes malware, menginfeksi mesin dengan malware Sality dan mengubah host menjadi rekan di botnet peer-to-peer Sality.”

Perusahaan industri keamanan siber mengatakan bahwa eksploitasi pengambilan kata sandi yang tertanam dalam penetes malware dirancang untuk memulihkan kredensial yang terkait dengan Automation Direct DirectLOGIC 06 PLC.

Eksploitasi, dilacak sebagai CVE-2022-2003 (skor CVSS: 7,7), telah digambarkan sebagai kasus transmisi teks yang jelas dari data sensitif yang dapat menyebabkan pengungkapan informasi dan perubahan yang tidak sah. Masalah ini telah diatasi dalam firmware Versi 2.72 yang dirilis bulan lalu.

Infeksi memuncak dalam penyebaran malware Sality untuk melakukan tugas-tugas seperti penambangan cryptocurrency dan peretasan kata sandi secara terdistribusi, sementara juga mengambil langkah-langkah untuk tetap tidak terdeteksi dengan menghentikan perangkat lunak keamanan yang berjalan di workstation yang disusupi.

Terlebih lagi, artefak yang digali oleh Dragos menjatuhkan muatan crypto-clipper yang mencuri cryptocurrency selama transaksi dengan mengganti alamat dompet asli yang disimpan di clipboard dengan alamat dompet penyerang.

Automation Direct bukan satu-satunya vendor yang terkena dampak karena alat tersebut mengklaim mencakup beberapa PLC, human-machine interfaces (HMI), dan file proyek yang mencakup Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face Schneider Electric , Vigor PLC, Weintek, Allen-Bradley dari Rockwell Automation, Panasonic, Fatek, IDEC Corporation, dan LG.

Ini jauh dari pertama kalinya perangkat lunak trojan memilih jaringan teknologi operasional (OT). Pada Oktober 2021, Mandiant mengungkapkan bagaimana binari executable portabel yang sah dikompromikan oleh berbagai malware seperti Sality, Virus, dan Ramnit, antara lain.

Sumber: The Hacker News

HP memperbaiki bug yang memungkinkan penyerang menimpa firmware di lebih dari 200 model

by

HP telah merilis pembaruan BIOS hari ini untuk memperbaiki dua kerentanan tingkat tinggi yang memengaruhi berbagai produk PC dan notebook, yang memungkinkan kode dijalankan dengan hak istimewa Kernel.

Hak istimewa tingkat kernel adalah hak tertinggi di Windows, memungkinkan pelaku ancaman untuk menjalankan perintah apa pun di tingkat Kernel, termasuk memanipulasi driver dan mengakses BIOS.

Cacat dilacak sebagai CVE-2021-3808 dan CVE-2021-3809, dan keduanya memiliki skor dasar CVSS 3.1 sebesar 8,8, memberi mereka peringkat keparahan yang tinggi. Saat ini, HP tidak memberikan rincian teknis tentang kekurangan ini.

Daftar produk yang terpengaruh termasuk notebook bisnis seperti Zbook Studio, ZHAN Pro, EliteBook, ProBook, dan Elite Dragonfly, PC desktop bisnis seperti EliteDesk dan ProDesk, komputer PoS ritel seperti Engage, workstation seperti Z1 dan Z2, dan PC thin client .

Untuk daftar lengkap semua model yang terpengaruh dan SoftPaq yang sesuai untuk digunakan dalam setiap kasus, periksa halaman saran keamanan dan cari perangkat Anda. Perhatikan bahwa tidak semua produk yang terdaftar telah menerima tambalan perbaikan.

Nicholas Starke, peneliti yang menemukan kekurangan ini pada November 2021, dan melaporkannya ke HP, menjelaskan masalahnya secara lebih rinci dalam posting blog terpisah.

Masalahnya tampaknya penangan SMI dapat dipicu dari lingkungan OS, misalnya, melalui driver kernel Windows.

Pengendali SMI yang rentan (StarkeBlog)

Penyerang perlu menemukan alamat memori dari fungsi “LocateProtocol” dan menimpanya dengan kode berbahaya. Terakhir, penyerang dapat memicu eksekusi kode dengan menginstruksikan pengendali SMI untuk mengeksekusi.

Penting untuk digarisbawahi bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki hak akses root/tingkat SISTEM pada sistem target, dan mengeksekusi kode dalam Mode Manajemen Sistem (SMM).

Tujuan akhir dari serangan semacam itu adalah untuk menimpa Implementasi UEFI (BIOS) dari mesin dengan gambar BIOS yang dikendalikan penyerang. Ini berarti penyerang dapat menanam malware persisten yang tidak dapat dihapus oleh alat antivirus, dan bahkan dengan penginstalan ulang OS.

Terakhir, penting juga untuk menyoroti bahwa beberapa model komputer HP memiliki mitigasi yang harus dilewati penyerang agar eksploitasi berfungsi, seperti sistem HP Sure Start misalnya.

Peneliti menjelaskan bahwa HP Sure Start dapat mendeteksi gangguan semacam ini dan mematikan host pada tindakan korupsi memori. Kemudian, pada startup pertama, peringatan akan ditampilkan kepada pengguna bersama dengan prompt untuk menyetujui boot sistem.

Perbaikan terbaru HP datang hanya dua bulan setelah pembuat komputer memasang 16 bug firmware UEFI dan tiga bulan setelah mengatasi serangkaian kelemahan BIOS yang berbeda.

Sumber: Bleeping Computer

Bug driver firmware Lenovo UEFI memengaruhi lebih dari 100 model laptop

by

Lenovo telah menerbitkan nasihat keamanan tentang kerentanan yang berdampak pada Unified Extensible Firmware Interface (UEFI) yang dimuat pada setidaknya 100 model laptopnya.

Total tiga masalah keamanan ditemukan, dua di antaranya memungkinkan penyerang untuk menonaktifkan perlindungan untuk chip memori flash SPI tempat firmware UEFI disimpan dan untuk mematikan fitur UEFI Secure Boot, yang memastikan sistem dimuat hanya saat boot. kode yang dipercaya oleh Original Equipment Manufacturer (OEM).

Eksploitasi yang berhasil dari yang ketiga, yang diidentifikasi sebagai CVE-2021-3970, dapat memungkinkan penyerang lokal untuk mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi.

Ketiga kerentanan ditemukan oleh peneliti ESET dan dilaporkan secara bertanggung jawab kepada Lenovo pada Oktober tahun lalu. Mereka memengaruhi lebih dari 100 model laptop konsumen, termasuk IdeaPad 3, Legion 5 Pro-16ACH6 H, dan Yoga Slim 9-14ITL05, yang kemungkinan berarti jutaan pengguna dengan perangkat yang rentan.

Para peneliti di ESET memperingatkan bahwa dua kerentanan terkait UEFI (CVE-2021-3971 dan CVE-2021-3972) dapat digunakan oleh penyerang untuk “menyebarkan dan berhasil mengeksekusi flash SPI atau implan ESP.”

Kedua masalah keamanan terkait UEFI dalam produk Lenovo dihasilkan dari pengenalan dua driver firmware UEFI ke dalam produksi bernama SecureBackDoor dan SecureBackDoorPeim – yang hanya digunakan selama proses manufaktur. Penasihat keamanan dari Lenovo menjelaskan kerentanan seperti ini:

  • CVE-2021-3971: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur lama pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru disertakan dalam gambar BIOS dapat memungkinkan penyerang dengan hak yang lebih tinggi untuk memodifikasi wilayah perlindungan firmware dengan memodifikasi variabel NVRAM.
  • CVE-2021-3972: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk memodifikasi pengaturan boot aman dengan memodifikasi variabel NVRAM.

ESET telah memberikan analisis teknis terperinci dari tiga kerentanan yang ditemukan dengan mencatat bahwa “ancaman UEFI bisa sangat tersembunyi dan berbahaya” karena mereka mengeksekusi “di awal proses boot, sebelum mentransfer kontrol ke sistem operasi.”

Ini berarti bahwa sebagian besar mitigasi dan solusi keamanan yang aktif di tingkat OS tidak berguna dan eksekusi muatan hampir tidak dapat dihindari dan tidak terdeteksi.

Perusahaan keamanan siber telah menemukan dua implan seperti itu di masa lalu, keduanya digunakan di alam liar oleh pelaku ancaman:

  • Lojax – ditemukan pada tahun 2018 dan digunakan oleh aktor yang didukung negara Rusia dilacak sebagai APT28, Fancy Bear, Sednit, Strontium, dan Sofacy
  • ESPecter – diidentifikasi pada tahun 2021 dan aktif sejak 2012 (sebagai bootkit untuk sistem berbasis BIOS) untuk kegigihan pada Partisi Sistem EFI (ESP)

Ini bukan satu-satunya ancaman UEFI yang ditemukan. Kaspersky menerbitkan laporan tentang MosaicRegressor pada tahun 2020, tentang FinSpy pada tahun 2021, dan MoonBounce pada bulan Januari tahun ini.

Untuk melindungi dari serangan yang berasal dari kerentanan di atas, Lenovo merekomendasikan pengguna perangkat yang terpengaruh untuk memperbarui versi firmware sistem ke versi terbaru yang tersedia.

Ini dapat dilakukan dengan menginstal pembaruan secara manual dari halaman dukungan perangkat atau dengan bantuan utilitas untuk memperbarui driver sistem yang disediakan oleh perusahaan.

Kerentanan firmware UEFI yang memengaruhi Fujitsu, Intel, dan lainnya ditemukan

by

Para peneliti telah menemukan 23 “kerentanan berdampak tinggi” yang memengaruhi vendor mana pun yang mengadopsi kode Pengembang BIOS Independen (IBV) ke dalam firmware Unified Extensible Firmware Interface (UEFI) mereka.

Binarly menjelaskan kerentanan dalam posting blog minggu ini, membenarkan bahwa “semua kerentanan ini ditemukan di beberapa ekosistem vendor perusahaan besar” termasuk Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel dan Bull Atos.

CERT/CC mengkonfirmasi bahwa Fujitsu, Insyde, dan Intel terpengaruh tetapi membiarkan yang lain ditandai sebagai “tidak diketahui,” mendesak siapa pun yang terpengaruh untuk memperbarui ke versi firmware stabil terbaru.

Menurut blog, sebagian besar kerentanan yang diungkapkan mengarah pada eksekusi kode dengan hak istimewa SMM dan memiliki peringkat keparahan antara 7,5 – 8,2.

Mereka memuji Fujitsu, Intel, dan lainnya karena merespons dengan cepat dan memecahkan kerentanan. Penyedia UEFI, Insyde Software, mengatakan pihaknya bekerja dengan Binarly untuk mengatasi kerentanan dan telah merilis pembaruan firmware untuk semua masalah yang terdaftar.

Kerentanan dilacak sebagai CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Selengkapnya: ZDNet

Dell mengeluarkan patch keamanan untuk ratusan model komputer sejak tahun 2009

by

Dell telah merilis patch keamanan yang memperbaiki kerentanan keamanan yang memengaruhi banyak komputer Dell sejak tahun 2009, bersama dengan instruksi tentang cara menginstalnya jika komputer Anda terpengaruh (via threatpost).

Kerentanan, yang ditemukan oleh firma riset keamanan SentinelLabs, terdapat pada driver yang digunakan oleh Dell dan utilitas pembaruan firmware Alienware, dan memungkinkan penyerang untuk mendapatkan izin tingkat kernel penuh di Windows.

Jika Anda memiliki komputer Dell, ada kemungkinan besar komputer itu rentan – daftar komputer yang terpengaruh di situs web Dell memiliki lebih dari 380 model di dalamnya, termasuk beberapa model XPS 13 dan 15 terbaru, dan G3, G5, dan G7 laptop gaming. Dell juga mencantumkan hampir 200 komputer yang terpengaruh yang dianggap tidak lagi menerima layanan.

Baik Dell dan SentinelLabs mengatakan bahwa mereka belum melihat bukti kerentanan yang dieksploitasi oleh peretas, meskipun faktanya sudah lama ada. FAQ Dell menunjukkan bahwa seseorang harus memiliki akses ke komputer Anda dengan cara tertentu untuk memanfaatkan bug, yang dapat mereka peroleh melalui malware, phishing, atau diberikan hak akses jarak jauh.

Perlu juga dicatat bahwa, menurut Dell, driver yang rentan tidak dimuat sebelumnya di sistem – sebagai gantinya, driver akan diinstal saat pengguna memperbarui firmware komputer mereka.

Namun, meskipun Anda tidak ingat pernah melakukan hal seperti itu, Anda mungkin harus menambahkan membuka utilitas Pembaruan Dell atau Alienware dan menginstal apa pun yang tersedia ke daftar tugas Anda hari ini.

Selengkapnya: The Verge