Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Firmware

Firmware

Supply Chain Risk Dari Backdoor App Center Gigabyte

by

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

  • Penyalahgunaan backdoor OEM oleh threat actor
  • Kompromi infrastruktur pembaruan OEM dan rantai pasokan
  • Persistensi menggunakan UEFI Rootkit dan Implan
  • Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

  1. Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
  2. Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
  3. Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Dugaan Kampanye Tiongkok untuk Bertahan di Perangkat SonicWall, Menyoroti Pentingnya Perangkat Tepi Pemantauan

by

Mandiant, bekerja dalam kemitraan dengan Tim Keamanan Produk dan Respons Insiden SonicWall (PSIRT), telah mengidentifikasi dugaan kampanye China yang melibatkan pemeliharaan persistensi jangka panjang dengan menjalankan malware pada alat SonicWall Secure Mobile Access (SMA) yang belum ditambal. Malware memiliki fungsi untuk mencuri kredensial pengguna, menyediakan akses shell, dan bertahan melalui peningkatan firmware. Mandiant saat ini melacak aktor ini sebagai UNC4540.

Analisis perangkat yang disusupi mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut. Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.

Penyerang berusaha keras untuk stabilitas dan kegigihan perkakas mereka. Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.

Mandiant tidak dapat menentukan asal infeksi, namun malware, atau pendahulunya, kemungkinan besar digunakan pada tahun 2021. Mandiant percaya bahwa akses penyerang tetap ada melalui beberapa pembaruan firmware.

Selengkapnya: Mandiant

Bug keyboard Corsair Membuatnya Mengetik Sendiri, Tidak Ada Malware yang Terlibat

by

Corsair telah mengonfirmasi bahwa bug pada firmware keyboard K100, dan bukan malware, berada di belakang teks yang dimasukkan sebelumnya diketik secara otomatis ke dalam aplikasi beberapa hari kemudian.

Pernyataan perusahaan muncul setelah beberapa pengguna K100 melaporkan bahwa keyboard mereka mengetik teks sendiri secara acak.

Beberapa mengatakan mereka telah menguji keyboard K100 mereka dalam mode aman untuk mengecualikan kemungkinan malware berjalan di Windows dan masih menyaksikan pengetikan kata secara acak, sehingga sumber masalahnya ditentukan berada di perangkat keras itu sendiri.

“Keyboard Corsair benar-benar tidak mencatat input pengguna dengan cara apa pun dan tidak memiliki kemampuan untuk mencatat setiap penekanan tombol,” kata Corsair kepada Ars Technica.

Penyebab pasti dari bug ini belum ditentukan, dan juru bicara Corsair mengatakan perusahaan tersebut bekerja dengan pengguna yang terkena dampak untuk menyelidiki sifat sebenarnya dari masalah tersebut.

Solusi belum pasti
Sayangnya, pembaruan firmware terbaru yang tersedia untuk perangkat K100 (versi 1.11.39) beberapa minggu yang lalu tidak memperbaiki masalah tersebut.

Lebih buruk lagi, pembaruan firmware terbaru ini telah menyebabkan pembekuan acak pada keyboard, yang dilaporkan beberapa pengguna mungkin terkait dengan pengaturan tingkat polling tinggi.

Namun, beberapa pengguna melaporkan bahwa pengaturan ulang pabrik dan menghapus memori keyboard masih tidak mencegah masalah terjadi lagi setelah beberapa saat. Oleh karena itu, pengguna mungkin harus menunggu hingga Corsair menyediakan pembaruan firmware yang memperbaiki bug ini.

Mengulangi masukan yang ditangkap secara acak dapat memaparkan informasi sensitif dalam berbagi layar dan presentasi. Itu juga dapat mengganggu pengalaman bermain pengguna, jadi jika Anda menggunakan keyboard dalam situasi ini, Anda mungkin ingin menggantinya dengan yang lain sampai bug diperbaiki.

sumber : bleeping computer

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

by

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

by

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

Peretas Mendistribusikan Alat Pembobol Kata Sandi untuk PLC dan HMI untuk Menargetkan Sistem Industri

by

Insinyur dan operator industri menjadi target kampanye baru yang memanfaatkan perangkat lunak pembobol kata sandi untuk menguasai Programmable Logic Controllers (PLC) dan mengkooptasi mesin ke botnet.

Perangkat lunak itu “mengeksploitasi kerentanan dalam firmware yang memungkinkannya mengambil kata sandi sesuai perintah,” kata peneliti keamanan Dragos, Sam Hanson. “Selanjutnya, perangkat lunak itu adalah penetes malware, menginfeksi mesin dengan malware Sality dan mengubah host menjadi rekan di botnet peer-to-peer Sality.”

Perusahaan industri keamanan siber mengatakan bahwa eksploitasi pengambilan kata sandi yang tertanam dalam penetes malware dirancang untuk memulihkan kredensial yang terkait dengan Automation Direct DirectLOGIC 06 PLC.

Eksploitasi, dilacak sebagai CVE-2022-2003 (skor CVSS: 7,7), telah digambarkan sebagai kasus transmisi teks yang jelas dari data sensitif yang dapat menyebabkan pengungkapan informasi dan perubahan yang tidak sah. Masalah ini telah diatasi dalam firmware Versi 2.72 yang dirilis bulan lalu.

Infeksi memuncak dalam penyebaran malware Sality untuk melakukan tugas-tugas seperti penambangan cryptocurrency dan peretasan kata sandi secara terdistribusi, sementara juga mengambil langkah-langkah untuk tetap tidak terdeteksi dengan menghentikan perangkat lunak keamanan yang berjalan di workstation yang disusupi.

Terlebih lagi, artefak yang digali oleh Dragos menjatuhkan muatan crypto-clipper yang mencuri cryptocurrency selama transaksi dengan mengganti alamat dompet asli yang disimpan di clipboard dengan alamat dompet penyerang.

Automation Direct bukan satu-satunya vendor yang terkena dampak karena alat tersebut mengklaim mencakup beberapa PLC, human-machine interfaces (HMI), dan file proyek yang mencakup Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face Schneider Electric , Vigor PLC, Weintek, Allen-Bradley dari Rockwell Automation, Panasonic, Fatek, IDEC Corporation, dan LG.

Ini jauh dari pertama kalinya perangkat lunak trojan memilih jaringan teknologi operasional (OT). Pada Oktober 2021, Mandiant mengungkapkan bagaimana binari executable portabel yang sah dikompromikan oleh berbagai malware seperti Sality, Virus, dan Ramnit, antara lain.

Sumber: The Hacker News

HP memperbaiki bug yang memungkinkan penyerang menimpa firmware di lebih dari 200 model

by

HP telah merilis pembaruan BIOS hari ini untuk memperbaiki dua kerentanan tingkat tinggi yang memengaruhi berbagai produk PC dan notebook, yang memungkinkan kode dijalankan dengan hak istimewa Kernel.

Hak istimewa tingkat kernel adalah hak tertinggi di Windows, memungkinkan pelaku ancaman untuk menjalankan perintah apa pun di tingkat Kernel, termasuk memanipulasi driver dan mengakses BIOS.

Cacat dilacak sebagai CVE-2021-3808 dan CVE-2021-3809, dan keduanya memiliki skor dasar CVSS 3.1 sebesar 8,8, memberi mereka peringkat keparahan yang tinggi. Saat ini, HP tidak memberikan rincian teknis tentang kekurangan ini.

Daftar produk yang terpengaruh termasuk notebook bisnis seperti Zbook Studio, ZHAN Pro, EliteBook, ProBook, dan Elite Dragonfly, PC desktop bisnis seperti EliteDesk dan ProDesk, komputer PoS ritel seperti Engage, workstation seperti Z1 dan Z2, dan PC thin client .

Untuk daftar lengkap semua model yang terpengaruh dan SoftPaq yang sesuai untuk digunakan dalam setiap kasus, periksa halaman saran keamanan dan cari perangkat Anda. Perhatikan bahwa tidak semua produk yang terdaftar telah menerima tambalan perbaikan.

Nicholas Starke, peneliti yang menemukan kekurangan ini pada November 2021, dan melaporkannya ke HP, menjelaskan masalahnya secara lebih rinci dalam posting blog terpisah.

Masalahnya tampaknya penangan SMI dapat dipicu dari lingkungan OS, misalnya, melalui driver kernel Windows.

Pengendali SMI yang rentan (StarkeBlog)

Penyerang perlu menemukan alamat memori dari fungsi “LocateProtocol” dan menimpanya dengan kode berbahaya. Terakhir, penyerang dapat memicu eksekusi kode dengan menginstruksikan pengendali SMI untuk mengeksekusi.

Penting untuk digarisbawahi bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki hak akses root/tingkat SISTEM pada sistem target, dan mengeksekusi kode dalam Mode Manajemen Sistem (SMM).

Tujuan akhir dari serangan semacam itu adalah untuk menimpa Implementasi UEFI (BIOS) dari mesin dengan gambar BIOS yang dikendalikan penyerang. Ini berarti penyerang dapat menanam malware persisten yang tidak dapat dihapus oleh alat antivirus, dan bahkan dengan penginstalan ulang OS.

Terakhir, penting juga untuk menyoroti bahwa beberapa model komputer HP memiliki mitigasi yang harus dilewati penyerang agar eksploitasi berfungsi, seperti sistem HP Sure Start misalnya.

Peneliti menjelaskan bahwa HP Sure Start dapat mendeteksi gangguan semacam ini dan mematikan host pada tindakan korupsi memori. Kemudian, pada startup pertama, peringatan akan ditampilkan kepada pengguna bersama dengan prompt untuk menyetujui boot sistem.

Perbaikan terbaru HP datang hanya dua bulan setelah pembuat komputer memasang 16 bug firmware UEFI dan tiga bulan setelah mengatasi serangkaian kelemahan BIOS yang berbeda.

Sumber: Bleeping Computer

Bug driver firmware Lenovo UEFI memengaruhi lebih dari 100 model laptop

by

Lenovo telah menerbitkan nasihat keamanan tentang kerentanan yang berdampak pada Unified Extensible Firmware Interface (UEFI) yang dimuat pada setidaknya 100 model laptopnya.

Total tiga masalah keamanan ditemukan, dua di antaranya memungkinkan penyerang untuk menonaktifkan perlindungan untuk chip memori flash SPI tempat firmware UEFI disimpan dan untuk mematikan fitur UEFI Secure Boot, yang memastikan sistem dimuat hanya saat boot. kode yang dipercaya oleh Original Equipment Manufacturer (OEM).

Eksploitasi yang berhasil dari yang ketiga, yang diidentifikasi sebagai CVE-2021-3970, dapat memungkinkan penyerang lokal untuk mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi.

Ketiga kerentanan ditemukan oleh peneliti ESET dan dilaporkan secara bertanggung jawab kepada Lenovo pada Oktober tahun lalu. Mereka memengaruhi lebih dari 100 model laptop konsumen, termasuk IdeaPad 3, Legion 5 Pro-16ACH6 H, dan Yoga Slim 9-14ITL05, yang kemungkinan berarti jutaan pengguna dengan perangkat yang rentan.

Para peneliti di ESET memperingatkan bahwa dua kerentanan terkait UEFI (CVE-2021-3971 dan CVE-2021-3972) dapat digunakan oleh penyerang untuk “menyebarkan dan berhasil mengeksekusi flash SPI atau implan ESP.”

Kedua masalah keamanan terkait UEFI dalam produk Lenovo dihasilkan dari pengenalan dua driver firmware UEFI ke dalam produksi bernama SecureBackDoor dan SecureBackDoorPeim – yang hanya digunakan selama proses manufaktur. Penasihat keamanan dari Lenovo menjelaskan kerentanan seperti ini:

  • CVE-2021-3971: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur lama pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru disertakan dalam gambar BIOS dapat memungkinkan penyerang dengan hak yang lebih tinggi untuk memodifikasi wilayah perlindungan firmware dengan memodifikasi variabel NVRAM.
  • CVE-2021-3972: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk memodifikasi pengaturan boot aman dengan memodifikasi variabel NVRAM.

ESET telah memberikan analisis teknis terperinci dari tiga kerentanan yang ditemukan dengan mencatat bahwa “ancaman UEFI bisa sangat tersembunyi dan berbahaya” karena mereka mengeksekusi “di awal proses boot, sebelum mentransfer kontrol ke sistem operasi.”

Ini berarti bahwa sebagian besar mitigasi dan solusi keamanan yang aktif di tingkat OS tidak berguna dan eksekusi muatan hampir tidak dapat dihindari dan tidak terdeteksi.

Perusahaan keamanan siber telah menemukan dua implan seperti itu di masa lalu, keduanya digunakan di alam liar oleh pelaku ancaman:

  • Lojax – ditemukan pada tahun 2018 dan digunakan oleh aktor yang didukung negara Rusia dilacak sebagai APT28, Fancy Bear, Sednit, Strontium, dan Sofacy
  • ESPecter – diidentifikasi pada tahun 2021 dan aktif sejak 2012 (sebagai bootkit untuk sistem berbasis BIOS) untuk kegigihan pada Partisi Sistem EFI (ESP)

Ini bukan satu-satunya ancaman UEFI yang ditemukan. Kaspersky menerbitkan laporan tentang MosaicRegressor pada tahun 2020, tentang FinSpy pada tahun 2021, dan MoonBounce pada bulan Januari tahun ini.

Untuk melindungi dari serangan yang berasal dari kerentanan di atas, Lenovo merekomendasikan pengguna perangkat yang terpengaruh untuk memperbarui versi firmware sistem ke versi terbaru yang tersedia.

Ini dapat dilakukan dengan menginstal pembaruan secara manual dari halaman dukungan perangkat atau dengan bantuan utilitas untuk memperbarui driver sistem yang disediakan oleh perusahaan.