Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for kerentanan

kerentanan

Lebih dari 4.400 Server Firewall Sophos tetap Rentan Terhadap Eksploitasi Kritis

by

Lebih dari 4.400 server yang terpapar Internet menjalankan versi Sophos Firewall yang rentan terhadap eksploitasi kritis yang memungkinkan peretas mengeksekusi kode berbahaya, seorang peneliti memperingatkan.

CVE-2022-3236 adalah kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh di Portal Pengguna dan Webadmin Sophos Firewall. Ini membawa peringkat keparahan 9,8 dari 10.

Menurut penelitian yang diterbitkan baru-baru ini, lebih dari 4.400 server yang menjalankan firewall Sophos tetap rentan. Itu menyumbang sekitar 6 persen dari semua firewall Sophos, kata perusahaan keamanan VulnCheck, mengutip angka dari pencarian di Shodan.

“Lebih dari 99% Sophos Firewall yang terhubung ke Internet belum ditingkatkan ke versi yang berisi perbaikan resmi untuk CVE-2022-3236,” tulis peneliti VulnCheck, Jacob Baines. “Tetapi sekitar 93% menjalankan versi yang memenuhi syarat untuk hotfix, dan perilaku default firewall adalah mengunduh dan menerapkan hotfix secara otomatis (kecuali dinonaktifkan oleh administrator).

“Kode yang rentan hanya tercapai setelah CAPTCHA divalidasi,” tulis Baines. “CAPTCHA yang gagal akan mengakibatkan kegagalan eksploitasi. Meskipun bukan tidak mungkin, menyelesaikan CAPTCHA secara terprogram merupakan rintangan tinggi bagi sebagian besar penyerang. Sebagian besar Sophos Firewall yang terhubung ke Internet tampaknya mengaktifkan CAPTCHA login, yang berarti, bahkan pada saat yang paling tepat, kerentanan ini tidak mungkin berhasil dieksploitasi dalam skala besar.”

Ini adalah kesempatan yang baik untuk mengingatkan para pengguna ini, serta semua pengguna perangkat lunak usang jenis apa pun, untuk mengikuti praktik keamanan terbaik dan memutakhirkan ke versi terbaru yang tersedia, seperti yang dilakukan Sophos secara rutin kepada pelanggannya.”

selengkapnya : arstechnica

NVIDIA merilis pembaruan driver GPU untuk memperbaiki 29 kerentanan

by

NVIDIA telah merilis pembaruan keamanan untuk driver tampilan GPU untuk Windows, yang berisi perbaikan untuk kelemahan tingkat tinggi yang dapat dieksploitasi oleh pelaku ancaman untuk melakukan, antara lain, eksekusi kode dan eskalasi hak istimewa.

Pembaruan keamanan terbaru membahas 25 kerentanan pada driver GPU Windows dan Linux, sementara tujuh kelemahan dikategorikan sebagai tingkat keparahan tinggi.

Dua kerentanan paling kritis adalah:

  • CVE-2022-34669 : Masalah pada lapisan mode pengguna driver Windows Nvidia yang dapat dimanfaatkan oleh penyerang yang tidak memiliki hak istimewa untuk mengakses atau memodifikasi code execution, privilege escalation, information disclosure, data tampering, dan denial of service.
  • CVE-2022-34671 : Masalah pada lapisan mode pengguna yang dieksploitasi dari jarak jauh pada driver GPU Windows yang memungkinkan pengguna biasa yang tidak memiliki hak untuk menyebabkan penulisan di luar batas, berpotensi menyebabkan eksekusi kode, eskalasi hak istimewa, pengungkapan informasi , perusakan data, dan penolakan layanan.

CVE-2022-34671 memiliki peringkat keparahan yang lebih rendah meskipun rentan terhadap serangan jaringan karena kompleksitasnya yang tinggi, membuat kemungkinan eksploitasinya kecil.

Namun, cacat CVE-2022-34669 lebih bermanfaat bagi peretas dan pengembang malware yang sudah memiliki akses ke perangkat Windows dan sedang mencari cara untuk meningkatkan hak istimewa mereka atau mengeksekusi kode.

Driver GPU dan perangkat keras berjalan dengan hak istimewa yang lebih tinggi di OS, jadi mengeksploitasi kerentanan pada driver memberikan hak istimewa tingkat tinggi yang sama untuk kode atau perintah jahat.

Mempertimbangkan popularitas produk NVIDIA, ada kemungkinan besar untuk menemukan driver GPU yang rentan pada komputer yang ditargetkan, memungkinkan penyerang mengeksploitasi kekurangan ini untuk mendapatkan hak istimewa yang lebih besar dan menyebar lebih jauh di jaringan.

Versi driver NVIDIA yang memperbaiki kerentanan ini adalah sebagai berikut:

Pengguna Linux harus berkonsultasi dengan tabel versi driver GPU ini sebagai gantinya:

Pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis dengan mengunduh versi driver terbaru yang tersedia untuk model GPU mereka dari pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

Sumber:

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

by

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Backstage attack flow diagram (Oxeye)

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

Driver utama Lenovo menimbulkan risiko keamanan bagi pengguna 25 model notebook

by

Lebih dari dua lusin model notebook Lenovo rentan terhadap peretasan berbahaya yang menonaktifkan proses boot aman UEFI dan kemudian menjalankan aplikasi UEFI yang tidak ditandatangani atau memuat bootloader yang secara permanen menutup perangkat.

Peneliti keamanan ESET juga mengungkapkan kerentanan, pembuat notebook merilis pembaruan keamanan untuk 25 model, termasuk ThinkPads, Yoga Slims, dan IdeaPads. Kerentanan yang merusak boot aman UEFI bisa serius karena memungkinkan penyerang untuk menginstal firmware berbahaya yang bertahan dari beberapa penginstalan ulang sistem operasi.

Unified Extensible Firmware Interface UEFI adalah perangkat lunak yang menjembatani firmware perangkat komputer dengan sistem operasinya. Sebagai bagian kode pertama yang dijalankan ketika hampir semua mesin modern dihidupkan, ini adalah tautan pertama dalam rantai keamanan.

Karena UEFI berada dalam chip flash pada motherboard, infeksi sulit untuk dideteksi dan dihilangkan. Tindakan umum seperti menghapus hard drive dan menginstal ulang OS tidak memiliki dampak yang berarti karena infeksi UEFI hanya akan menginfeksi ulang komputer setelahnya.

ESET mengatakan kerentanan—dilacak sebagai CVE-2022-3430, CVE-2022-3431, dan CVE-2022-3432—“memungkinkan penonaktifan UEFI Secure Boot atau memulihkan database Secure Boot default pabrik (termasuk dbx): semuanya hanya dari OS .” Boot aman menggunakan database untuk mengizinkan dan menolak mekanisme. Basis data DBX, khususnya, menyimpan hash kriptografi dari kunci yang ditolak. Menonaktifkan atau memulihkan nilai default dalam database memungkinkan penyerang menghapus batasan yang biasanya ada.

Menonaktifkan UEFI Secure Boot membebaskan penyerang untuk mengeksekusi aplikasi UEFI berbahaya, sesuatu yang biasanya tidak mungkin dilakukan karena boot aman memerlukan aplikasi UEFI untuk ditandatangani secara kriptografis.

Memulihkan DBX default pabrik, sementara itu, memungkinkan penyerang memuat bootloader yang rentan. Pada bulan Agustus, peneliti dari perusahaan keamanan Eclypsium mengidentifikasi tiga driver perangkat lunak terkemuka yang dapat digunakan untuk mem-bypass boot aman ketika penyerang memiliki hak yang lebih tinggi, yang berarti administrator di Windows atau root di Linux.

Kerentanan dapat dieksploitasi dengan mengutak-atik variabel di NVRAM, RAM non-volatil yang menyimpan berbagai opsi boot. Kerentanan adalah hasil dari Lenovo keliru mengirimkan Notebook dengan driver yang dimaksudkan untuk digunakan hanya selama proses pembuatan. Kerentanannya adalah:

  • CVE-2022-3430: Potensi kerentanan dalam driver Pengaturan WMI pada beberapa perangkat Notebook Lenovo konsumen dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
  • CVE-2022-3431: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
  • CVE-2022-3432: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada Ideapad Y700-14ISK yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan menyesuaikan variabel NVRAM.

Lenovo hanya menambal dua yang pertama. CVE-2022-3432 tidak akan ditambal karena perusahaan tidak lagi mendukung Ideapad Y700-14ISK, model notebook akhir masa pakai yang terpengaruh.

Sumber: Arstechnica

OpenSSL Merilis Pembaruan Keamanan untuk Kerentanan Tingkat Tinggi

by

Kemarin kerentanan OpenSSL ditandai sebagai patch tingkat kritis pertama sejak bug Heartbleed. Namun saat perbaikan dirilis, perbaikan keamanan berubah menjadi “Tinggi” untuk buffer overflow, yang memengaruhi semua instalasi OpenSSL 3.x tetapi tidak mungkin mengarah pada eksekusi kode jarak jauh.

Kerentanan spesifik tersebut adalah (CVE-2022-37786 dan CVE-2022-3602) sebagian besar tidak diketahui hingga hari ini, tetapi analis dan bisnis di bidang keamanan web mengisyaratkan mungkin ada masalah penting dan kesulitan pemeliharaan.

Beberapa distribusi Linux, termasuk Fedora, menahan rilis hingga patch tersedia. Akamai mencatat sebelum patch bahwa setengah dari jaringan yang dipantau memiliki setidaknya satu mesin dengan instance OpenSSL 3.x yang rentan, dan di antara jaringan tersebut, antara 0,2 dan 33 persen mesin rentan.

Namun kerentanan spesifik—keadaan terbatas, luapan sisi klien yang dimitigasi oleh tata letak stack pada sebagian besar platform modern kini ditambal, dan diberi peringkat sebagai “Tinggi”. Dan dengan OpenSSL 1.1.1 masih dalam fase dukungan jangka panjang, OpenSSL 3.x hampir tidak tersebar luas.

Pakar malware Marcus Hutchins menunjuk ke komit OpenSSL di GitHub yang merinci masalah kode: “memperbaiki dua buffer overflows dalam fungsi decoding kode kecil.” Alamat email berbahaya, yang diverifikasi dalam sertifikat X.509, dapat melebihi jumlah byte pada stack, yang mengakibatkan crash atau kemungkinan eksekusi kode jarak jauh, bergantung pada platform dan konfigurasi.

Tetapi kerentanan ini sebagian besar memengaruhi klien, bukan server, jadi jenis pengaturan ulang keamanan Internet (dan absurditas) yang sama dari Heartbleed kemungkinan tidak akan mengikuti. VPN yang menggunakan OpenSSL 3.x dapat terpengaruh, misalnya, dan bahasa seperti Node.js. Pakar keamanan siber Kevin Beaumont menunjukkan bahwa perlindungan stack overflow di sebagian besar konfigurasi default distribusi Linux seharusnya mencegah eksekusi kode.

Menurut tim keamanan OpenSSL, organisasi menguji dan memberikan umpan balik. Pada beberapa distribusi Linux, overflow 4-byte mungkin terjadi dengan satu serangan menimpa buffer yang berdekatan yang belum digunakan, sehingga tidak dapat merusak sistem atau mengeksekusi kode. Kerentanan lainnya hanya memungkinkan penyerang untuk mengatur panjang overflow, bukan konten.

Jadi sementara crash masih mungkin terjadi, dan beberapa stack dapat diatur dengan cara yang memungkinkan eksekusi kode jarak jauh. Namun, pengguna dari implementasi OpenSSL 3.x harus melakukan patch sesegera mungkin. Dan semua orang harus mencari pembaruan perangkat lunak dan OS yang dapat menambal masalah ini di berbagai subsistem.

Layanan pemantauan Datadog, dalam ringkasan masalah yang baik, mencatat bahwa tim peneliti keamanannya dapat membuat crash penerapan Windows menggunakan versi OpenSSL 3.x sebagai bukti konsep. Dan sementara penyebaran Linux tidak mungkin dieksploitasi, “eksploitasi yang dibuat untuk penyebaran Linux” masih bisa muncul.

National Cyber ​​Security Centrum of the Netherlands (NCSL-NL) memiliki daftar perangkat lunak yang rentan terhadap eksploitasi OpenSSL 3.x. Banyak distribusi Linux populer, platform virtualisasi, dan alat lainnya terdaftar sebagai rentan atau sedang diselidiki.

Meskipun terjadi pengurangan risiko pada kerentanan OpenSSl tetapi patch masih diperlukan karena kerentanan masih tersedia

Link patch: OpenSSL Update
Sumber: Arstechnica

Kerentanan OpenSSL Baru Akan Datang Bersiaplah untuk Menambal

by

Pada hari Selasa 1 November, antara pukul 1-5 sore UTC, versi baru dari seri OpenSSL 3.x yang diadopsi secara luas akan dirilis untuk konsumsi umum. Proyek OpenSSL mengungkapkan adanya kerentanan keamanan KRITIS baru yang diperbaiki pada patch ini.

Pemberitahuan lebih awal ini dirancang untuk memberikan sedikit waktu bagi organisasi dan individu untuk bersiap-siap menghadapi pembaruan penting yang akan datang. OpenSSL secara luas dianggap sebagai bagian dari infrastruktur penting internet antara lain menghasilkan sertifikat yang memungkinkan situs web dijalankan melalui HTTPS.

Pada saat penulisan, tampaknya hanya versi OpenSSL antara 3.0-> 3.0.6 yang terpengaruh, dan kerentanan keamanan kritis ini diperbaiki pada versi 3.0.7 mendatang. OpenSSL 3 diadopsi secara luas, tetapi survei saat ini menunjukkan bahwa itu masih jauh melebihi distribusi 1.x yang sebagian besar keluar dari LTS hari ini dan sepenuhnya setelah September 2023.

Namun, ada 62 paket pembungkus yang didistribusikan oleh ekosistem Java Open Source terbesar di dunia Maven Central yang mengemas ulang OpenSSL. Ini lebih sering dimasukkan ke proyek secara transitif atau diperlukan dari sistem oleh perangkat lunak. Memang, aplikasi apa pun yang menyediakan server web, atau menggunakan server web, dapat berjalan pada perangkat lunak server yang mengandalkan versi lama.

Kerentanan OpenSSL memiliki dampak yang luas yang bisa melupakan kerentanan Heartbleed terkenal yang memengaruhinya. Heartbleed memulai tren penamaan kerentanan keamanan dan secara luas dikreditkan telah memulai gerakan massal menuju kesadaran kerentanan keamanan di masyarakat umum.

Meskipun jumlah kode yang terpengaruh hari ini mungkin hanya menyentuh beberapa paket, kerentanan kritis seperti ini tidak pernah datang sendiri. Seringkali kelemahan serupa ditemukan kemudian baik terinspirasi oleh masalah asli atau menggunakan metodologi serupa. Menjalankan inventaris proaktif dari versi OpenSSL yang telah Anda instal dan mengidentifikasi sistem apa pun yang berjalan pada 3.x akan mempercepat upaya patching Anda.

Sama seperti kerentanan Text4shell minggu lalu, kerentanan keamanan terjadi terus-menerus di dunia open source dan beban tindakan terletak tepat pada pengadopsinya untuk bereaksi dengan cepat. Menurut laporan penelitian State of The Software Supply Chain, industri tidak pandai mengadopsi perbaikan dengan lebih dari 62% unduhan yang rentan dapat dihindari.

Sumber: Sonatype

Kerentanan Berusia 22 Tahun Dilaporkan di Perpustakaan Database SQLite

by

Kerentanan tingkat tinggi telah diungkapkan di perpustakaan database SQLite, yang diperkenalkan sebagai bagian dari perubahan kode sejak Oktober 2000 dan dapat memungkinkan penyerang untuk merusak atau mengontrol program.

Dilacak sebagai CVE-2022-35737 (skor CVSS: 7,5), masalah berusia 22 tahun memengaruhi SQLite versi 1.0.12 hingga 3.39.1, dan telah diatasi dalam versi 3.39.2 yang dirilis pada 21 Juli 2022.

“CVE-2022-35737 dapat dieksploitasi pada sistem 64-bit, dan eksploitabilitas bergantung pada bagaimana program dikompilasi,” kata peneliti Trail of Bits Andreas Kellas dalam tulisan teknis yang diterbitkan hari ini.

“Eksekusi kode arbitrer dikonfirmasi ketika perpustakaan dikompilasi tanpa stack canaries, tetapi tidak dikonfirmasi ketika stack canary hadir, dan penolakan layanan dikonfirmasi dalam semua kasus.”

Diprogram dalam C, SQLite adalah mesin database yang paling banyak digunakan, disertakan secara default di Android, iOS, Windows, dan macOS, serta browser web populer seperti Google Chrome, Mozilla Firefox, dan Apple Safari.

Kerentanan yang ditemukan oleh Trail of Bits menyangkut bug overflow integer yang terjadi ketika input string yang sangat besar dilewatkan sebagai parameter ke implementasi SQLite dari fungsi printf, yang, pada gilirannya, menggunakan fungsi lain untuk menangani pemformatan string (“sqlite3_str_vappendf “).

Namun, persenjataan yang berhasil dari bank cacat pada prasyarat bahwa string berisi jenis substitusi format %Q, %q, atau %w, berpotensi menyebabkan crash program ketika data yang dikendalikan pengguna ditulis di luar batas tumpukan- buffer yang dialokasikan.

“Jika format string berisi ‘!’ karakter khusus untuk mengaktifkan pemindaian karakter unicode, maka dimungkinkan untuk mencapai eksekusi kode arbitrer dalam kasus terburuk, atau menyebabkan program hang dan loop (hampir) tanpa batas waktu,” jelas Kellas.

Kerentanan juga merupakan contoh skenario yang pernah dianggap tidak praktis beberapa dekade lalu mengalokasikan string 1GB sebagai input menjadi layak dengan munculnya sistem komputasi 64-bit.

Sumber: The Hackernews

Kerentanan RCE Kritis Ditemukan di Perangkat Lunak Peretasan Cobalt Strike Populer

by

HelpSystems, perusahaan di balik platform perangkat lunak Cobalt Strike, telah merilis pembaruan keamanan out-of-band untuk mengatasi kerentanan eksekusi kode jarak jauh yang memungkinkan penyerang mengambil kendali sistem yang ditargetkan.

Cobalt Strike adalah kerangka kerja tim merah komersial yang terutama digunakan untuk simulasi musuh, tetapi versi perangkat lunak yang retak telah disalahgunakan secara aktif oleh operator ransomware dan kelompok ancaman persisten lanjutan (APT) yang berfokus pada spionase.

Alat pasca-eksploitasi terdiri dari server tim, yang berfungsi sebagai komponen perintah-dan-kontrol (C2), dan suar, malware default yang digunakan untuk membuat koneksi ke server tim dan menjatuhkan muatan tahap berikutnya.

Masalah ini, dilacak sebagai CVE-2022-42948, memengaruhi Cobalt Strike versi 4.7.1, dan berasal dari tambalan tidak lengkap yang dirilis pada 20 September 2022, untuk memperbaiki kerentanan skrip lintas situs (XSS) (CVE-2022-39197) yang dapat menyebabkan eksekusi kode jarak jauh.

“Kerentanan XSS dapat dipicu dengan memanipulasi beberapa bidang input UI sisi klien, dengan mensimulasikan check-in implan Cobalt Strike atau dengan mengaitkan implan Cobalt Strike yang berjalan pada host,” kata peneliti IBM X-Force, Rio Sherri dan Ruben Boonen. dalam sebuah tulisan.

Namun, ditemukan bahwa eksekusi kode jarak jauh dapat dipicu dalam kasus tertentu menggunakan kerangka Java Swing, perangkat antarmuka pengguna grafis yang digunakan untuk merancang Cobalt Strike.

“Komponen tertentu dalam Java Swing akan secara otomatis menafsirkan teks apa pun sebagai konten HTML jika dimulai dengan ,” Greg Darwin, manajer pengembangan perangkat lunak di HelpSystems, menjelaskan dalam sebuah posting. “Menonaktifkan penguraian otomatis tag html di seluruh klien sudah cukup untuk mengurangi perilaku ini.”

Ini berarti bahwa aktor jahat dapat mengeksploitasi perilaku ini melalui tag HTML, menggunakannya untuk memuat muatan khusus yang dihosting di server jauh dan menyuntikkannya ke dalam bidang catatan serta menu penjelajah file grafis di Cobalt menyerang UI.

Temuan ini muncul sedikit lebih dari seminggu setelah Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) memperingatkan senjata lanjutan dari alat yang sah seperti Cobalt Strike dalam serangan yang ditujukan pada sektor perawatan kesehatan.

Sumber: The Hackernews