Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Kerentanan Keamanan

Kerentanan Keamanan

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer

Microsoft January 2022 Patch Tuesday memperbaiki 6 zero-day, 97 kerentanan keamanan

by

Microsoft merilis Patch Tuesday bulan Januari 2022 yang memperbaiki enam kerentanan zero-day dan total 97 kerentanan.

Microsoft telah memperbaiki 97 kerentanan (tidak termasuk 29 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan sembilan diklasifikasikan sebagai Kritis dan 88 sebagai Penting.

Microsoft juga menyertakan perbaikan untuk enam kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak satupun dari mereka yang dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday Januari 2022 adalah:

  • CVE-2021-22947 – Open Source Curl Remote Code Execution Vulnerability
  • CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
  • CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability
  • CVE-2022-21836 – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability

Kerentanan Curl dan Libarchive telah diperbaiki oleh pengelolanya tetapi perbaikan tersebut tidak ditambahkan ke Windows hingga hari ini.

Namun, karena banyak dari zero-day ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna Windows disarankan untuk melakukan update sesegera mungkin.

Selengkapnya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

by

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

Geng Conti Ransomware Memiliki Rantai Serangan Log4Shell Lengkap

by

Geng Conti ransomware, yang minggu lalu menjadi organisasi crimeware profesional pertama yang mengadopsi dan mempersenjatai kerentanan Log4Shell, kini telah membangun rantai serangan holistik.

Grup Conti yang berbasis di Rusia – yang oleh Palo Alto Networks disebut sebagai “salah satu yang paling kejam” dari lusinan grup ransomware yang saat ini diketahui aktif – berada di tempat yang tepat pada waktu yang tepat dengan alat yang tepat ketika Log4Shell muncul 10 hari yang lalu, kata perusahaan keamanan Advanced Intelligence (AdvIntel) dalam sebuah laporan yang dibagikan kepada Threatpost pada hari Kamis.

Mulai Senin, 20 Desember, rantai serangan telah mengambil bentuk berikut, Yelisey Boguslavskiy dari AdvIntel mengatakan kepada Threatpost: Emotet -> Cobalt Strike -> Human Exploitation -> (tidak ada ADMIN$ share) -> Kerberoast -> vCenter ESXi dengan log4shell memindai vCenter.

Dalam dua hari setelah pengungkapan kerentanan di libraru logging Log4j Apache pada 10 Desember, anggota grup Conti mendiskusikan cara mengeksploitasinya sebagai vektor serangan awal, menurut AdvIntel.

Log4Shell telah menjadi titik fokus bagi pelaku ancaman, termasuk tersangka pelaku negara bangsa yang telah diamati menyelidiki Log4j2, catat para peneliti AdvIntel.

Namun dari semua pelaku ancaman, Conti “memainkan peran khusus dalam lanskap ancaman saat ini, terutama karena skalanya,” jelas mereka. Ini adalah organisasi yang sangat canggih, terdiri dari beberapa tim. AdvIntel memperkirakan bahwa, berdasarkan pemeriksaan log Conti, geng berbahasa Rusia tersebut menghasilkan lebih dari $150 juta selama enam bulan terakhir.

Selengkapnya: Threat Post

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

by

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

Peretas Mulai Mengeksploitasi Kerentanan Log4j Kedua sebagai Munculnya Cacat Ketiga

by

Perusahaan infrastruktur web Cloudflare pada hari Rabu mengungkapkan bahwa aktor ancaman secara aktif mencoba untuk mengeksploitasi bug kedua yang diungkapkan dalam utilitas logging Log4j yang banyak digunakan, sehingga sangat penting bagi pelanggan untuk bergerak cepat untuk menginstal versi terbaru karena rentetan serangan terus menghantam sistem yang belum ditambal dengan berbagai malware.

Lebih mengkhawatirkan lagi, para peneliti di firma keamanan Praetorian memperingatkan kelemahan keamanan ketiga yang terpisah di Log4j versi 2.15.0 yang dapat “memungkinkan eksfiltrasi data sensitif dalam keadaan tertentu.” Rincian teknis tambahan dari cacat telah dirahasiakan untuk mencegah eksploitasi lebih lanjut, tetapi belum jelas apakah ini telah diatasi dalam versi 2.16.0.

Perkembangan terbaru datang ketika kelompok ancaman persisten canggih dari China, Iran, Korea Utara, dan Turki, termasuk Hafnium dan Fosfor, telah terjun ke medan untuk mengoperasionalkan kerentanan dan menemukan dan terus mengeksploitasi sebanyak mungkin sistem yang rentan untuk serangan lanjutan. Lebih dari 1,8 juta upaya untuk mengeksploitasi kerentanan Log4j telah dicatat sejauh ini.

Meskipun biasanya pelaku ancaman melakukan upaya untuk mengeksploitasi kerentanan yang baru diungkapkan sebelum diperbaiki, kelemahan Log4j menggarisbawahi risiko yang timbul dari rantai pasokan perangkat lunak ketika bagian utama dari perangkat lunak digunakan dalam berbagai produk di beberapa vendor dan disebarkan oleh pelanggan mereka di seluruh dunia.

Selengkapnya: The Hacker News

Kerentanan Log4j sekarang digunakan oleh peretas yang didukung negara

by

Seperti yang diharapkan, peretas negara-bangsa dari semua jenis telah mengambil kesempatan untuk mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2021-44228) di library logging berbasis Java Apache Log4j.

Juga dikenal sebagai Log4Shell atau LogJam, kerentanan sekarang digunakan oleh pelaku ancaman yang memiliki kaitan dengan pemerintah di Cina, Iran, Korea Utara, dan Turki, serta broker akses yang digunakan oleh geng ransomware.

Di antara aktor ancaman pertama yang memanfaatkan Log4Shell untuk menjatuhkan muatan adalah grup penambangan cryptocurrency dan botnet, yang mulai menyerang segera setelah kode eksploitasi proof-of-concept tersedia.

Salah satu pelakunya adalah kelompok ancaman Iran Fosfor – juga dilacak sebagai Charming Kitten, APT 35, yang diamati Microsoft “memperoleh dan membuat modifikasi” pada eksploitasi Log4Shell.

Aktor ancaman negara-bangsa lain yang memanfaatkan bug Log4Shell adalah Hafnium, grup peretas yang terkait dengan China.

Microsoft mengatakan bahwa Hafnium sekarang menggunakan Log4Shell dalam serangan terhadap infrastruktur virtualisasi “untuk memperluas penargetan tipikal mereka”.

Terlepas dari aktor negara-bangsa, Microsoft telah mengkonfirmasi bahwa broker yang menyediakan akses jaringan awal ke berbagai kelompok, sebagian besar bermotivasi finansial juga mulai mengeksploitasi kelemahan Log4j.

Broker akses awal biasanya bekerja dengan operasi ransomware-as-a-service (RaaS), di mana mereka menjual akses ke jaringan perusahaan yang disusupi.

Log4Shell juga telah digunakan dalam serangan ransomware dari aktor baru bernama Khonsari, sebuah laporan dari Bitdefender menunjukkan.

Mengingat kerusakan yang dapat disebabkan oleh bug ini, Badan Keamanan Infrastruktur Keamanan Siber (CISA) telah memerintahkan lembaga federal untuk segera menambal sistem yang terpengaruh.

Selengkapnya: Bleeping Computer

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic