Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for kerentanan

kerentanan

Geng Ransomware lebih mengandalkan kerentanan persenjataan

by

Peneliti keamanan memperingatkan bahwa layanan akses jarak jauh eksternal terus menjadi vektor utama geng ransomware untuk menembus jaringan perusahaan, tetapi ada peningkatan penting dalam mengeksploitasi kerentanan.

Seiring dengan phishing dan mengeksploitasi kerentanan dalam aplikasi yang menghadap publik, ini adalah metode utama kompromi yang pada akhirnya menyebabkan pelaku ancaman mencuri data dan mengenkripsi sistem.

sumber: Group-IB

Menurut perusahaan keamanan siber Group-IB, pelaku ancaman biasanya menargetkan server desktop jarak jauh (RDP) yang diekspos di web untuk akses awal ke jaringan.

Kredensial yang disusupi juga populer di beberapa afiliasi ransomware, yang menggunakan login untuk menyerang infrastruktur dari dalam.

Perusahaan keamanan siber mencatat dalam sebuah laporan hari ini bahwa tahun lalu geng ransomware mulai fokus pada beberapa kerentanan dalam aplikasi yang dihadapi publik, dan bergerak cepat untuk menambahkan eksploitasi untuk masalah keamanan yang baru diungkapkan.

Di antara kerentanan paling menonjol yang diidentifikasi oleh Group-IB sebagai digunakan oleh pelaku ancaman ransomware pada tahun 2021 adalah sebagai berikut:

  • CVE-2021-20016 (SonicWall SMA100 SSL VPN)
  • CVE-2021-26084 (Pertemuan Atlassian)
  • CVE-2021-26855 (Microsoft Exchange)
  • CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, dan CVE-2021-27104 (Accellion FTA)
  • CVE-2021-30116 (Kaseya VSA)
  • CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207 (Microsoft Exchange)
  • CVE-2021-35211 (Angin Matahari)

Laporan bersama yang baru-baru ini diterbitkan dari Cyber ​​Security Works, Securin, Cyware, dan Ivanti mencatat bahwa jumlah kerentanan yang terkait dengan serangan ransomware telah berkembang menjadi 310 pada kuartal pertama tahun 2022.

Namun, tidak semua bug itu baru. Setengah dari kelemahan yang baru-baru ini terkait dengan serangan ransomware terungkap pada tahun 2019. Namun, ada banyak eksploitasi publik untuk mereka, yang membuat pekerjaan penyerang menjadi lebih mudah.

Pada kuartal pertama tahun 2022, keempat perusahaan menemukan bahwa pelaku ransomware secara aktif mengeksploitasi total 157 kerentanan, sedikit lebih banyak dari pada kuartal sebelumnya.

sumber: laporan penelitian ransomware

Melihat situs kebocoran aktor ancaman, Group-IB mengatakan bahwa geng ransomware menerbitkan informasi dari 3.500 korban, kebanyakan dari mereka berbasis di AS (1.655).

Operasi ransomware paling agresif pada tahun 2021 adalah LockBit dan Conti (juga dikonfirmasi dalam laporan dari perusahaan lain), masing-masing dengan jumlah korban 670 dan 640, masing-masing. Tempat ketiga ditempati oleh Pysa, dengan data dari 186 korban dipublikasikan di situs kebocoran mereka.

sumber: Group-IB

Tim forensik digital dan respons insiden (DFIR) perusahaan menyelidiki lebih dari 700 serangan ransomware tahun lalu dan menemukan bahwa pemalsuan data telah terjadi pada 63% kasus.

Berdasarkan data yang dikumpulkan dari insiden ini, Group-IB memperkirakan bahwa permintaan tebusan rata-rata $247.000 tahun lalu.

Eksfiltrasi data tetap menjadi taktik yang kuat bagi pelaku ransomware untuk menekan korban agar membayar uang tebusan. Beberapa geng telah melangkah lebih jauh dengan membuat alat khusus dan menawarkannya kepada afiliasi.

Di antara teknik yang diamati oleh Group-IB dalam serangan ransomware, di bagian atas bagan adalah penggunaan penerjemah perintah dan skrip serta layanan jarak jauh, keduanya menjadi bagian dari semua serangan yang diselidiki oleh para peneliti.

Selain itu, musuh juga menggunakan berbagai metode untuk menemukan sistem jarak jauh, mencuri kredensial (Mimikatz, Lazagne), dan menonaktifkan alat keamanan.

Sumber: Group IB

Adapun alat yang digunakan dalam berbagai langkah serangan, Group-IB membuat 10 besar, di mana SoftPerfect Network Scanner berada di urutan teratas.

Di lebih dari setengah insiden ransomware yang diselidiki, para peneliti menemukan suar Cobalt Strike, alat umum untuk tahap pasca-eksploitasi karena memungkinkan berbagai tindakan (eksekusi skrip, penekanan tombol logging, unduhan file).

Sumber: Group IB

Pembela dapat menggunakan informasi ini untuk mengatur deteksi yang dapat menangkap aktivitas berbahaya yang sedang berlangsung sebelum serangan terakhir terjadi.

Namun, meskipun mengubah taktik, dan mengadopsi alat dan teknik baru, tahap utama serangan ransomware tetap sama:

Sumber: Group IB

Oleg Skulkin, kepala tim DFIR Group-IB, mengatakan bahwa penggabungan taktik, teknik, dan prosedur (TTPs) karena afiliasi yang bermigrasi dari satu operasi ransomware ke operasi ransomware lainnya mempersulit profesional keamanan untuk melacak metode yang diadopsi musuh ini.

Namun, mendefinisikan tren utama dengan cara standar seperti matriks MITER ATT@CK akan mempermudah persiapan menghadapi insiden ransomware.

Sumber: Bleeping Computer

Zyxel diam-diam memperbaiki kerentanan RCE kritis dalam produk firewall

by

Analis ancaman yang menemukan kerentanan yang memengaruhi beberapa produk Zyxel melaporkan bahwa perusahaan peralatan jaringan memperbaikinya melalui pembaruan diam yang dikeluarkan dua minggu lalu.

Lebih khusus lagi, peneliti keamanan di Rapid7 menemukan kelemahan tersebut, yang sekarang dilacak sebagai CVE-2022-30525 (skor CVSS v3: 9,8 – kritis), dan mengungkapkannya kepada Zyxel pada 13 April 2022.

Cacatnya adalah injeksi perintah jarak jauh yang tidak diautentikasi melalui antarmuka HTTP, yang memengaruhi firewall Zyxel yang mendukung Zero Touch Provisioning (ZTP). Versi firmware yang terpengaruh adalah ZLD5.00 hingga ZLD5.21 Patch 1.

CVE-2022-30525 berdampak pada model berikut:

USG FLEX 50, 50W, 100W, 200, 500, 700 menggunakan firmware 5.21 ke bawah
USG20-VPN dan USG20W-VPN menggunakan firmware 5.21 ke bawah
ATP 100, 200, 500, 700, 800 menggunakan firmware 5.21 dan di bawah
Produk ini biasanya digunakan di cabang kecil dan kantor pusat perusahaan untuk VPN, inspeksi SSL, perlindungan intrusi, keamanan email, dan pemfilteran web.

“Perintah dijalankan sebagai pengguna “bukan siapa-siapa”. Kerentanan ini dieksploitasi melalui /ztp/cgi-bin/handler URI dan merupakan hasil dari meneruskan input penyerang yang tidak bersih ke dalam metode os.system di lib_wan_settings.py,” jelas laporan Rapid 7.

“Fungsi yang rentan dipanggil terkait dengan perintah setWanPortSt. Seorang penyerang dapat menyuntikkan perintah sewenang-wenang ke dalam mtu atau parameter data.”

Zyxel mengkonfirmasi laporan dan validitas cacat dan berjanji untuk merilis pembaruan keamanan perbaikan pada Juni 2022, namun mereka merilis tambalan pada 28 April 2022, tanpa memberikan nasihat keamanan, detail teknis, atau panduan mitigasi kepada pelanggannya.

Hari ini, Rapid 7 menerbitkan laporan pengungkapannya bersama dengan modul Metasploit yang sesuai yang mengeksploitasi CVE-2022-30525 dengan menyuntikkan perintah di bidang MTU.

Peneliti yang menemukan cacat dan mengembangkan eksploitasi yang berfungsi untuk pengujian, Jake Baines, juga telah menerbitkan video demonstrasi berikut.

Konsekuensi khas dari serangan semacam itu adalah modifikasi file dan eksekusi perintah OS, yang memungkinkan pelaku ancaman mendapatkan akses awal ke jaringan dan menyebar secara lateral melalui jaringan.

“Firewall Zxyel yang terpengaruh oleh CVE-2022-30525 adalah apa yang biasanya kami sebut sebagai “poros jaringan”. Eksploitasi CVE-2022-30525 kemungkinan akan memungkinkan penyerang membangun pijakan di jaringan internal korban,” kata Rapid7 kepada BleepingComputer.

“Contoh nyata dari serangan semacam ini adalah serangan Phineas Fisher terhadap Tim Peretasan, di mana Fisher mengeksploitasi firewall/VPN yang menghadap internet.”

“Setelah Fisher memiliki akses penuh ke firewall/VPN, mereka dapat berpindah secara lateral ke sistem internal (misalnya database MongoDB, penyimpanan NAS, server Exchange).”

Karena detail teknis dari kerentanan telah dirilis dan sekarang didukung oleh Metasploit, semua admin harus segera memperbarui perangkat mereka sebelum pelaku ancaman mulai secara aktif mengeksploitasi kelemahan tersebut.

Rapid 7 melaporkan bahwa pada saat penemuan, setidaknya ada 16.213 sistem rentan yang terpapar ke internet, menjadikan kerentanan ini sebagai target yang menarik bagi pelaku ancaman.

Hasil Shodan dari firewall Zyxel yang rentan (Rapid7)

Jika pembaruan ke versi terbaru yang tersedia tidak memungkinkan, Anda disarankan untuk setidaknya menonaktifkan akses WAN ke antarmuka web administratif produk yang terpengaruh.

Sumber: Bleeping Computer

Badan keamanan siber mengungkapkan kerentanan yang paling banyak dieksploitasi pada tahun 2021

by

Bekerja sama dengan NSA dan FBI, otoritas keamanan siber di seluruh dunia hari ini merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi oleh pelaku ancaman selama tahun 2021.

Otoritas keamanan siber mendesak organisasi dalam penasihat bersama untuk segera menambal kelemahan keamanan ini dan menerapkan sistem manajemen tambalan untuk mengurangi permukaan serangan mereka.

Secara global, aktor jahat telah diamati memfokuskan serangan mereka pada sistem yang menghadap internet, termasuk email dan server jaringan pribadi virtual (VPN), menggunakan eksploitasi yang menargetkan kerentanan yang baru diungkapkan.

“Otoritas keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris menilai, pada tahun 2021, pelaku siber jahat secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia,” bunyi nasihat itu.

Ini mungkin karena aktor jahat dan peneliti keamanan merilis eksploitasi proof of concept (POC) dalam waktu dua minggu sejak pengungkapan awal untuk sebagian besar bug yang dieksploitasi teratas sepanjang tahun 2021.

Namun, penyerang memfokuskan beberapa serangan mereka pada kerentanan lama yang ditambal bertahun-tahun sebelumnya, yang menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan ketika tambalan tersedia.

Berikut aftar 15 kelemahan keamanan yang paling banyak dieksploitasi dengan tautan ke entri Basis Data Kerentanan Nasional dan malware terkait. Selengkapnya

Badan keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris juga telah mengidentifikasi dan mengungkapkan 21 kerentanan keamanan tambahan yang biasa dieksploitasi oleh pelaku siber jahat selama tahun 2021, termasuk yang berdampak pada Accellion File Transfer Appliance (FTA), Windows Print Spooler, dan Pulse Secure Pulsa Hubungkan Aman.

Penasihat bersama mencakup langkah-langkah mitigasi yang akan membantu mengurangi risiko yang terkait dengan kelemahan penyalahgunaan teratas yang dijelaskan di atas.

CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang dieksploitasi secara rutin pada tahun 2020 bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Pusat Keamanan Siber Nasional Inggris (NCSC) ).

Pada November 2021, MITER juga membagikan daftar kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada tahun 2021 dan 25 kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Sumber: Bleeping Computer

Microsoft menemukan kelemahan desktop Linux yang memberikan root kepada pengguna yang tidak tepercaya

by

Microsoft menemukan kerentanan yang memudahkan orang-orang yang memiliki akses di banyak sistem desktop Linux untuk mendapatkan hak sistem root, peningkatan terbaru dari kelemahan hak istimewa yang terungkap di OS open source.

Karena sistem operasi telah dikeraskan untuk menahan kompromi dalam beberapa tahun terakhir, kerentanan elevasi hak istimewa (EoP) telah menjadi unsur penting bagi sebagian besar peretasan yang sukses.

Mereka dapat dieksploitasi bersama dengan kerentanan lain yang sering dianggap kurang parah, mereka memberikan akses lokal dan yang pertama meningkatkan akses root. Dari sana, musuh dengan akses fisik atau hak sistem terbatas dapat menyebarkan pintu belakang atau mengeksekusi kode pilihan mereka.

Nimbuspwn, seperti yang disebut Microsoft sebagai ancaman EoP, adalah dua kerentanan yang berada di networkd-dispatcher, komponen di banyak distribusi Linux yang mengirimkan perubahan status jaringan dan dapat menjalankan berbagai skrip untuk merespons status baru.

Cacat, dilacak sebagai CVE-2022-29799 dan CVE-2022-29800, menggabungkan ancaman termasuk traversal direktori, balapan symlink, dan kondisi balapan time-of-check time-of-use (TOCTOU). Setelah meninjau kode sumber Networkd -dispatcher, peneliti Microsoft Jonathan Bar Or memperhatikan bahwa komponen yang dikenal sebagai “_run_hooks_for_state” mengimplementasikan logika berikut:

Daftar daftar skrip yang tersedia dengan menjalankan metode “get_script_list”, yang memanggil metode “scripts_in_path” terpisah yang dimaksudkan untuk mengembalikan semua file yang disimpan di direktori “/etc/networkd-dispatcher/.d”.

Run_hooks_for_state membiarkan sistem Linux terbuka untuk kerentanan direktori-traversal, yang ditetapkan sebagai CVE-2022-29799, karena tidak ada fungsi yang digunakannya secara memadai membersihkan status yang digunakan untuk membangun jalur skrip yang tepat dari input berbahaya. Peretas dapat mengeksploitasi kelemahan untuk keluar dari direktori dasar “/etc/networkd-dispatcher”.

Run-hooks_for_state berisi cacat terpisah, CVE-2022-29800, yang membuat sistem rentan terhadap kondisi balapan TOCTOU karena ada waktu tertentu antara skrip ditemukan dan skrip dijalankan.

Musuh dapat mengeksploitasi kerentanan yang terakhir ini untuk mengganti skrip yang diyakini networkd-dispatcher dimiliki oleh root dengan skrip jahat pilihan musuh. Untuk memastikan Linux mengeksekusi skrip berbahaya yang disediakan peretas daripada skrip yang sah, peretas menanam beberapa skrip hingga akhirnya berhasil.

Seorang peretas dengan akses minimal ke desktop yang rentan dapat menyatukan eksploitasi untuk kerentanan ini yang memberikan akses root penuh.

Untuk mendapatkan akses root yang persisten, peneliti menggunakan alur eksploit untuk membuat pintu belakang. Proses untuk ini adalah:

Salin /bin/sh ke /tmp/sh.
Mengubah /tmp/sh baru menjadi biner Set-UID (SUID)
Jalankan /tmp/sh -p. Bendera “-p” diperlukan karena cangkang modern menjatuhkan hak istimewa berdasarkan desain.

Eksploitasi proof-of-concept hanya berfungsi jika dapat menggunakan nama bus “org.freedesktop.network1”. Peneliti menemukan beberapa lingkungan di mana ini terjadi, termasuk Linux Mint, di mana systemd-networkd secara default tidak memiliki nama bus org.freedodesktop.network1 saat boot.

Peneliti juga menemukan beberapa proses yang berjalan sebagai pengguna jaringan systemd, yang diizinkan untuk menggunakan nama bus yang diperlukan untuk menjalankan kode arbitrer dari lokasi yang dapat ditulis di dunia. Proses yang rentan mencakup beberapa plugin gpgv, yang diluncurkan saat apt-get menginstal atau meningkatkan, dan Erlang Port Mapper Daemon, yang memungkinkan menjalankan kode arbitrer dalam beberapa skenario.

Kerentanan telah ditambal di networkd-dispatcher, meskipun tidak segera jelas kapan atau dalam versi apa, dan upaya untuk menjangkau pengembang tidak segera berhasil. Orang yang menggunakan versi Linux yang rentan harus menambal sistem mereka sesegera mungkin.

Sumber : Arstechnica

Peretas mengeksploitasi bug penting VMware CVE-2022-22954, tambal sekarang

by

Eksploitasi proof-of-concept telah dirilis secara online untuk kerentanan eksekusi kode jarak jauh VMware CVE-2022-22954, yang telah digunakan dalam serangan aktif yang menginfeksi server dengan penambang koin.

Kerentanan adalah kritis (CVSS: 9.8) eksekusi kode jarak jauh (RCE) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager, dua produk perangkat lunak yang banyak digunakan.

Vendor perangkat lunak merilis penasehat keamanan untuk kerentanan pada tanggal 6 April 2022, memperingatkan tentang kemungkinan aktor ancaman dengan akses jaringan memicu injeksi template sisi server yang menghasilkan RCE.

VMware telah merilis pembaruan keamanan untuk produk yang terpengaruh dan petunjuk penyelesaian untuk membantu mengatasi risiko penerapan yang tidak dapat segera diperbarui oleh admin.

Pada saat yang sama, ini menggarisbawahi pentingnya mengatasi kerentanan tertentu: “Kerentanan kritis ini harus segera ditambal atau dikurangi sesuai instruksi di VMSA-2021-0011. Konsekuensi dari kerentanan ini serius.”

Meskipun merilis eksploitasi publik meningkatkan risiko bahwa aktor ancaman akan mengeksploitasi mereka dalam serangan, mereka juga dimaksudkan untuk membantu mengamankan sistem melalui pengujian dan berfungsi sebagai validator perbaikan/tambalan yang ada.

Saat ini, pelaku ancaman secara aktif memindai host yang rentan, dengan firma intelijen keamanan siber Bad Packets memberi tahu bahwa mereka mendeteksi upaya untuk mengeksploitasi kerentanan di alam liar.

Alamat IP, 106.246.224.219, yang digunakan dalam payload, baru-baru ini terlihat menjatuhkan pintu belakang Tsunami Linux dalam serangan lain. Namun, tidak jelas apa ‘satu’ yang dapat dieksekusi, karena tidak lagi dapat diakses.

Peneliti keamanan Daniel Card juga berbagi di Twitter bahwa kerentanan sedang dieksploitasi untuk menjatuhkan muatan coinminer, umumnya serangan pertama yang kita lihat ketika pelaku ancaman menargetkan kerentanan baru.

Beberapa pelaku ancaman ini kemudian menutup kerentanan setelah mereka menguasai server.

Karena eksploitasi aktifnya, jika Anda belum menerapkan pembaruan atau mitigasi keamanan VMware, sangat disarankan untuk melakukannya sesegera mungkin.

Untuk pengguna produk VMware, perlu diperhatikan bahwa saran vendor mencantumkan beberapa kelemahan tingkat tinggi selain dari RCE yang disebutkan di atas, yang memengaruhi produk tambahan selain Workspace One Access dan Identity Manager, jadi pastikan Anda menggunakan versi terbaru yang tersedia.

Sumber : Bleeping Computer

Microsoft April 2022 Patch Tuesday memperbaiki 119 kelemahan, 2 zero days

by

Microsoft telah memperbaiki 119 kerentanan (tidak termasuk 26 kerentanan Microsoft Edge) dengan pembaruan hari ini, dengan sepuluh diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Jumlah bug di setiap kategori kerentanan tercantum di bawah ini:

  • 47 Peningkatan Kerentanan Hak Istimewa
  • 0 Kerentanan Bypass Fitur Keamanan
  • 47 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 9 Kerentanan Denial of Service
  • 3 Kerentanan Spoofing
  • 26 Edge – Kerentanan Chromium

Patch Tuesday bulan ini juga mencakup perbaikan untuk dua kerentanan zero-day, satu diungkapkan secara publik dan yang lainnya dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan zero-day yang yang diperbaiki hari ini adalah bug yang ditemukan oleh peneliti keamanan Abdelhamid Naceri yang sebelumnya berusaha diperbaiki oleh Microsoft dua kali setelah bypass patch baru ditemukan.

CVE-2022-26904 – Layanan Profil Pengguna Windows Peningkatan Kerentanan Hak Istimewa
Zero-day yang diekspos secara publik adalah bug elevasi hak istimewa yang ditemukan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA).

CVE-2022-24521 – Driver Sistem File Log Umum Windows Peningkatan Kerentanan Hak Istimewa
Sekarang Microsoft telah mengeluarkan tambalan untuk kerentanan ini, aktor ancaman diharapkan menganalisis kerentanan untuk mempelajari cara mengeksploitasinya.

Oleh karena itu, sangat disarankan untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Di bawah ini adalah daftar lengkap kerentanan yang diselesaikan dan saran yang dirilis dalam pembaruan Patch Tuesday April 2022. Anda dapat melihat laporan lengkapnya di sini.

Sumber : Bleeping Computer

Kerentanan OpenSSL dapat ‘dipersenjatai,’ kata direktur cyber NSA

by

Kerentanan kriptografi dalam algoritma modular Tonelli Shanks, yang digunakan di perpustakaan kriptografi populer OpenSSL, dapat menyebabkan serangan penolakan layanan dan “pasti dapat dijadikan senjata” di lingkungan ancaman saat ini, menurut seorang pejabat NSA.

Bug ditemukan oleh dua karyawan Google, peneliti keamanan Tavis Ormandy dan insinyur perangkat lunak David Benjamin, dan sedang dilacak di bawah CVE-2022-0778 memengaruhi fungsi BN_mod_sqrt() di OpenSSL, yang digunakan untuk menghitung akar kuadrat modular dan mem-parsing sertifikat yang menggunakan enkripsi kunci publik kurva eliptik.

Proses ini dapat dieksploitasi jika penyerang mengirimkan sertifikat dengan parameter kurva rusak, sehingga memicu loop tak terbatas dalam program dan mengarah ke penolakan layanan.

“Karena penguraian sertifikat terjadi sebelum verifikasi tanda tangan sertifikat, proses apa pun yang mem-parsing sertifikat yang disediakan secara eksternal dapat dikenakan serangan penolakan layanan,” kata OpenSSL dalam penasihat keamanan 15 Maret. “Loop tak terbatas juga dapat dicapai saat mem-parsing kunci pribadi yang dibuat karena dapat berisi parameter kurva eliptik eksplisit.”

Bug dapat dieksploitasi di klien TLS yang menggunakan sertifikat server, server TLS yang menggunakan sertifikat klien, penyedia hosting yang mengambil sertifikat atau kunci pribadi dari pelanggan mereka, otoritas yang mengurai permintaan sertifikasi dari pelanggan mereka dan “apa pun yang mem-parsing parameter kurva elips ASN.1 .” Ini memengaruhi OpenSSL versi 1.02, 1.1.1, dan 3.0, yang semuanya telah ditambal.

OpenSSL adalah komponen inti dari sistem berbasis Unix dan Linux, dan juga dibundel ke dalam aplikasi perangkat lunak yang berjalan di Windows. Kerentanan tersebut mendapat teguran dari pejabat keamanan siber NSA, yang memperingatkan para pembela HAM agar tidak tertipu oleh peringkat (relatif) tingkat keparahan yang rendah dan segera ditambal.

“Dengan kondisi ancaman internet saat ini, rekomendasikan untuk segera menambal CVE-2022-0778… Cacat ini memungkinkan serangan DOS pra-otentikasi pada OpenSSL,” Rob Joyce, direktur direktorat keamanan siber NSA, menulis Senin di Twitter. “Saya tahu itu ‘hanya’ diberi peringkat 7,5 [dari 10], tapi pasti bisa dijadikan senjata.”

Paul Ducklin, seorang peneliti keamanan di Sophos, mencatat bahwa itu “ironis” karena kerentanan tampaknya mengeksploitasi kesalahan dalam program atau aplikasi yang dengan benar mengikuti praktik terbaik untuk koneksi aman, sementara gagal memengaruhi program dan aplikasi yang menggunakan protokol yang kurang aman. .

Ducklin mencatat bahwa sementara bug itu kurang serius daripada kerentanan yang dapat dieksploitasi yang memungkinkan penyerang untuk menginstal malware secara diam-diam pada perangkat korban, itu perlu diperhatikan karena dapat menunjukkan adanya kekurangan dan bug tambahan yang tidak diketahui di tempat lain yang sedikit diketahui tetapi pustaka perangkat lunak yang umum digunakan seperti Log4J dan Heartbleed, kerentanan OpenSSL lainnya telah menunjukkan potensi dampak berbasis luas pada pengguna.

Sumber : https://www.scmagazine.com/analysis/application-security/openssl-vulnerability-can-definitely-be-weaponized-nsa-cyber-director-says

Keamanan seluler 2021: Android lebih banyak kerentanan, iOS lebih banyak zero-days

by

Perusahaan keamanan seluler Zimperium telah merilis laporan ancaman seluler tahunannya di mana tren dan penemuan keamanan di tahun yang berlalu meletakkan dasar untuk memprediksi apa yang akan terjadi pada tahun 2022.

Secara umum, fokus pelaku kejahatan di platform seluler telah meningkat dibandingkan tahun-tahun sebelumnya, Fokus ini diwujudkan dalam volume distribusi malware yang lebih signifikan, serangan phishing dan smishing, dan lebih banyak upaya untuk menemukan dan memanfaatkan eksploitasi zero-day.

Volume situs phishing yang menargetkan pengguna seluler (Zimperium)

Kerentanan zero-day diungkapkan secara publik atau bug yang dieksploitasi secara aktif tanpa perbaikan yang tersedia dari vendor atau pengembang. Karena sangat penting untuk memperbaiki bug zero-day, vendor biasanya terburu-buru untuk merilis pembaruan keamanan setelah mereka diungkapkan.

Namun, menurut statistik klien Zimperium dan survei yang dilakukan untuk laporan tersebut, hanya sekitar 42% orang yang bekerja di lingkungan BYOD (bawa perangkat Anda sendiri) yang menerapkan perbaikan prioritas tinggi dalam waktu dua hari sejak dirilis.

Kira-kira sepertiga diperlukan hingga satu minggu, sementara 20% yang signifikan belum menambal perangkat seluler mereka sebelum mencapai tanda dua minggu.

Pada tahun 2021, para aktor lebih fokus pada tenaga kerja jarak jauh atau perangkat seluler di lokasi, yang mengarah pada peningkatan pemindaian jaringan berbahaya dan serangan man-in-the-middle (MiTM). Serangan ini ditujukan untuk mencuri informasi sensitif yang memainkan peran penting dalam serangan yang lebih signifikan terhadap jaringan perusahaan.

Secara global, malware seluler merupakan masalah yang dihadapi di 23% dari semua titik akhir yang dilindungi oleh Zimperium pada tahun 2021, diikuti oleh MiTM (13%), situs web berbahaya (12%), dan pemindaian (12%).

Jenis ancaman seluler yang dicatat secara global pada tahun 2021 (Zimperium)(Zimperium)

Android vs. iOS
Dilihat berdasarkan volume, Android memiliki 574 kerentanan yang ditemukan pada tahun 2021, penurunan yang mencolok dari 859 pada tahun 2020, sementara 79% di antaranya ditandai dengan kompleksitas serangan yang rendah. Kategorisasi ini menunjukkan kelemahan yang mudah dieksploitasi.

Dari 574 kelemahan Android, 135 (23%) memiliki skor CVSS lebih tinggi dari 7,2, sementara 18 dinilai kritis.

Di iOS, peneliti keamanan menemukan 357 kerentanan baru di tahun yang telah berlalu, tetapi hanya 24% di antaranya yang dianggap sebagai bug dengan kompleksitas rendah.

Selain itu, hanya 63 (17%) yang memiliki peringkat keparahan CVSS lebih tinggi dari 7,2, tetapi 45 kelemahannya kritis, yang berarti memanfaatkannya dapat mengakibatkan kompromi yang signifikan pada perangkat.

Hal ini membuat iOS menjadi target yang lebih menantang tetapi menguntungkan karena kelemahannya sulit untuk diterapkan, tetapi hasilnya lebih besar.

Hipotesis ini dikonfirmasi oleh statistik zero-day untuk tahun 2021, dengan kerentanan iOS menyumbang 64% dari semua 17 serangan zero-day yang dieksploitasi yang menargetkan perangkat seluler pada tahun 2021.

OS seluler zero-days dieksploitasi di alam liar (Zimperium)

Zimperium juga menganalisis aplikasi paling populer dalam kategori keuangan, perawatan kesehatan, ritel, dan gaya hidup di Google Play Store dan Apple App Store. Kesimpulannya adalah bahwa aplikasi adalah titik tanggung jawab keamanan yang signifikan untuk perangkat seluler.

Evaluasi keamanan aplikasi massal Zimperium

Terutama, 80% aplikasi keuangan untuk Android menggunakan enkripsi yang rentan, sementara 82% aplikasi retail di iOS tidak memiliki perlindungan kode apa pun.

2022 Outlook
Survei Zimperium mengungkapkan bahwa 84% profesional keamanan saat ini telah mengaktifkan Microsoft Office 365 di perangkat seluler, dengan 38% di antaranya sedang dalam proses mengamankan penerapan ini pada fase kedua.

Statistik ini secara sempurna mencerminkan berapa banyak organisasi yang mengorbankan kontrol keamanan yang ketat untuk mendukung produktivitas dan kelangsungan bisnis selama masa perubahan dramatis.

Dibandingkan tahun-tahun sebelumnya, baik Google (Android) dan Apple (iOS) telah melangkah jauh dalam hal keamanan, dan sistem seluler mereka cukup kuat untuk mengesampingkan eksploitasi yang mudah.

Saat ini, pelaku ancaman dipaksa untuk menemukan dan mengaitkan berbagai kerentanan untuk mencapai tujuan yang berarti, sehingga serangan ini semakin sulit dilakukan.

Oleh karena itu, kunci untuk menjaga keamanan perangkat Anda adalah dengan mengurangi jumlah aplikasi yang diinstal seminimal mungkin. Sayangnya, semakin banyak aplikasi yang Anda gunakan, semakin besar risiko data Anda.

Terakhir, perbarui OS seluler Anda dengan menerapkan pembaruan keamanan yang tersedia, dan untuk Android, gunakan alat AV, aktifkan Play Protect, dan tinjau izin aplikasi secara teratur.

Sumber : Bleeping Computer