Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Patch

Patch

Fortinet Memperingatkan Cacat Bypass Otentikasi Baru yang Mempengaruhi FortiGate dan FortiProxy

by

Fortinet secara pribadi telah memperingatkan pelanggannya tentang kelemahan keamanan yang memengaruhi firewall FortiGate dan proksi web FortiProxy yang berpotensi memungkinkan penyerang melakukan tindakan tidak sah pada perangkat yang rentan.

Dilacak sebagai CVE-2022-40684 (skor CVSS: 9,6), kelemahan kritis berkaitan dengan kerentanan bypass otentikasi yang dapat mengizinkan musuh yang tidak diautentikasi untuk melakukan operasi sewenang-wenang pada antarmuka administratif melalui permintaan HTTP(S) yang dibuat khusus.
Keamanan cyber

Masalah ini berdampak pada versi berikut, dan telah diatasi di FortiOS versi 7.0.7 dan 7.2.2, dan FortiProxy versi 7.0.7 dan 7.2.1 dirilis minggu ini:

  • FortiOS – Dari 7.0.0 hingga 7.0.6 dan dari 7.2.0 hingga 7.2.1
  • FortiProxy – Dari 7.0.0 hingga 7.0.6 dan 7.2.0

“Karena kemampuan untuk mengeksploitasi masalah ini dari jarak jauh, Fortinet sangat menyarankan semua pelanggan dengan versi rentan untuk melakukan peningkatan segera,” perusahaan memperingatkan dalam peringatan yang dibagikan oleh peneliti keamanan yang menggunakan alias Gitworm di Twitter.

Sebagai solusi sementara, perusahaan merekomendasikan pengguna untuk menonaktifkan Administrasi HTTPS yang terhubung ke internet hingga pemutakhiran dapat dilakukan, atau sebagai alternatif, menerapkan kebijakan firewall untuk “lalu lintas masuk lokal.”

Ketika dihubungi untuk memberikan komentar, Fortinet mengakui nasihat itu dan mencatat bahwa itu menunda pemberitahuan publik sampai pelanggannya menerapkan perbaikan.

“Komunikasi yang tepat waktu dan berkelanjutan dengan pelanggan kami adalah komponen kunci dalam upaya kami untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Komunikasi pelanggan sering kali merinci panduan terbaru dan merekomendasikan langkah selanjutnya untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya.”

Selengkapnya: The Hacker News

VMware Merilis Patch untuk Beberapa Cacat Baru yang Mempengaruhi Banyak Produk

by

VMware telah merilis pembaruan untuk mengatasi 10 kelemahan keamanan yang memengaruhi beberapa produk yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan tindakan jahat.

Masalah, dilacak dari CVE-2022-31656 hingga CVE-2022-31665 (skor CVSS: 4,7 – 9,8), memengaruhi VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Kelemahan paling parah adalah CVE-2022-31656 (skor CVSS: 9,8), kerentanan bypass otentikasi yang memengaruhi pengguna domain lokal yang dapat dimanfaatkan oleh aktor jahat dengan akses jaringan untuk mendapatkan hak administratif.

Juga diselesaikan oleh VMware adalah tiga kerentanan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, dan CVE-2022-31665) terkait dengan JDBC dan injeksi SQL yang dapat dipersenjatai oleh musuh dengan administrator dan akses jaringan.

Di tempat lain, ia juga telah memperbaiki kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31663) yang dikatakan sebagai akibat dari sanitasi pengguna yang tidak tepat, yang dapat menyebabkan aktivasi kode JavaScript berbahaya.

Mengakhiri tambalan adalah tiga bug eskalasi hak istimewa lokal (CVE-2022-31660, CVE-2022-31661, dan CVE-2022-31664) yang mengizinkan aktor dengan akses lokal untuk meningkatkan hak istimewa ke “root”, kerentanan injeksi URL ( CVE-2022-31657), dan bug traversal jalur (CVE-2022-31662).

Sementara keberhasilan eksploitasi CVE-2022-31657 memungkinkan untuk mengarahkan ulang pengguna yang diautentikasi ke domain arbitrer, CVE-2022-31662 dapat melengkapi penyerang untuk membaca file dengan cara yang tidak sah.

VMware mengatakan tidak mengetahui eksploitasi kerentanan ini di alam liar, tetapi mendesak pelanggan yang menggunakan produk rentan untuk segera menerapkan tambalan untuk mengurangi potensi ancaman.

Sumber: The Hacker News

GitLab Mengeluarkan Patch Keamanan untuk Kerentanan Kritis Pengambilalihan Akun

by

GitLab telah bergerak untuk mengatasi kelemahan keamanan kritis dalam layanannya yang, jika berhasil dieksploitasi, dapat mengakibatkan pengambilalihan akun.

Dilacak sebagai CVE-2022-1680, masalah ini memiliki skor keparahan CVSS 9,9 dan ditemukan secara internal oleh perusahaan. Kelemahan keamanan mempengaruhi semua versi GitLab Enterprise Edition (EE) mulai dari 11.10 sebelum 14.9.5, semua versi mulai dari 14.10 sebelum 14.10.4, dan semua versi mulai dari 15.0 sebelum 15.0.1.

“Ketika grup SAML SSO dikonfigurasi, fitur SCIM (hanya tersedia pada langganan Premium+) dapat mengizinkan pemilik grup Premium untuk mengundang pengguna sewenang-wenang melalui nama pengguna dan email mereka, lalu mengubah alamat email pengguna tersebut melalui SCIM menjadi email yang dikendalikan penyerang alamat dan dengan demikian – dengan tidak adanya 2FA – mengambil alih akun tersebut,” kata GitLab.

Setelah mencapai ini, aktor jahat juga dapat mengubah nama tampilan dan nama pengguna akun yang ditargetkan, penyedia platform DevOps memperingatkan dalam nasihatnya yang diterbitkan pada 1 Juni 2022.

Juga diselesaikan oleh GitLab dalam versi 15.0.1, 14.10.4, dan 14.9.5 adalah tujuh kerentanan keamanan lainnya, dua di antaranya berperingkat tinggi, empat berperingkat sedang, dan satu berperingkat rendah dalam tingkat keparahan.

Pengguna yang menjalankan instalasi yang terpengaruh dari bug yang disebutkan di atas disarankan untuk meningkatkan ke versi terbaru sesegera mungkin.

Selengkapnya: The Hacker News

Pakar Merincikan Kerentanan RCE Baru yang Mempengaruhi Google Chrome Developer Channel

by

Detail telah muncul tentang kerentanan eksekusi kode jarak jauh kritis yang baru-baru ini ditambal di JavaScript V8 dan mesin WebAssembly yang digunakan di Google Chrome dan browser berbasis Chromium.

Masalah ini berkaitan dengan kasus penggunaan-setelah-bebas dalam komponen pengoptimalan instruksi, eksploitasi yang berhasil dapat “memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks browser.”

Cacat, yang diidentifikasi dalam versi saluran Dev Chrome 101, dilaporkan ke Google oleh Weibo Wang, seorang peneliti keamanan di perusahaan keamanan siber Singapura Numen Cyber Technology dan sejak itu telah diperbaiki secara diam-diam oleh perusahaan.

“Kerentanan ini terjadi pada tahap pemilihan instruksi, di mana instruksi yang salah telah dipilih dan mengakibatkan pengecualian akses memori,” kata Wang.

Cacat penggunaan-setelah-bebas terjadi ketika memori yang sebelumnya dibebaskan diakses, menyebabkan perilaku tidak terdefinisi dan menyebabkan program macet, menggunakan data yang rusak, atau bahkan mencapai eksekusi kode arbitrer.

Yang lebih memprihatinkan adalah bahwa kelemahan tersebut dapat dieksploitasi dari jarak jauh melalui situs web yang dirancang khusus untuk melewati batasan keamanan dan menjalankan kode arbitrer untuk mengkompromikan sistem yang ditargetkan.

“Kerentanan ini dapat dieksploitasi lebih lanjut dengan menggunakan teknik penyemprotan heap, dan kemudian mengarah pada kerentanan ‘kebingungan tipe’,” jelas Wang. “Kerentanan memungkinkan penyerang untuk mengontrol pointer fungsi atau menulis kode ke lokasi arbitrer di memori, dan akhirnya mengarah pada eksekusi kode.”

Selengkapnya: The Hacker News

Intel mengungkapkan banyak masalah keamanan pada perangkat keras mereka, tambal sekarang!

by

Intel telah mengumumkan sejumlah bug firmware, yang dapat memungkinkan endpoint seperti server pusat data, workstation, perangkat seluler, dan produk penyimpanan dikompromikan.

Bug, pertama kali dilaporkan oleh The Register, bug tersebut dapat memungkinkan aktor jahat membocorkan informasi dan meningkatkan hak istimewa mereka, dan diberi label oleh Intel sebagai “keparahan tinggi”.

Daftar lengkap produk yang mungkin terpengaruh oleh kerentanan dapat ditemukan di sini, yang mencakup Prosesor Intel Core Generasi ke-10 dan Prosesor Intel Core X-series.

Sayangnya, bug di atas bukanlah satu-satunya bug yang dapat diumumkan oleh Intel.

Kerentanan keamanan potensial di Prosesor Intel yang memungkinkan kebocoran informasi juga diumumkan, meskipun ini hanya dijuluki “keparahan rendah” oleh Intel.

Intel mengatakan bahwa “Perbedaan perilaku yang dapat diamati di beberapa prosesor Intel memungkinkan pengguna yang berwenang untuk berpotensi mengaktifkan pengungkapan informasi melalui akses lokal.”

Bug tersebut berpotensi mempengaruhi semua keluarga prosesor Intel menurut raksasa perangkat keras tersebut.

Intel merekomendasikan bahwa produk apa pun yang terpengaruh harus menggunakan instruksi LFENCE “setelah memuat yang harus mengamati penulisan dari utas lain ke alamat memori bersama yang sama”.

Firewall mungkin tidak cukup dengan sendirinya dalam iklim saat ini, bukan hanya Intel yang memiliki potensi kerentanan keamanan perangkat keras yang beredar.

Peneliti akademis telah menunjukkan strategi serangan yang berhasil untuk menyiasati perlindungan yang diberikan oleh teknologi Secure Encrypted Virtualization (SEV) AMD yang terkenal.

Siapa pun yang tertarik untuk mengetahui lebih banyak bug dan memiliki informasi tentang masalah keamanan atau kerentanan dengan produk atau teknologi bermerek Intel dapat mengirimkannya melalui email ke secure@intel.com, setelah mengenkripsi informasi sensitif menggunakan kunci publik PGP-nya.

Permintaan untuk keamanan perangkat keras yang lebih besar ada di sana menurut penelitian Intel sendiri.

Survei, berdasarkan berbicara kepada 1.406 orang di seluruh Amerika Serikat, Eropa, Timur Tengah, Afrika, dan Amerika Latin, menemukan 75% responden menyatakan minatnya pada pendekatan berbasis perangkat keras untuk keamanan, sementara 40% menyatakan minatnya pada “keamanan di tingkat silikon”.

Selengkapnya: Tech Radar

CISA memerintahkan agensi untuk memperbaiki VMware, bug Chrome yang dieksploitasi secara aktif

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sembilan kelemahan keamanan ke daftar bug yang dieksploitasi secara aktif, termasuk cacat eskalasi hak istimewa VMware dan Google Chrome zero-day yang dapat digunakan untuk eksekusi kode jarak jauh.

Kerentanan VMware (CVE-2022-22960) telah ditambal pada tanggal 6 April, dan memungkinkan penyerang untuk meningkatkan hak istimewa untuk melakukan root pada server yang rentan karena izin yang tidak tepat dalam skrip dukungan.

Chrome zero-day juga disertakan dalam katalog CISA’s Known Exploited Vulnerabilities (KEV), bug yang dilacak sebagai CVE-2022-1364 dan memungkinkan eksekusi kode jarak jauh karena kelemahan kebingungan tipe V8.

Semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus menambal sistem mereka terhadap bug keamanan ini setelah ditambahkan ke daftar KEV CISA menurut arahan operasional yang mengikat November (BOD 22-01).

Mereka diberi waktu tiga minggu untuk mengurangi kekurangan hingga 6 Mei untuk memastikan bahwa upaya eksploitasi yang sedang berlangsung akan diblokir.

CISA menambahkan tujuh kerentanan keamanan lainnya ke katalognya hari ini, semuanya disalahgunakan dalam serangan yang sedang berlangsung.

CVE Table

Pada hari Kamis, CISA juga menambahkan bug eksekusi kode jarak jauh VMware kritis (CVE-2022-22954), sekarang digunakan dalam serangan untuk menyebarkan muatan cryptominer.

Selengkapnya: Bleeping Computer

Mengapa Google memperingatkan pengguna Android untuk memperbarui Microsoft Teams secepatnya

by

Google telah mengirimkan peringatan penting kepada pengguna Android tentang aplikasi Microsoft Teams.

Sebuah bug ditemukan di aplikasi Microsoft Teams versi Android bulan lalu yang dapat memblokir panggilan yang dilakukan ke nomor darurat.

Awalnya, diperkirakan hanya panggilan yang dilakukan ke nomor darurat AS, 911, yang diblokir tetapi sekarang Google telah mengungkapkan panggilan ke nomor darurat lain seperti 999 di Inggris dan 112 di Eropa juga dapat terpengaruh.

Meskipun perbaikan penuh akan datang ke ponsel Android pada pembaruan Januari 2022, Google telah mengeluarkan email kepada semua pengguna yang mendesak mereka untuk memperbarui aplikasi Microsoft Teams mereka.

Email yang dikirim oleh Google mengatakan: “Halo, Anda mungkin memiliki versi aplikasi Microsoft Teams yang diinstal pada perangkat Android yang mungkin secara tidak sengaja mencegah panggilan darurat (misalnya 911, 999, 112, dll. tergantung pada wilayah Anda) saat Anda berada tidak masuk ke aplikasi.

“Masalah ini disebabkan oleh interaksi yang tidak disengaja antara aplikasi Microsoft Teams dan sistem operasi Android yang mendasarinya. Silakan kunjungi Google Play Store dan segera perbarui ke versi terbaru Microsoft Teams.”

Pesan tersebut menambahkan: “Jika Anda telah memperbarui aplikasi Microsoft Teams setelah 10 Desember 2021, Anda dapat mengabaikan email ini.”

Versi terbaru Microsoft Teams untuk Android dirilis pada 18 Desember, dengan build 1416/1.0.0.2021195305.

Selengkapnya: NYPost

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

by

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer