Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for RCE

RCE

Cacti: Eksekusi Kode Jarak Jauh yang Tidak Diautentikasi

by

Cacti adalah solusi pemantauan berbasis web open-source dengan sejarah panjang sejak rilis pertamanya pada tahun 2001. Saat ini, Cacti sudah mapan, dipelihara secara aktif, dan digunakan di seluruh dunia. Pencarian cepat Shodan mengungkapkan bahwa ribuan organisasi secara publik memaparkan kasus mereka ke internet.

Untuk terus meningkatkan teknologi di balik solusi Kode Bersih kami, kami secara rutin memindai proyek sumber terbuka dan mengevaluasi hasilnya. Dalam kasus Cacti, mesin kami melaporkan kerentanan injeksi perintah yang menjanjikan. Menganalisis temuan ini mengungkapkan bahwa penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan memanfaatkan bypass autentikasi.

Artikel ini akan menguraikan dampak dan mendalami detail teknis dari kerentanan yang ditemukan. Selanjutnya, kami akan menentukan akar penyebab kerentanan dan menjelaskan bagaimana tambalan yang diterapkan menguranginya.

Kerentanan memengaruhi Cacti versi 1.2.22 dan yang lebih lama dan dilacak sebagai CVE-2022-46169 dengan skor CVSS 9,8. Penyerang yang tidak diautentikasi dapat mengeksploitasi instance Cacti yang rentan jika ada perangkat yang dipantau menggunakan sumber data tertentu. Eksploitasi memungkinkan penyerang untuk menjalankan perintah sewenang-wenang di bawah pengguna yang sama saat proses server web sedang berjalan.

Nasihat keamanan berisi tambalan yang harus diterapkan oleh administrator sistem secara manual untuk Cacti versi 1.2.22 dan yang lebih lama. Patch akan dirilis sebagai bagian dari versi 1.2.23 dan 1.3.0.

Selengkapnya: Sonar Source

OpenEMR – Eksekusi Kode Jarak Jauh di Sistem Kesehatan Anda

by

OpenEMR adalah perangkat lunak sumber terbuka paling populer untuk catatan kesehatan elektronik dan manajemen praktik medis. Ini digunakan di seluruh dunia untuk mengelola data pasien yang sensitif, termasuk informasi tentang pengobatan, nilai laboratorium, dan penyakit.

Pasien menggunakan OpenEMR untuk menjadwalkan janji temu, berkomunikasi dengan dokter, dan membayar tagihan online. Secara khusus, di masa-masa sulit dari pandemi yang sedang berlangsung ini, ini adalah data yang sangat sensitif, dan melindunginya menjadi perhatian semua orang.

Selama riset keamanan peneliti terhadap aplikasi web populer, peneliti menemukan beberapa kerentanan kode di OpenEMR. Kombinasi dari kerentanan ini memungkinkan penyerang jarak jauh untuk mengeksekusi perintah sistem sewenang-wenang pada server OpenEMR mana pun dan mencuri data pasien yang sensitif. Dalam kasus terburuk, mereka dapat membahayakan seluruh infrastruktur penting.

Mesin SAST peneliti menemukan dua kerentanan kode yang, bersama-sama, menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi.

OpenEMR tidak selalu dapat menjamin bahwa proses penyiapan akan sepenuhnya menghapus file instalasi. Jika Anda mengembangkan aplikasi dengan alur penyiapan bawaan, Anda harus memutuskan apakah Anda sengaja menyimpannya (dalam kasus OpenEMR) atau mencoba menghapusnya.

Bagaimanapun, Anda harus selalu memeriksa apakah aplikasi sudah diinstal terlebih dahulu. Jika demikian, eksekusi harus dihentikan sesegera mungkin. Selain itu, selalu berusaha membersihkan setiap masukan pengguna dan menerapkan pembersih masing-masing dalam konteks tertentu.

Selengkapnya: Sonar Source

Kerentanan RCE Kritis Ditemukan di Perangkat Lunak Peretasan Cobalt Strike Populer

by

HelpSystems, perusahaan di balik platform perangkat lunak Cobalt Strike, telah merilis pembaruan keamanan out-of-band untuk mengatasi kerentanan eksekusi kode jarak jauh yang memungkinkan penyerang mengambil kendali sistem yang ditargetkan.

Cobalt Strike adalah kerangka kerja tim merah komersial yang terutama digunakan untuk simulasi musuh, tetapi versi perangkat lunak yang retak telah disalahgunakan secara aktif oleh operator ransomware dan kelompok ancaman persisten lanjutan (APT) yang berfokus pada spionase.

Alat pasca-eksploitasi terdiri dari server tim, yang berfungsi sebagai komponen perintah-dan-kontrol (C2), dan suar, malware default yang digunakan untuk membuat koneksi ke server tim dan menjatuhkan muatan tahap berikutnya.

Masalah ini, dilacak sebagai CVE-2022-42948, memengaruhi Cobalt Strike versi 4.7.1, dan berasal dari tambalan tidak lengkap yang dirilis pada 20 September 2022, untuk memperbaiki kerentanan skrip lintas situs (XSS) (CVE-2022-39197) yang dapat menyebabkan eksekusi kode jarak jauh.

“Kerentanan XSS dapat dipicu dengan memanipulasi beberapa bidang input UI sisi klien, dengan mensimulasikan check-in implan Cobalt Strike atau dengan mengaitkan implan Cobalt Strike yang berjalan pada host,” kata peneliti IBM X-Force, Rio Sherri dan Ruben Boonen. dalam sebuah tulisan.

Namun, ditemukan bahwa eksekusi kode jarak jauh dapat dipicu dalam kasus tertentu menggunakan kerangka Java Swing, perangkat antarmuka pengguna grafis yang digunakan untuk merancang Cobalt Strike.

“Komponen tertentu dalam Java Swing akan secara otomatis menafsirkan teks apa pun sebagai konten HTML jika dimulai dengan ,” Greg Darwin, manajer pengembangan perangkat lunak di HelpSystems, menjelaskan dalam sebuah posting. “Menonaktifkan penguraian otomatis tag html di seluruh klien sudah cukup untuk mengurangi perilaku ini.”

Ini berarti bahwa aktor jahat dapat mengeksploitasi perilaku ini melalui tag HTML, menggunakannya untuk memuat muatan khusus yang dihosting di server jauh dan menyuntikkannya ke dalam bidang catatan serta menu penjelajah file grafis di Cobalt menyerang UI.

Temuan ini muncul sedikit lebih dari seminggu setelah Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) memperingatkan senjata lanjutan dari alat yang sah seperti Cobalt Strike dalam serangan yang ditujukan pada sektor perawatan kesehatan.

Sumber: The Hackernews

Router Bisnis Cisco Ditemukan Rentan terhadap Kelemahan Peretasan Jarak Jauh yang Kritis

by

Cisco pada hari Rabu meluncurkan tambalan untuk mengatasi delapan kerentanan keamanan, tiga di antaranya dapat dipersenjatai oleh penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) atau menyebabkan kondisi penolakan layanan (DoS) pada perangkat yang terpengaruh.

Kelemahan yang paling kritis berdampak pada router Cisco Small Business RV160, RV260, RV340, dan RV345 Series. Dilacak sebagai CVE-2022-20842 (skor CVSS: 9,8), kelemahan tersebut berasal dari validasi input yang diberikan pengguna ke antarmuka manajemen perangkat berbasis web yang tidak mencukupi.

Kelemahan kedua berkaitan dengan kerentanan injeksi perintah yang berada di fitur pembaruan basis data filter web router (CVE-2022-20827, skor CVSS: 9.0), yang dapat dimanfaatkan oleh musuh untuk menyuntikkan dan menjalankan perintah sewenang-wenang pada sistem operasi yang mendasarinya. dengan hak akses root.

Cacat terkait router ketiga yang harus diselesaikan (CVE-2022-20841, skor CVSS: 8.0) juga merupakan bug injeksi perintah dalam modul Open Plug-n-Play (PnP) yang dapat disalahgunakan dengan mengirimkan input berbahaya untuk mencapai eksekusi kode pada host Linux yang ditargetkan.

“Untuk mengeksploitasi kerentanan ini, penyerang harus memanfaatkan posisi man-in-the-middle atau memiliki pijakan yang mapan pada perangkat jaringan tertentu yang terhubung ke router yang terpengaruh,” kata pembuat peralatan jaringan tersebut.

Juga ditambal oleh Cisco adalah lima kelemahan keamanan menengah yang memengaruhi Rapat Webex, Mesin Layanan Identitas, Manajer Komunikasi Terpadu, dan Platform Pengiriman Aplikasi BroadWorks.

Perusahaan tidak menawarkan solusi untuk memperbaiki masalah, menambahkan tidak ada bukti kerentanan ini dieksploitasi di alam liar. Konon, pelanggan disarankan untuk bergerak cepat untuk menerapkan pembaruan.

The Hacker News

Pembaruan Android Juni 2022 membawa perbaikan untuk kerentanan RCE yang kritis

by

Google telah merilis pembaruan keamanan Juni 2022 untuk perangkat Android yang menjalankan OS versi 10, 11, dan 12, memperbaiki 41 kerentanan, lima dinilai kritis.

Pembaruan keamanan dipisahkan menjadi dua tingkat, dirilis pada 1 Juni dan 5 Juni. Yang pertama berisi tambalan untuk sistem Android dan komponen kerangka kerja dan yang kedua mencakup pembaruan untuk kernel dan komponen sumber tertutup vendor pihak ketiga.

Dari lima kerentanan kritis yang ditangani bulan ini, salah satu yang menonjol adalah CVE-2022-20210, kelemahan eksekusi kode jarak jauh yang dapat dimanfaatkan oleh pelaku ancaman tanpa prasyarat yang sangat menuntut.

Cacat eksekusi kode jarak jauh sangat parah karena dapat menyebabkan pengungkapan informasi, kompromi sistem tingkat tinggi, dan pengambilalihan perangkat secara menyeluruh.

Dua perbaikan penting lainnya yang mendarat dengan tingkat tambalan pertama menyangkut CVE-2022-20140 dan CVE-2022-20145, keduanya eskalasi tingkat keparahan kritis dari kelemahan hak istimewa.

Jenis kerentanan ini biasanya dimanfaatkan oleh malware yang telah menyelinap ke perangkat melalui jalur dengan hak istimewa rendah seperti menginstal aplikasi yang tampaknya tidak berbahaya untuk meningkatkan eksekusi atau otorisasi akses seperti yang diperlukan untuk maksud jahat.

Cacat kritis keempat yang diatasi melalui level patch “1 Juni 2022” adalah CVE-2022-20130, yang terletak pada komponen Media Codec.

Perbaikan cacat kritis kelima hanya menyangkut chip Unisoc, jadi itu hanya tersedia melalui level patch “5 Juni 2022”.

Dilacak sebagai CVE-2022-20210, kerentanan ini diungkapkan awal bulan ini oleh para peneliti di Check Point, yang menemukan bahwa mungkin untuk menetralkan komunikasi radio perangkat dengan menggunakan paket yang cacat.

Unisoc menyumbang sekitar 11% dari pasar Android, sebagian besar ditemukan di perangkat yang terjangkau atau kasar yang digunakan di militer, dll.

Menerapkan pembaruan yang tersedia segera setelah tersedia untuk perangkat Anda sangat penting, meskipun tidak ada kerentanan di atas yang saat ini ditandai sebagai dieksploitasi secara aktif.

Perlu dicatat bahwa bulan ini, Samsung mengalahkan Google satu hari, meluncurkan patch Juni yang berisi semua perbaikan yang disebutkan di atas sejak kemarin.

Jika perangkat Anda tidak lagi didukung oleh vendor dan telah berhenti menerima pembaruan keamanan, sebaiknya gunakan distribusi Android pihak ketiga yang menyertakan patch terbaru dan fitur keamanan untuk model lama.

Sumber: Bleeping Computer

Zyxel diam-diam memperbaiki kerentanan RCE kritis dalam produk firewall

by

Analis ancaman yang menemukan kerentanan yang memengaruhi beberapa produk Zyxel melaporkan bahwa perusahaan peralatan jaringan memperbaikinya melalui pembaruan diam yang dikeluarkan dua minggu lalu.

Lebih khusus lagi, peneliti keamanan di Rapid7 menemukan kelemahan tersebut, yang sekarang dilacak sebagai CVE-2022-30525 (skor CVSS v3: 9,8 – kritis), dan mengungkapkannya kepada Zyxel pada 13 April 2022.

Cacatnya adalah injeksi perintah jarak jauh yang tidak diautentikasi melalui antarmuka HTTP, yang memengaruhi firewall Zyxel yang mendukung Zero Touch Provisioning (ZTP). Versi firmware yang terpengaruh adalah ZLD5.00 hingga ZLD5.21 Patch 1.

CVE-2022-30525 berdampak pada model berikut:

USG FLEX 50, 50W, 100W, 200, 500, 700 menggunakan firmware 5.21 ke bawah
USG20-VPN dan USG20W-VPN menggunakan firmware 5.21 ke bawah
ATP 100, 200, 500, 700, 800 menggunakan firmware 5.21 dan di bawah
Produk ini biasanya digunakan di cabang kecil dan kantor pusat perusahaan untuk VPN, inspeksi SSL, perlindungan intrusi, keamanan email, dan pemfilteran web.

“Perintah dijalankan sebagai pengguna “bukan siapa-siapa”. Kerentanan ini dieksploitasi melalui /ztp/cgi-bin/handler URI dan merupakan hasil dari meneruskan input penyerang yang tidak bersih ke dalam metode os.system di lib_wan_settings.py,” jelas laporan Rapid 7.

“Fungsi yang rentan dipanggil terkait dengan perintah setWanPortSt. Seorang penyerang dapat menyuntikkan perintah sewenang-wenang ke dalam mtu atau parameter data.”

Zyxel mengkonfirmasi laporan dan validitas cacat dan berjanji untuk merilis pembaruan keamanan perbaikan pada Juni 2022, namun mereka merilis tambalan pada 28 April 2022, tanpa memberikan nasihat keamanan, detail teknis, atau panduan mitigasi kepada pelanggannya.

Hari ini, Rapid 7 menerbitkan laporan pengungkapannya bersama dengan modul Metasploit yang sesuai yang mengeksploitasi CVE-2022-30525 dengan menyuntikkan perintah di bidang MTU.

Peneliti yang menemukan cacat dan mengembangkan eksploitasi yang berfungsi untuk pengujian, Jake Baines, juga telah menerbitkan video demonstrasi berikut.

Konsekuensi khas dari serangan semacam itu adalah modifikasi file dan eksekusi perintah OS, yang memungkinkan pelaku ancaman mendapatkan akses awal ke jaringan dan menyebar secara lateral melalui jaringan.

“Firewall Zxyel yang terpengaruh oleh CVE-2022-30525 adalah apa yang biasanya kami sebut sebagai “poros jaringan”. Eksploitasi CVE-2022-30525 kemungkinan akan memungkinkan penyerang membangun pijakan di jaringan internal korban,” kata Rapid7 kepada BleepingComputer.

“Contoh nyata dari serangan semacam ini adalah serangan Phineas Fisher terhadap Tim Peretasan, di mana Fisher mengeksploitasi firewall/VPN yang menghadap internet.”

“Setelah Fisher memiliki akses penuh ke firewall/VPN, mereka dapat berpindah secara lateral ke sistem internal (misalnya database MongoDB, penyimpanan NAS, server Exchange).”

Karena detail teknis dari kerentanan telah dirilis dan sekarang didukung oleh Metasploit, semua admin harus segera memperbarui perangkat mereka sebelum pelaku ancaman mulai secara aktif mengeksploitasi kelemahan tersebut.

Rapid 7 melaporkan bahwa pada saat penemuan, setidaknya ada 16.213 sistem rentan yang terpapar ke internet, menjadikan kerentanan ini sebagai target yang menarik bagi pelaku ancaman.

Hasil Shodan dari firewall Zyxel yang rentan (Rapid7)

Jika pembaruan ke versi terbaru yang tersedia tidak memungkinkan, Anda disarankan untuk setidaknya menonaktifkan akses WAN ke antarmuka web administratif produk yang terpengaruh.

Sumber: Bleeping Computer

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Kelemahan PHP Everywhere RCE mengancam ribuan situs WordPress

by

Para peneliti menemukan tiga kerentanan eksekusi kode jarak jauh (RCE) kritis di plugin ‘PHP Everywhere’ untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia.

PHP Everywhere adalah plugin yang memungkinkan admin WordPress untuk memasukkan kode PHP di halaman, posting, bilah sisi, atau blok Gutenberg apa pun, dan menggunakannya untuk menampilkan konten dinamis berdasarkan ekspresi PHP yang dievaluasi.

Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh kontributor atau pelanggan, memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya.

Berikut adalah deskripsi singkat tentang kekurangannya:

  • CVE-2022-24663 – Cacat eksekusi kode jarak jauh yang dapat dieksploitasi oleh pelanggan mana pun dengan mengizinkan mereka mengirim permintaan dengan parameter ‘kode pendek’ yang disetel ke PHP Everywhere, dan mengeksekusi kode PHP sewenang-wenang di situs. (Skor CVSS v3: 9,9)
  • CVE-2022-24664 – Kerentanan RCE yang dapat dieksploitasi oleh kontributor melalui metabox plugin. Penyerang akan membuat postingan, menambahkan metabox kode PHP, dan kemudian mempratinjaunya. (Skor CVSS v3: 9,9)
  • CVE-2022-24665 – Cacat RCE dapat dieksploitasi oleh kontributor yang memiliki kemampuan ‘edit_posts’ dan dapat menambahkan blok PHP Everywhere Gutenberg. Pengaturan keamanan default pada versi plugin yang rentan tidak pada ‘hanya admin’ sebagaimana mestinya. (Skor CVSS v3: 9,9)

Sementara dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi pelanggan di situs.

Dalam semua kasus, mengeksekusi kode arbitrer di situs dapat menyebabkan pengambilalihan situs secara lengkap, yang merupakan skenario terburuk dalam keamanan situs web.

Vendor merilis pembaruan keamanan pada 10 Januari 2022, dengan versi 3.0.0, yang mengalami peningkatan nomor versi utama karena memerlukan penulisan ulang kode yang substansial.

Sementara pengembang memperbaiki pembaruan bulan lalu, tidak jarang admin tidak memperbarui situs dan plugin WordPress mereka secara teratur. Menurut statistik unduhan di WordPress.org, hanya 15.000 pemasangan dari 30.000 yang telah memperbarui plugin sejak bug diperbaiki.

Oleh karena itu, karena parahnya kerentanan ini, semua pengguna PHP Everywhere sangat disarankan untuk memastikan bahwa mereka telah mengupgrade ke PHP Everywhere versi 3.0.0 yang merupakan versi terbaru yang tersedia saat ini.

Sumber : Bleeping Computer