RCE

Bug Sage X3 RCE Kritis Memungkinkan Pengambilalihan Sistem

July 8, 2021 by Mally

Empat kerentanan menimpa platform perencanaan sumber daya perusahaan (ERP) Sage X3 yang populer, para peneliti menemukan – termasuk satu bug kritis yang memberi peringkat 10 dari 10 pada skala kerentanan-keparahan CVSS. Dua bug dapat digabungkan untuk memungkinkan pengambilalihan sistem secara keseluruhan, dengan potensi konsekuensi rantai pasokan, kata mereka.

Sage X3 ditargetkan untuk perusahaan menengah – khususnya produsen dan distributor – yang mencari fungsionalitas ERP all-in-one. Sistem ini mengelola penjualan, keuangan, inventaris, pembelian, manajemen hubungan pelanggan dan manufaktur dalam satu solusi perangkat lunak ERP terintegrasi.

Peneliti Rapid7 Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal dan William Vu, yang menemukan masalah (CVE-2020-7387 hingga -7390), mengatakan bahwa kelemahan paling parah ada pada fungsi administrator jarak jauh platform.

Dengan demikian, mereka mengatakan bahwa mungkin ada konsekuensi rantai pasokan untuk serangan yang berhasil (seperti Kaseya) jika platform digunakan oleh penyedia layanan terkelola untuk memberikan fungsionalitas ke bisnis lain.

Untuk mengeksploitasi masalah dan melewati proses otentikasi, aktor jahat dapat membuat permintaan khusus ke layanan yang terbuka. Penyerang siber harus menghindari dua komponen yang terlibat dalam pengiriman perintah untuk dieksekusi, kata para peneliti.

Pertama, penyerang harus mengetahui direktori instalasi layanan AdxAdmin, sehingga mereka dapat menentukan lokasi path lengkap untuk menulis file cmd yang akan dieksekusi.

Kedua, penyerang harus mengacaukan urutan otorisasi yang menyertakan kata sandi terenkripsi. Ini dapat dilakukan dengan menggunakan serangkaian paket yang menipu protokol otentikasi dan perintah AdxDSrv.exe, tetapi dengan satu modifikasi kritis.

Masalah ini memengaruhi versi platform V9, V11 dan V12.

Selengkapnya: Threat Post

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

July 7, 2021 by Mally

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Kerentanan dalam produk VMware memiliki tingkat keparahan 9.8 dari 10

May 27, 2021 by Mally

Pusat data di seluruh dunia memiliki masalah baru yang harus dihadapi — kerentanan kode jarak jauh dalam produk VMware yang banyak digunakan.

Cacat keamanan, yang diungkapkan dan diperbaiki VMware pada hari Selasa, berada di vCenter Server, alat yang digunakan untuk mengelola virtualisasi di pusat data besar.

Server vCenter digunakan untuk mengelola produk host vSphere dan ESXi VMware, yang menurut beberapa peringkat merupakan solusi virtualisasi terpopuler pertama dan kedua di pasar. Enlyft, situs yang menyediakan kecerdasan bisnis, menunjukkan bahwa lebih dari 43.000 organisasi menggunakan vSphere.

Penasihat VMware mengatakan bahwa mesin vCenter yang menggunakan konfigurasi default memiliki bug yang, di banyak jaringan, memungkinkan eksekusi kode berbahaya saat mesin dapat dijangkau pada port yang terpapar ke Internet. Kerentanan dilacak sebagai CVE-2021-21985 dan memiliki skor keparahan 9,8 dari 10.

Shodan, layanan yang membuat katalog situs yang tersedia di Internet, menunjukkan bahwa ada hampir 5.600 mesin vCenter yang dapat diakses publik. Sebagian besar atau semua dari mereka berada di pusat data besar yang berpotensi menampung terabyte data sensitif.

Shodan menunjukkan bahwa pengguna teratas dengan server vCenter yang terekspos di Internet adalah Amazon, Hetzner Online GmbH, OVH SAS, dan Google.

vCenter versi 6.5, 6.7, dan 7.0 semuanya terpengaruh. Organisasi dengan mesin yang rentan harus memprioritaskan tambalan ini. Mereka yang tidak dapat langsung menginstal harus mengikuti saran solusi Beaumont. VMware memiliki lebih banyak panduan solusi di sini.

Selengkapnya : Ars Technica

VMware memperbaiki bug RCE penting di vRealize Business for Cloud

May 6, 2021 by Mally

VMware telah merilis pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan kritis di vRealize Business for Cloud yang memungkinkan penyerang tidak terautentikasi mengeksekusi kode berbahaya dari jarak jauh di server yang rentan.

vRealize Business for Cloud adalah solusi manajemen bisnis cloud otomatis yang dirancang untuk memberi tim TI alat perencanaan, penganggaran, dan analisis biaya cloud.

Kerentanan keamanan dilacak sebagai CVE-2021-21984, dan memengaruhi peralatan virtual yang menjalankan VMware vRealize Business for Cloud sebelum versi 7.6.0.

Masalah ini ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Untuk memperbaiki kerentanan pada peralatan virtual yang menjalankan vRealize Business untuk versi Cloud yang rentan, Anda harus mengunduh file ISO Patch Keamanan dari halaman Unduhan VMware terlebih dahulu.

Selanjutnya, Anda harus melalui langkah-langkah berikut untuk menyelesaikan proses peningkatan:

Hubungkan drive CD-ROM vRealize Business for Cloud Server Appliance ke file ISO yang Anda unduh.
Masuk ke portal VAMI dari vRealize Business for Cloud menggunakan kredensial root
Klik pada tab Update di VAMI UI.
Klik pada Settings di bawah tab Update.
Pilih “Use CDROM Updates” di bawah “Update Repository” dan mount path tempat dimana Anda mengunggah file ISO dan Save Settings.
Klik Install Updates di bawah tab Status untuk meningkatkan ke versi ini.

Sumber: Bleeping Computer

Apple memperbaiki 2 kerentanan zero-day iOS yang digunakan secara aktif dalam serangan

May 4, 2021 by Mally

Hari ini, Apple telah merilis pembaruan keamanan yang memperbaiki dua kerentanan zero-day iOS yang dieksploitasi secara aktif di mesin Webkit yang digunakan oleh peretas untuk menyerang perangkat iPhone, iPad, iPod, macOS, dan Apple Watch.

Webkit adalah mesin rendering browser Apple yang harus digunakan oleh semua browser web seluler di iOS dan aplikasi lain yang membuat HTML, seperti Apple Mail dan App Store.

Kerentanan ini dilacak sebagai CVE-2021-30665 dan CVE-2021-30663, dan keduanya memungkinkan eksekusi kode jarak jauh (RCE) pada perangkat yang rentan hanya dengan mengunjungi situs web berbahaya.

Kerentanan RCE dianggap paling berbahaya karena memungkinkan penyerang menargetkan perangkat yang rentan dan menjalankan perintah pada perangkat tersebut dari jarak jauh.

Daftar perangkat yang terpengaruh meliputi:

iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, dan iPod touch (generasi ke-7)
macOS Big Sur
Apple Watch Series 3 dan lebih baru

Zero-day tersebut telah ditangani oleh Apple hari ini di iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, dan pembaruan watchOS 7.4.1. Pengguna disarankan untuk memperbarui perangkat mereka sesegera mungking.

Selengkapnya: Bleeping Computer

Oracle Memberikan 390 Perbaikan Keamanan Dengan CPU April 2021

April 22, 2021 by Mally

Oracle minggu ini mengumumkan rilis 390 perbaikan keamanan baru sebagai bagian dari Critical Patch Update (CPU) April 2021, termasuk tambalan untuk lebih dari 200 bug yang dapat dieksploitasi dari jarak jauh tanpa otentikasi.

Kumpulan patch keamanan triwulanan menangani total 41 kerentanan yang dianggap sebagai tingkat keparahan kritis, termasuk 5 yang menampilkan skor CVSS 10.

Kerentanan yang paling parah ini dapat dieksploitasi untuk mengeksekusi kode dari jarak jauh dalam konteks aplikasi yang rentan, yang berpotensi mengakibatkan kompromi sistem penuh.

Oracle’s E-Business Suite menerima patch untuk jumlah lubang keamanan terbesar, yaitu 70. Dari jumlah tersebut, 22 dapat dieksploitasi dari jarak jauh oleh penyerang yang tidak berkepentingan, Oracle mengungkapkan.

MySQL juga sangat terpengaruh, dengan tambalan untuk 49 kerentanan, 10 di antaranya dapat dieksploitasi dari jarak jauh tanpa otentikasi.

Organisasi disarankan untuk meninjau tambalan triwulanan Oracle dan menerapkan pembaruan perangkat lunak yang diperlukan sesegera mungkin, untuk memastikan mereka tetap terlindungi dari potensi serangan. Oracle mengatakan secara berkala menerima laporan serangan yang menargetkan kerentanan lama yang tambalannya sudah tersedia.

Menerapkan prinsip hak istimewa terendah, mendidik pengguna tentang phishing dan ancaman yang ditimbulkan oleh tautan dan lampiran dalam email, menjaga sistem selalu diperbarui, dan menjalankan perangkat lunak sebagai pengguna yang tidak memiliki hak istimewa akan membantu mengurangi potensi serangan dunia maya.

Sumber: Security Week

Kerentanan eksekusi kode jarak jauh di alat penggoreng pintar Cosori

April 20, 2021 by Mally

Cisco Talos baru-baru ini menemukan dua kerentanan eksekusi kode di alat penggoreng pintar Cosori.

Cosori Smart Air Fryer adalah alat dapur berkemampuan WiFi yang memasak makanan dengan berbagai metode dan pengaturan. Pengguna juga dapat menggunakan fitur Wi-Fi perangkat untuk memulai dan berhenti memasak, mencari panduan resep, dan memantau status memasak.

2 kerentanan yang ditemukan adalah TALOS-2020-1216 (CVE-2020-28592) dan TALOS-2020-1217 (CVE-2020-28593), kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk memasukkan kode dari jarak jauh ke dalam perangkat.

Ini secara hipotetis memungkinkan attacker untuk mengubah suhu, waktu memasak dan pengaturan pada penggoreng udara, atau memulainya tanpa sepengetahuan pengguna. Attacker harus memiliki akses fisik ke alat penggorengan agar beberapa kerentanan ini dapat bekerja.

Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan paket yang dibuat khusus ke perangkat yang berisi objek JSON unik, yang memungkinkan mereka mengeksekusi arbitrary code.

Talos menguji dan mengonfirmasi bahwa Cosori Smart 5.8-Quart Air Fryer CS158-AF, versi 1.1.0 dapat dieksploitasi oleh kerentanan ini.

Selengkapnya: Cisco Talos

Eksploitasi zero-day Google Chrome kedua dibagikan di twitter minggu ini

April 15, 2021 by Mally

Eksploitasi eksekusi kode jarak jauh zero-day Chromium kedua telah dirilis di Twitter minggu ini yang memengaruhi versi terbaru Google Chrome, Microsoft Edge, dan kemungkinan browser berbasis Chromium lainnya.

Kerentanan zero-day adalah ketika informasi mendetail tentang kerentanan atau exploit dirilis sebelum pengembang perangkat lunak yang terpengaruh dapat memperbaikinya. Kerentanan ini menimbulkan risiko yang signifikan bagi pengguna karena memungkinkan pelaku ancaman untuk mulai menggunakannya sebelum perbaikan dirilis.

Seorang peneliti keamanan yang dikenal sebagai frust menjatuhkan eksploitasi PoC di Twitter untuk bug zero-day browser berbasis Chromium yang menyebabkan aplikasi Windows Notepad terbuka.

another chrome 0dayhttps://t.co/QJy24ARKlU
Just here to drop a chrome 0day. Yes you read that right.

— frust (@frust93717815) April 14, 2021

Kerentanan zero-day baru ini muncul sehari setelah Google merilis Chrome 89.0.4389.128 untuk memperbaiki kerentanan zero-day Chromium lain yang dirilis secara publik pada hari Senin.

Frust merilis video yang menunjukkan kerentanan yang dieksploitasi untuk membuktikan bahwa eksploitasi PoC mereka berfungsi.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RCE

Cookies Settings