Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Remote Code Execution

Remote Code Execution

Eksploitasi dirilis untuk GoAnywhere MFT Zero-day yang Dieksploitasi Secara Aktif

by

Kode eksploit telah dirilis untuk kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi konsol administrator MFT GoAnywhere yang terpapar Internet.

GoAnywhere MFT adalah alat transfer file berbasis web dan terkelola yang dirancang untuk membantu organisasi mentransfer file secara aman dengan mitra dan menyimpan log audit siapa yang mengakses file bersama.

Pengembangnya adalah Fortra (sebelumnya dikenal sebagai HelpSystems), pakaian di balik alat emulasi ancaman Cobalt Strike yang banyak disalahgunakan.

Fortra mengatakan bahwa “vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam banyak kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di cloud lingkungan, seperti Azure atau AWS).”

Namun, pemindaian Shodan menunjukkan bahwa hampir 1.000 instans GoAnywhere terekspos di Internet, meskipun lebih dari 140 berada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).

Untuk menonaktifkan server lisensi, admin harus mengomentari atau menghapus servlet dan konfigurasi pemetaan servlet untuk Servlet Respons Lisensi di file web.xml untuk menonaktifkan titik akhir yang rentan. Restart diperlukan untuk menerapkan konfigurasi baru.

“Ini termasuk kata sandi dan kunci yang digunakan untuk mengakses sistem eksternal apa pun yang terintegrasi dengan GoAnywhere.

“Pastikan bahwa semua kredensial telah dicabut dari sistem eksternal tersebut dan tinjau log akses relevan yang terkait dengan sistem tersebut. Ini juga termasuk kata sandi dan kunci yang digunakan untuk mengenkripsi file di dalam sistem.”

Fortra juga merekomendasikan untuk mengambil langkah-langkah berikut setelah mitigasi di lingkungan dengan kecurigaan atau bukti adanya serangan:

  • Rotate Master Encryption Key.
  • Reset credentials – keys and/or passwords – for all external trading partners/systems.
  • Review audit logs dan delete semua suspicious admin and/or web user accounts
  • kontak support via the portal https://my.goanywhere.com/, email goanywhere.support@helpsystems.com, atau telephone 402-944-4242 for further assistance.

sumber : bleepingcomputer

Git menambal dua kelemahan keamanan eksekusi kode jarak jauh yang kritis

by

Git telah menambal dua kerentanan keamanan tingkat kritis yang memungkinkan penyerang mengeksekusi kode arbitrer setelah berhasil mengeksploitasi kelemahan buffer overflow berbasis heap.

Cacat khusus Windows ketiga yang memengaruhi alat Git GUI yang disebabkan oleh kelemahan jalur pencarian yang tidak tepercaya memungkinkan pelaku ancaman yang tidak diautentikasi untuk menjalankan serangan dengan kompleksitas kode rendah yang tidak tepercaya.

Dua kerentanan pertama (CVE-2022-41903 dalam mekanisme pemformatan komit dan CVE-2022-23521 dalam parser .gitattributes) ditambal pada hari Rabu dalam versi baru kembali ke v2.30.7.

Yang ketiga, dilacak sebagai CVE-2022-41953, masih menunggu tambalan, tetapi pengguna dapat mengatasi masalah tersebut dengan tidak menggunakan perangkat lunak Git GUI untuk mengkloning repositori atau menghindari kloning dari sumber yang tidak tepercaya.

Pakar keamanan dari X41 (Eric Sesterhenn dan Markus Vervier) dan GitLab (Joern Schneeweisz) menemukan kerentanan ini sebagai bagian dari audit kode sumber keamanan Git yang disponsori oleh OSTIF.

Pengguna yang tidak dapat segera memperbarui untuk mengatasi bug eksekusi kode jarak jauh kritis CVE-2022-41903 juga dapat mengambil tindakan berikut untuk memastikan bahwa penyerang tidak dapat menyalahgunakan fungsionalitas Git yang rentan:

  • Nonaktifkan ‘arsip git’ di repositori yang tidak dipercaya atau hindari menjalankan perintah pada repo yang tidak dipercaya
  • Jika ‘arsip git’ diekspos melalui ‘daemon git,’ nonaktifkan saat bekerja dengan repositori yang tidak tepercaya dengan menjalankan perintah ‘git config –global daemon.uploadArch false’

“Kami sangat menyarankan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah [..] dimutakhirkan ke versi terbaru sesegera mungkin,” GitLab memperingatkan.

sumber : bleepingcomputer

Kelompok Ransomware Menggunakan Eksploit Microsoft Exchange Baru Untuk Menembus Server

by

Pelaku ancaman ransomware Play menggunakan rantai eksploit baru yang melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan cybersecurity CrowdStrike melihat eksploit (dijuluki OWASSRF) saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

OWASSRF PoC exploit (BleepingComputer)

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security.

OWASSRF PoC exploit leaked online
Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14.

CrowdStrike percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi.

Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Aktifitas Play Ransomware (ID Ransomware)

Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan.

Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.

sumber : bleeping computer

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

by

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

  • Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
  • Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
  • Citrix ADC 12.1-FIPS before 12.1-55.291
  • Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Cisco mengungkapkan kerentanan zero-day tingkat tinggi pada IP Phone dengan exploit code

by

Cisco hari ini mengungkapkan kerentanan zero-day dengan tingkat keparahan tinggi yang memengaruhi generasi terbaru telepon IP-nya dan membuat mereka terkena eksekusi kode jarak jauh dan serangan denial of service (DoS).

Namun, PSIRT Cisco menambahkan bahwa pihaknya belum mengetahui adanya upaya untuk mengeksploitasi kelemahan keamanan ini dalam serangan.

CVE-2022-20968, saat kelemahan keamanan dilacak, disebabkan oleh validasi input yang tidak mencukupi dari paket Cisco Discovery Protocol yang diterima, yang dapat dieksploitasi oleh penyerang yang berdekatan dan tidak diautentikasi untuk memicu stack overflow.

Perangkat yang terpengaruh termasuk telepon IP Cisco yang menjalankan firmware Seri 7800 dan 8800 versi 14.2 dan sebelumnya.

Mitigasi tersedia untuk beberapa perangkat

Meskipun pembaruan keamanan untuk mengatasi CVE-2022-20968 atau solusinya belum tersedia, Cisco memberikan saran mitigasi untuk admin yang ingin mengamankan perangkat yang rentan di lingkungannya dari potensi serangan.

Ini memerlukan penonaktifan Cisco Discovery Protocol pada perangkat IP Phone 7800 dan 8800 Series yang terpengaruh yang juga mendukung Link Layer Discovery Protocol (LLDP) untuk penemuan tetangga.

“Perangkat kemudian akan menggunakan LLDP untuk menemukan data konfigurasi seperti VLAN suara, negosiasi daya, dan sebagainya,” jelas Cisco dalam penasehat keamanan yang diterbitkan Kamis.
Admin yang ingin menerapkan mitigasi ini disarankan untuk menguji keefektifan dan penerapannya di lingkungan mereka.

Cisco memperingatkan bahwa “pelanggan tidak boleh menggunakan solusi atau mitigasi apa pun sebelum terlebih dahulu mengevaluasi penerapannya pada lingkungan mereka sendiri dan dampak apa pun terhadap lingkungan tersebut.”

Sumber : bleeping computer

F5 Memperbaiki Dua Kelemahan Eksekusi Kode Jarak Jauh di BIG-IP, BIG-IQ

by

F5 telah merilis hotfix untuk produk BIG-IP dan BIG-IQ-nya, mengatasi dua kelemahan dengan tingkat keparahan tinggi yang memungkinkan penyerang melakukan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi pada titik akhir yang rentan.

Cacat pertama dilacak sebagai CVE-2022-41622 (CVSS v3 – 8.8) dan merupakan RCE yang tidak diautentikasi melalui pemalsuan lintas situs pada iControl SOAP, yang berdampak pada beberapa versi BIG-IP dan BIG-IQ.

Cacat kedua adalah CVE-2022-41800 (CVSS v3 – 8.7), RCE yang diautentikasi melalui injeksi spesifikasi RPM, yang memengaruhi komponen REST iControl.

Versi BIG-IP yang rentan adalah:

  • 13.1.0 – 13.1.5
  • 14.1.0 – 14.1.5
  • 15.1.0 – 15.1.8
  • 16.1.0 – 16.1.3
  • 17.0.0

untuk BIG-IQ yang terpengaruh adalah

  • 7.1.0
  • 8.0.0 – 8.2.0

Pelanggan yang terpengaruh disarankan untuk meminta hotfix teknis untuk versi produk mereka dari F5 dan menginstalnya secara manual.

Untuk menyelesaikan CVE-2022-41622, admin juga harus menonaktifkan Otentikasi Dasar untuk SOAP iControl setelah menginstal hotfix

Technical details released
Rapid7 menerbitkan laporan terperinci tentang kekurangan yang mengungkapkan rincian teknis dari kerentanan.

“Dengan berhasil mengeksploitasi kerentanan terburuk (CVE-2022-41622), penyerang dapat memperoleh akses root terus-menerus ke antarmuka manajemen perangkat (bahkan jika antarmuka manajemen tidak menghadap ke internet),” jelas laporan oleh Rapid7.

Selain itu, penyerang perlu mengetahui alamat instance BIG-IP yang ditargetkan untuk memberlakukan pemalsuan permintaan lintas situs terhadap admin.

Karena itu, peneliti Rapid7 Ron Bowes percaya bahwa kecil kemungkinan kerentanan akan dieksploitasi secara luas.

Analis telah menerbitkan detail teknis yang ekstensif, termasuk proof of concept exploit untuk CVE-2022-41622, jadi penting untuk mengatasi kerentanan sesegera mungkin.

sumber : bleeping computer

Bug Cisco Memberikan Hak Akses Root Penyerang Jarak Jauh Melalui Mode Debug

by

Cisco telah memperbaiki kelemahan keamanan kritis yang ditemukan di Cisco Redundancy Configuration Manager (RCM) untuk Cisco StarOS Software selama pengujian keamanan internal.

Kerentanan, dilacak sebagai CVE-2022-20649, memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) dengan hak istimewa tingkat root pada perangkat yang menjalankan perangkat lunak yang rentan.

“Kerentanan di Cisco RCM untuk Cisco StarOS Software dapat memungkinkan penyerang jarak jauh yang tidak diautistik untuk melakukan eksekusi kode jarak jauh pada aplikasi dengan hak istimewa tingkat akar dalam konteks wadah yang dikonfigurasi,” kata Cisco.

Seperti yang dijelaskan perusahaan lebih lanjut, kerentanan ada karena mode debug salah diaktifkan untuk layanan tertentu.

“Penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke perangkat dan menavigasi ke layanan dengan mode debug diaktifkan. Eksploitasi yang sukses dapat memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang sebagai pengguna akar,” tambah Cisco.

Namun, untuk akses yang tidak diautistik ke perangkat yang menjalankan perangkat lunak yang tidak ditamtik, para penyerang pertama-tama perlu melakukan pengintaian terperinci untuk menemukan layanan yang rentan.

Tidak ada eksploitasi di alam liar

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa perusahaan tidak mengetahui eksploitasi kerentanan ini dalam serangan yang sedang berlangsung.

Hari ini, Cisco juga memperbaiki bug pengungkapan informasi tingkat keparahan menengah (CVE-2022-20648) di Cisco RCM untuk Cisco StarOS yang disebabkan oleh layanan debug yang salah mendengarkan dan menerima koneksi masuk.

Penyerang jarak jauh dapat mengeksploitasi bug kedua ini dengan mengeksekusi perintah debug setelah terhubung ke port debug. Eksploitasi yang berhasil dapat memungkinkan mereka untuk mengakses informasi debugging sensitif pada perangkat yang rentan.

Perusahaan telah merilis Cisco RCM untuk StarOS 21.25.4, yang dilengkapi dengan pembaruan keamanan untuk mengatasi kekurangan ini dan tersedia melalui Software Center pada Cisco.com.

Tahun lalu, Cisco menambal beberapa kerentanan lain yang memungkinkan aktor ancaman untuk mengeksekusi kode dan perintah dari jarak jauh dengan hak istimewa root.

Misalnya, ini membahas cacat RCE pra-otentikasi kritis yang berdampak pada SD-WAN vManage yang dapat memungkinkan aktor ancaman untuk mendapatkan hak istimewa root pada OS yang mendasarinya pada bulan Mei. Bug pra-auth lain dalam perangkat lunak yang sama, yang memungkinkan penyerang untuk mendapatkan RCE sebagai root, diperbaiki pada bulan April.

Sumber: Bleepingcompter

Microsoft merilis patch keamanan untuk Windows 8.1 dan Windows Server 2012

by

Microsoft telah merilis patch keamanan untuk menambal beberapa kerentanan pada Windows 8.1, RT 8.1, and Server 2012,

CVE-2020-1530 | Windows Remote Access Elevation of Privilege Vulnerability
CVE-2020-1537 | Windows Remote Access Elevation of Privilege Vulnerability

Aktor yang memanfaatkan kerentanan tersebut dapat mendapatkan Akses Remote ke sistem.
Anda dapat melihat remediasi dari postingan resmi Microsoft.