Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Remote Control Execution

Remote Control Execution

Admin Windows memperingatkan untuk menambal bug MSMQ QueueJumper yang kritis

by

Peneliti dan pakar keamanan memperingatkan tentang kerentanan kritis dalam layanan middleware Windows Message Queuing (MSMQ) yang ditambal oleh Microsoft selama Patch Tuesday bulan ini dan mengekspos ratusan ribu sistem untuk diserang.

MSMQ tersedia di semua sistem operasi Windows sebagai komponen opsional yang menyediakan aplikasi dengan kemampuan komunikasi jaringan dengan “pengiriman pesan terjamin”, dan dapat diaktifkan melalui PowerShell atau Panel Kontrol.

Cacat (CVE-2023-21554) memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh pada server Windows yang tidak ditambal menggunakan paket MSMQ berbahaya yang dibuat khusus dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Redmond juga telah melampirkan tag “eksploitasi lebih mungkin” ke CVE-2023-21554, mengingat bahwa “menyadari contoh masa lalu dari jenis kerentanan yang dieksploitasi,” yang menjadikannya “target yang menarik bagi penyerang.”

“Dengan demikian, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukan ini dengan prioritas yang lebih tinggi,” Microsoft memperingatkan.

Peneliti keamanan Wayne Low dari FortiGuard Lab Fortinet dan Haifei Li dari Check Point Research dikreditkan karena melaporkan kelemahan tersebut ke Microsoft.

Meskipun Microsoft telah mengatasi bug ini dan 96 kelemahan keamanan lainnya sebagai bagian dari April Patch Tuesday, Microsoft juga menyarankan admin yang tidak dapat segera menggunakan patch untuk menonaktifkan layanan Windows MSMQ (jika memungkinkan) untuk menghapus vektor serangan.

Organisasi yang tidak dapat langsung menonaktifkan MSMQ atau menerapkan patch Microsoft juga dapat memblokir koneksi 1801/TCP dari sumber yang tidak tepercaya menggunakan aturan firewall.

selengkapnya : bleepingcomputer.com

Aruba Networks Memperbaiki Enam Vulnerability Kritis di ArubaOS

by

Aruba Networks menerbitkan penasehat keamanan untuk memberi tahu pelanggan tentang enam kerentanan kritis-keparahan yang berdampak pada beberapa versi ArubaOS, sistem operasi jaringan miliknya.

Cacat tersebut memengaruhi Konduktor Mobilitas Aruba, Pengontrol Mobilitas Aruba, dan Gateway WLAN yang dikelola Aruba serta Gateway SD-WAN.

Aruba Networks adalah anak perusahaan Hewlett Packard Enterprise yang berbasis di California, yang berspesialisasi dalam jaringan komputer dan solusi konektivitas nirkabel.

Cacat kritis yang ditangani oleh Aruba kali ini dapat dipisahkan menjadi dua kategori: cacat injeksi perintah dan masalah buffer overflow berbasis stack di protokol PAPI (protokol manajemen titik akses Aruba Networks).

Semua kelemahan ditemukan oleh analis keamanan Erik de Jong, yang melaporkannya ke vendor melalui program bug bounty resmi.

Kerentanan injeksi perintah dilacak sebagai CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, dan CVE-2023-22750, dengan peringkat CVSS v3 9,8 dari 10,0.

Penyerang jarak jauh yang tidak diautentikasi dapat memanfaatkannya dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, menghasilkan eksekusi kode arbitrer sebagai pengguna istimewa di ArubaOS.

Bug buffer overflow berbasis tumpukan dilacak sebagai CVE-2023-22751 dan CVE-2023-22752, dan juga memiliki peringkat CVSS v3 9,8.

Cacat ini dapat dieksploitasi dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan kode arbitrer sebagai pengguna istimewa di ArubaOS.

versi yang terdampak :

  • ArubaOS 8.6.0.19 dan dibawahnya
  • ArubaOS 8.10.0.4 dan dibawahnya
  • ArubaOS 10.3.1.0 dan dibawahnya
  • SD-WAN 8.7.0.0-2.3.0.8 dan dibawahnya

Versi peningkatan target, menurut Aruba, harus:

  • ArubaOS 8.10.0.5 dan yang lebih baru
  • ArubaOS 8.11.0.0 dan yang lebih baru
  • ArubaOS 10.3.1.1 dan yang lebih baru
  • SD-WAN 8.7.0.0-2.3.0.9 dan yang lebih baru

Sayangnya, beberapa versi produk yang telah mencapai End of Life (EoL) juga terpengaruh oleh kerentanan ini dan tidak akan menerima pembaruan perbaikan. Ini adalah:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Solusi untuk administrator sistem yang tidak dapat menerapkan pembaruan keamanan atau menggunakan perangkat EoL adalah dengan mengaktifkan mode “Enhanced PAPI Security” menggunakan kunci non-default.

Namun, penerapan mitigasi tidak mengatasi 15 kerentanan tingkat tinggi dan delapan kerentanan tingkat menengah lainnya yang tercantum dalam penasehat keamanan Aruba, yang diperbaiki oleh versi baru.

Aruba menyatakan tidak mengetahui adanya diskusi publik, mengeksploitasi kode, atau mengeksploitasi secara aktif kerentanan ini pada tanggal rilis penasehat, 28 Februari 2022.

sumber : bleepingcomputer

Peneliti Menjatuhkan Lexmark RCE Zero-day Daripada Menjual Vuln ‘for peanuts’

by

Seorang peneliti keamanan menghentikan rantai kerentanan eksekusi kode jarak jauh (RCE) zero-day yang memengaruhi printer Lexmark setelah mengklaim bahwa hadiah pengungkapan yang ditawarkan kepadanya “menggelikan”.

Peneliti independen Peter Geissler (@bl4sty) mengatakan bahwa pengungkapan bug secara publik, cacat zero-day pada saat rilis tetapi sekarang ditambal, lebih disukai daripada laporan yang dijual “untuk kacang”.

Dalam penasihat keamanan yang dirilis pada 23 Januari, Lexmark mengatakan masalah tersebut, dilacak sebagai CVE-2023-23560 (CVSSv3 9.0) dan dirilis di bawah satu penugasan CVE, memengaruhi lebih dari 100 model tetapi kini telah ditambal.

Perusahaan mengatakan tidak ada bukti penggunaan berbahaya di alam liar. Ketika didekati untuk memberikan komentar, Lexmark berkata: “Lexmark mengetahui detail kerentanan ini ketika diungkapkan kepada publik. Kami telah menyediakan tambalan kepada pelanggan kami.

Menurut peneliti, Lexmark tidak diberi tahu sebelum rilis zero-day karena dua alasan.

Pertama, Geissler ingin menyoroti bagaimana kontes Pwn2Own “rusak” dalam beberapa hal, seperti yang ditunjukkan saat hadiah uang rendah ditawarkan untuk “sesuatu yang berpotensi berdampak besar” – seperti rantai eksploit yang dapat membahayakan lebih dari 100 model printer.

Lebih lanjut, dia mengatakan bahwa proses keterbukaan informasi seringkali bertele-tele dan berbelit-belit.

selengkapnya : portswigger.net

Lebih dari 19.000 Router Cisco di Akhir Masa Pakainya Terkena Serangan RCE

by

Lebih dari 19.000 router Cisco VPN akhir masa pakainya di Internet terkena serangan yang menargetkan rantai eksploitasi eksekusi perintah jarak jauh.

Dengan merantai dua kelemahan keamanan yang diungkapkan minggu lalu, pelaku ancaman dapat melewati otentikasi (CVE-2023-20025) dan menjalankan perintah sewenang-wenang (CVE-2023-2002) pada sistem operasi yang mendasari router Cisco Small Business RV016, RV042, RV042G, dan RV082 .

Cisco menilai CVE-2023-20025 sebagai kritis dan mengatakan bahwa tim Product Security Incident Response Team (PSIRT) mengetahui kode eksploit proof-of-concept yang tersedia di alam bebas.

Meskipun demikian, perusahaan juga mengatakan “belum dan tidak akan merilis pembaruan perangkat lunak yang mengatasi kerentanan ini.”

Ribuan router rentan terhadap serangan

vulnerable routers expose
Distribusi router yang rentan di seluruh dunia (Censys)

Meskipun mereka tidak akan mendapatkan pembaruan keamanan, dan Cisco mengatakan bahwa “tidak ada solusi yang mengatasi kerentanan ini”, pengguna masih dapat mengamankan perangkat mereka dari serangan dengan menonaktifkan antarmuka manajemen berbasis web dan memblokir akses ke port 443 dan 60443 untuk menggagalkan upaya eksploitasi.

selengkapnya : bleepingcomputer

Kerentanan Keamanan Kritis Ditemukan di Router Netcomm dan TP-Link

by

Kerentanan keamanan telah diungkapkan di router Netcomm dan TP-Link, beberapa di antaranya dapat dipersenjatai untuk mencapai eksekusi kode jarak jauh.

Cacat, dilacak sebagai CVE-2022-4873 dan CVE-2022-4874, menyangkut kasus buffer overflow berbasis stack dan bypass otentikasi dan berdampak pada model router Netcomm NF20MESH, NF20, dan NL1902 yang menjalankan versi firmware lebih awal dari R6B035.

“Dua kerentanan, ketika dirangkai bersama, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah penasehat yang diterbitkan Selasa.

Peneliti keamanan Brendan Scarvell telah dipuji karena menemukan dan melaporkan masalah tersebut pada Oktober 2022.

Peneliti Microsoft James Hull telah diakui untuk mengungkap dua bug. The Hacker News telah menghubingi TP-Link untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

sumber :thehackernews

Lebih dari 4.000 perangkat Sophos Firewall rentan terhadap serangan RCE

by

Lebih dari 4.000 perangkat Sophos Firewall yang terpapar akses Internet rentan terhadap serangan yang menargetkan kerentanan eksekusi kode jarak jauh (RCE) kritis.

Sophos mengungkapkan cacat injeksi kode ini (CVE-2022-3236) yang ditemukan di Portal Pengguna dan Webadmin Sophos Firewall pada bulan September dan juga merilis hotfix untuk beberapa versi Sophos Firewall (perbaikan resmi dikeluarkan tiga bulan kemudian, pada Desember 2022).

Instans Sophos Firewall yang menjalankan versi produk lama harus ditingkatkan secara manual ke versi yang didukung untuk menerima hotfix CVE-2022-3236 secara otomatis.

Admin yang tidak dapat menambal perangkat lunak yang rentan juga dapat menghapus permukaan serangan dengan menonaktifkan akses WAN ke Portal Pengguna dan Webadmin.

Thousands of devices are still vulnerable
Saat memindai Internet untuk perangkat Sophos Firewall, peneliti kerentanan VulnCheck Jacob Baines menemukan bahwa dari lebih dari 88.000 kejadian, sekitar 6% atau lebih dari 4.000 menjalankan versi yang belum menerima perbaikan terbaru dan rentan terhadap serangan CVE-2022-3236.

Meskipun sudah dieksploitasi sebagai zero-day, eksploitasi proof-of-concept CVE-2022-3236 belum dipublikasikan secara online.

Namun, Baines mampu mereproduksi eksploit dari informasi teknis yang dibagikan oleh Zero Day Initiative (ZDI) dari Trend Micro, sehingga kemungkinan pelaku ancaman juga akan segera dapat melakukannya.

Tantangan CAPTCHA Firewall Sophos (Jacob Baines)

​Bug Firewall Sophos sebelumnya ditargetkan dalam serangan
Pada bulan Maret 2022, Sophos menambal bug Sophos Firewall kritis serupa (CVE-2022-1040) di modul Portal Pengguna dan Webadmin yang mengaktifkan pintasan autentikasi dan serangan eksekusi kode arbitrer.

Itu juga dieksploitasi dalam serangan sebagai hari nol sejak awal Maret (kira-kira tiga minggu sebelum Sophos merilis tambalan) terhadap organisasi Asia Selatan oleh kelompok ancaman China yang dilacak sebagai DriftingCloud.

sumber : bleepingcomputer

Critical Browser Zero-Day Security Warning For Windows Users

by

 

CISA telah menerbitkan peringatan baru untuk pengguna Windows karena Microsoft telah mengkonfirmasi kerentanan kritis zero-day yang sedang dieksploitasi secara aktif, dan tidak ada perbaikan yang tersedia sampai saat ini.

 

Microsoft mengatakan bahwa kerentanan eksekusi kode jauh (RCE) telah ditemukan di mesin scripting dari browser web Internet Explorer (IE). Ini adalah kerentanan kritis, yang memengaruhi IE di semua versi Windows dan dapat merusak memori sehingga penyerang dapat mengeksekusi kode arbitrary.

 

Sangat disarankan bagi pengguna Windows untuk menonaktifkan Internet Explorer pada PC anda karena belum ada patch yang tersedia untuk memperbaiki kerentanan tersebut.

 

Klik link di bawah ini untuk membaca berita selengkapnya!

Source: Forbes