Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Root

Root

Peretas Mengeksploitasi Kerentanan BIG-IP dengan Peringkat Keparahan 9,8

by

Para peneliti mengagumi cakupan dan besarnya kerentanan yang secara aktif dieksploitasi oleh peretas untuk mengambil kendali penuh atas perangkat jaringan yang berjalan di beberapa jaringan terbesar dan paling sensitif di dunia.

Kerentanan, yang membawa peringkat keparahan 9,8 dari kemungkinan 10, memengaruhi BIG-IP F5, serangkaian peralatan yang digunakan organisasi sebagai penyeimbang beban, firewall, dan untuk inspeksi dan enkripsi data yang masuk dan keluar dari jaringan. Ada lebih dari 16.000 instance dari peralatan yang dapat ditemukan secara online, dan F5 mengatakan itu digunakan oleh 48 dari Fortune 50. Mengingat kedekatan BIG-IP dengan tepi jaringan dan fungsinya sebagai perangkat yang mengelola lalu lintas untuk server web, mereka sering berada dalam posisi untuk melihat konten yang didekripsi dari lalu lintas yang dilindungi HTTPS.

Pekan lalu, F5 mengungkapkan dan menambal kerentanan BIG-IP yang dapat dimanfaatkan peretas untuk menjalankan perintah yang dijalankan dengan hak istimewa sistem root. Ancaman berasal dari implementasi otentikasi yang salah dari iControl REST, satu set antarmuka pemrograman berbasis web untuk mengonfigurasi dan mengelola perangkat BIG-IP.

“Masalah ini memungkinkan penyerang dengan akses ke antarmuka manajemen pada dasarnya berpura-pura menjadi administrator karena cacat dalam cara otentikasi diterapkan,” Aaron Portnoy, direktur penelitian dan pengembangan di perusahaan keamanan Randori, mengatakan dalam pesan langsung. “Setelah Anda menjadi Administrator, Anda dapat berinteraksi dengan semua titik akhir yang disediakan aplikasi, termasuk yang secara langsung menjalankan perintah.”

Selengkapnya: Ars Technica

VPN populer memiliki risiko keamanan yang berbahaya

by

Sebuah laporan baru menunjukkan beberapa jaringan pribadi virtual (VPN) populer mungkin membuat pengguna terkena risiko keamanan yang signifikan.

VPN adalah opsi populer untuk bisnis dan konsumen, memberikan ukuran keamanan dan privasi saat menjelajahi web. Sayangnya, sebuah laporan baru oleh AppEsteem menemukan bahwa sejumlah opsi populer termasuk Surfshark, Turbo VPN, Atlas VPN, VyprVPN, VPN Proxy Master, dan Sumrando VPN menempatkan penggunanya pada risiko dengan praktik yang meragukan.

AppEsteem menemukan bahwa keenam VPN yang terdaftar memasang sertifikat root mereka sendiri. Sertifikat root adalah komponen penting dalam kriptografi dan enkripsi, yang pada dasarnya membuktikan validitas kunci enkripsi. Karena sertifikat root ditandatangani sendiri, yang paling tepercaya dikeluarkan oleh otoritas sertifikat (CA) yang mapan.

Daripada menggunakan sertifikat root dari CA tepercaya, masing-masing dari enam VPN menginstal sertifikat root yang ditandatangani sendiri. Meskipun ini mungkin tidak tampak seperti masalah, ini membuat pengguna VPN tersebut rentan terhadap serangan karena sertifikat root memberi penerbit kemampuan untuk menangkap hampir semua data yang dikirim dan diterima komputer. Risiko itulah mengapa sangat penting untuk memercayai CA secara implisit dan mencoba membatasi jumlah sertifikat root yang diinstal pada perangkat.

Selain implikasi privasi, sertifikat root yang ditandatangani sendiri juga mewakili titik kemungkinan serangan oleh aktor jahat, peretas, dan pemerintah jahat. Daripada menyerang CA profil tinggi, entitas yang bermusuhan hanya perlu berkompromi dengan penyedia VPN dan sertifikat yang ditandatangani sendiri untuk kemudian membahayakan perangkat apa pun dengan sertifikat yang diinstal. Akibatnya, merupakan praktik yang sangat dipertanyakan bagi penyedia VPN untuk menggunakan sertifikat mereka sendiri, bukan sertifikat dari CA tepercaya.

Sayangnya, setidaknya dalam kasus Surfshark, memasang Sertifikat Root Tepercaya bukanlah satu-satunya praktik yang dipertanyakan. Surfshark juga menginstal aplikasi Surfshark TAP Driver Windows, Avira, dan Open VPN, semuanya tanpa meminta izin.

Lebih buruk lagi, Surfshark melanjutkan penginstalan Sertifikat Root Tepercaya bahkan jika pengguna membatalkan proses penginstalan. Aplikasi ini juga menjalankan banyak proses di latar belakang dan gagal menghapus proses tersebut sepenuhnya saat dicopot pemasangannya.

Surfshark menghubungi TechRadar untuk memberi tahu mereka bahwa itu bekerja dengan AppEsteem untuk mengatasi masalah yang diangkat. Perusahaan mempertahankan penggunaan sertifikat root terlepas dari kenyataan bahwa penyedia tingkat atas tidak melakukan ini meskipun dikatakan sedang berupaya untuk menghentikan protokol IKEv2, yang “akan menghilangkan kebutuhan untuk menginstal sertifikat.”

Terlepas dari perubahan yang telah dilakukan Surfshark, pengguna sebaiknya menunggu konfirmasi pihak ketiga bahwa keenam penyedia ini telah membuat perubahan yang diperlukan agar sesuai dengan praktik terbaik industri. Konsumen yang tertarik dengan keamanan VPN terbaik sebaiknya melihat Mullvad atau NordVPN sebagai gantinya.

Sumber : Android Authority

Bug Linux baru memberikan akses root di semua distro utama

by

Kerentanan Linux baru yang dikenal sebagai ‘Dirty Pipe’ memungkinkan pengguna lokal untuk mendapatkan hak akses root melalui eksploitasi yang tersedia untuk umum.

Peneliti keamanan Max Kellermann secara bertanggung jawab mengungkapkan kerentanan ‘Dirty Pipe’ dan menyatakan bahwa itu mempengaruhi Linux Kernel 5.8 dan versi yang lebih baru, bahkan pada perangkat Android.

Kerentanan dilacak sebagai CVE-2022-0847 dan memungkinkan pengguna yang tidak memiliki hak istimewa untuk menyuntikkan dan menimpa data dalam file read-only, termasuk proses SUID yang berjalan sebagai root.

Kellerman menyatakan bahwa kerentanan tersebut mirip dengan kerentanan Dirty COW (CVE-2016-5195) yang diperbaiki pada tahun 2016.

Sebagai bagian dari pengungkapan Dirty Pipe, Kellerman merilis eksploit proof-of-concept (PoC) yang memungkinkan pengguna lokal untuk memasukkan data mereka sendiri ke dalam file read-only yang sensitif, menghapus batasan atau memodifikasi konfigurasi untuk memberikan akses yang lebih besar.

Misalnya, peneliti keamanan Phith0n mengilustrasikan bagaimana mereka dapat menggunakan exploit untuk memodifikasi file /etc/passwd sehingga pengguna root tidak memiliki kata sandi. Setelah perubahan ini dibuat, pengguna yang tidak memiliki hak istimewa cukup menjalankan perintah ‘su root’ untuk mendapatkan akses ke akun root.

Namun, eksploitasi yang diperbarui oleh peneliti keamanan BLASTY juga dirilis secara publik hari ini yang membuatnya lebih mudah untuk mendapatkan hak akses root dengan menambal perintah /usr/bin/su untuk menjatuhkan shell root di /tmp/sh dan kemudian menjalankan skrip.

Setelah dieksekusi, pengguna mendapatkan hak akses root, seperti yang ditunjukkan oleh BleepingComputer di bawah ini di Ubuntu 20.04.3 LTS yang menjalankan kernel generik 5.13.0-27.

Sumber: Bleeping Computer

Kerentanan tersebut diungkapkan secara bertanggung jawab kepada berbagai pengelola Linux mulai 20 Februari 2022, termasuk tim keamanan kernel Linux dan Tim Keamanan Android.

Sementara bug telah diperbaiki di kernel Linux 5.16.11, 5.15.25, dan 5.10.102, banyak server terus menjalankan kernel usang yang membuat rilis eksploitasi ini menjadi masalah signifikan bagi administrator server.

Sumber: Bleeping Computer

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

by

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer

Bug Linux Memberikan Root pada Semua Distro Utama, Eksploitasi Dirilis

by

Kerentanan dalam komponen pkexec Polkit yang diidentifikasi sebagai CVE-2021-4034 (PwnKit) hadir dalam konfigurasi default semua distribusi Linux utama dan dapat dimanfaatkan untuk mendapatkan hak istimewa root penuh pada sistem, para peneliti memperingatkan hari ini.

CVE-2021-4034 telah diberi nama PwnKit dan asal-usulnya telah dilacak ke komitmen awal pkexec, lebih dari 12 tahun yang lalu, yang berarti bahwa semua versi Polkit terpengaruh.

Bagian dari kerangka aplikasi open-source Polkit yang menegosiasikan interaksi antara proses istimewa dan tidak mampu, pkexec memungkinkan pengguna yang berwenang untuk menjalankan perintah sebagai pengguna lain, dua kali lipat sebagai alternatif untuk sudo.

Mudah dieksploitasi, PoC diharapkan segera

Para peneliti di perusahaan keamanan informasi Qualys menemukan bahwa program pkexec dapat digunakan oleh penyerang lokal untuk meningkatkan hak istimewa untuk membasmi instalasi default Ubuntu, Debian, Fedora, dan CentOS.

Mereka memperingatkan bahwa PwnKit kemungkinan dapat dieksploitasi pada sistem operasi Linux lainnya juga.

Bharat Jogi, Direktur Kerentanan dan Penelitian Ancaman di Qualys menjelaskan bahwa PwnKit adalah “kerentanan korupsi memori di Polkit, yang memungkinkan setiap pengguna yang tidak mampu untuk mendapatkan hak istimewa root penuh pada sistem yang rentan menggunakan konfigurasi polkit default,”

Peneliti mencatat bahwa masalah ini telah bersembunyi di depan mata sejak versi pertama pkexec inn Mei 2009. Video di bawah ini menunjukkan eksploitasi bug:

Mengeksploitasi cacat itu sangat mudah, kata para peneliti, bahwa kode eksploitasi proof-of-concept (PoC) diperkirakan akan menjadi publik hanya dalam beberapa hari. Tim Peneliti Qualys tidak akan merilis PoC untuk PwnKit.

Pembaruan: Eksploitasi telah muncul di ruang publik, kurang dari tiga jam setelah Qualys menerbitkan rincian teknis untuk PwnKit. BleepingComputer telah menyusun dan menguji eksploitasi yang tersedia, yang terbukti dapat diandalkan karena memberi kita hak istimewa root pada sistem pada semua upaya.

Mengacu pada eksploitasi, analis kerentanan CERT / CC Will Dormann mengatakan bahwa itu sederhana dan universal. Peneliti lebih lanjut mengujinya pada sistem ARM64, menunjukkan bahwa ia bekerja pada arsitektur itu juga.

Qualys melaporkan masalah keamanan secara bertanggung jawab pada 18 November 2021, dan menunggu patch tersedia sebelum menerbitkan rincian teknis di balik PwnKit.

Perusahaan sangat merekomendasikan administrator memprioritaskan penerapan patch yang penulis Polkit dirilis di GitLab mereka beberapa jam yang lalu.

Distro Linux memiliki akses ke patch beberapa minggu sebelum pengungkapan terkoordinasi hari ini dari Qualys dan diharapkan untuk merilis paket pkexec diperbarui mulai hari ini.

Ubuntu telah mendorong pembaruan untuk PolicyKit untuk mengatasi kerentanan dalam versi 14.04 dan 16.04 ESM (pemeliharaan keamanan diperpanjang) serta dalam versi yang lebih baru 18.04, 20.04, dan 21.04. Pengguna hanya perlu menjalankan pembaruan sistem standar dan kemudian me-reboot komputer agar perubahan berlaku.

Red Hat juga telah memberikan pembaruan keamanan untuk polkit pada workstation dan produk Enterprise untuk arsitektur yang didukung, serta untuk dukungan siklus hidup yang diperpanjang, TUS, dan AUS.

Mitigasi sementara untuk sistem operasi yang belum mendorong patch adalah untuk melucuti hak baca / tulis dengan perintah berikut:
chmod 0755 /usr/bin/pkexec

Pengguna yang ingin mencari tanda-tanda eksploitasi PwnKit dapat melakukannya dengan memeriksa log untuk “Nilai untuk variabel SHELL tidak ditemukan file / etc / shells” atau “Nilai untuk variabel lingkungan […] berisi konten yang mencurigakan.”

Namun, Qualys mencatat bahwa mengeksploitasi PwnKit adalah mungkin tanpa meninggalkan jejak.

Tahun lalu, peneliti GitHub Security Lab Kevin Backhouse menemukan kerentanan eskalasi hak istimewa lama lainnya yang mempengaruhi Polkit.

Bug telah hadir selama tujuh tahun, sejak versi 0.113 dari komponen dan mempengaruhi distro Linux populer termasuk RHEL 8, Fedora 21 (atau lebih baru), Ubuntu 20.04, dan versi debian yang tidak stabil (‘bullseye’) dan turunannya.

Pembaruan [25 Januari, 17:26 EST]: Menambahkan pemberitahuan keamanan pada PolicyKit / Polkit dari Ubuntu dan Red Hat.

Pembaruan [25 Januari, 17:43 EST]: Artikel diperbarui dengan informasi tentang kode eksploitasi proof-of-concept yang tersedia untuk umum.

Sumber: Bleepingcomputer

Malware Android Yang Tidak Dapat Dihapus ini memberikan peretas akses penuh ke telepon Anda

by

Pakar keamanan memperingatkan pengguna Android tentang jenis malware jahat yang hampir tidak mungkin dihapus.

Peneliti Igor Golovin dari Kaspersky telah menuliskan detailnya pada sebuah blog yang menjelaskan bagaimana malware xHelper menggunakan sistem program bersarang yang membuatnya sangat susah untuk dihapus.

 

Malware xHelper pertama kali ditemukan tahun lalu, tetapi Golovin baru sekarang menetapkan dengan tepat bagaimana cakarnya masuk ke dalam perangkat Anda, dan muncul kembali bahkan setelah pemulihan sistem.

xHelper sering didistribusikan melalui toko pihak ketiga yang menyamar sebagai aplikasi pembersihan atau perawatan populer untuk meningkatkan kinerja ponsel Anda.

 

Ketika xHelper pertama kali diinstal, malware tersebut mengunduh trojan ‘dropper’, yang akan mengumpulkan informasi di perangkat Anda dan menginstal trojan lain. Kemudian ia akan mengunduh kode eksploitasi yang memberinya akses root ke perangkat Anda, di mana ia dapat menyebabkan kekacauan apa pun yang menurut penciptanya cocok.

Menghapus infeksi nya sangatlah sulit. Semua unduhan ini tersembunyi jauh di dalam file sistem, membuatnya sulit ditemukan, dan dropper yang diinstal di partisi sistem dapat memulai proses ini lagi bahkan setelah reset pabrik.

 

Golovin menyarankan untuk me-reflash perangkat yang terinfeksi, tetapi ia juga memperingatkan bahwa kadang-kadang firmware yang dipasang pabrik mungkin dapat berisi xHelper, dalam hal ini sangat sedikit yang dapat Anda lakukan. “Jika Anda menggunakan firmware yang berbeda, ingatlah bahwa beberapa komponen perangkat mungkin tidak beroperasi dengan benar,” sarannya.

“Bagaimanapun juga, menggunakan smartphone yang telah terinfeksi xHelper sangat lah berbahaya. Malware ini memasang backdoor dengan kemampuan untuk mengeksekusi perintah sebagai superuser. Ini memberikan para penyerang dengan akses penuh ke semua data aplikasi dan dapat digunakan oleh malware lain juga,  misalnya, CookieThief.”

 

Source: Tech RadarKaspersky Blog