Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerabilities

Vulnerabilities

Eksploitasi dirilis untuk bug bypass autentikasi VMware yang kritis, tambal sekarang

by

Kode eksploit proof-of-concept sekarang tersedia online untuk kerentanan bypass otentikasi kritis di beberapa produk VMware yang memungkinkan penyerang mendapatkan hak istimewa admin.

VMware merilis pembaruan keamanan untuk mengatasi kelemahan CVE-2022-22972 yang memengaruhi Workspace ONE Access, VMware Identity Manager (vIDM), atau vRealize Automation.

Perusahaan juga membagikan solusi sementara untuk admin yang tidak dapat segera menambal peralatan yang rentan, mengharuskan mereka untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan.

Peneliti keamanan Horizon3 merilis eksploitasi proof-of-concept (PoC) dan analisis teknis untuk kerentanan ini hari ini, menyusul pengumuman yang dibuat pada hari Selasa bahwa PoC CVE-2022-22972 akan tersedia akhir pekan ini.

“Script ini dapat digunakan dengan bypass authentication pada vRealize Automation 7.6 menggunakan CVE-2022-22972,” kata para peneliti.

“Workspace ONE dan vIDM memiliki titik akhir otentikasi yang berbeda, tetapi inti dari kerentanannya tetap sama.

Sementara Shodan hanya menunjukkan sejumlah terbatas peralatan VMware yang terkena serangan yang akan menargetkan bug ini, ada beberapa organisasi kesehatan, industri pendidikan, dan pemerintah negara bagian dengan peningkatan risiko menjadi sasaran.

CVE-2022-22972 adalah kerentanan manipulasi header ‘Host’ yang relatif sederhana. Penyerang yang termotivasi tidak akan kesulitan mengembangkan eksploitasi untuk kerentanan ini,” tambah Horizon3.

Selengkapnya: Bleeping Computer

Google Project Zero menghasilkan percepatan dramatis dalam perbaikan bug keamanan

by

Kerentanan keamanan yang dilaporkan oleh Project Zero pada tahun 2021 ditambal rata-rata 28 hari lebih cepat daripada tahun 2019, tim peneliti keamanan nol hari Google telah mengungkapkan.

Vendor perangkat keras dan perangkat lunak membutuhkan waktu rata-rata 52 hari untuk memperbaiki kelemahan keamanan tahun lalu, jauh di bawah tenggat waktu 90 hari dan turun dari rata-rata waktu rata-rata 80 hari dua tahun sebelumnya.

Hanya satu bug yang melebihi tenggat waktu perbaikannya, meskipun 14% memerlukan masa tenggang 14 hari tambahan sebelum perbaikan yang berfungsi dirilis.

“Kami menduga bahwa tren ini mungkin disebabkan oleh fakta bahwa kebijakan pengungkapan yang bertanggung jawab telah menjadi standar de-facto di industri, dan vendor lebih siap untuk bereaksi cepat terhadap laporan dengan tenggat waktu yang berbeda,” kata Ryan Schoen dari Project Zero dalam sebuah posting blog.

“Kami juga menduga bahwa vendor telah belajar praktik terbaik dari satu sama lain, karena ada peningkatan transparansi dalam industri ini.”

Namun, Schoen memperingatkan bahwa laporan Project Zero mungkin merupakan outlier “karena mereka dapat menerima tindakan lebih cepat karena ada risiko nyata pengungkapan publik (seperti yang akan diungkapkan tim jika kondisi tenggat waktu tidak terpenuhi) dan Project Zero adalah sumber tepercaya dari sumber yang dapat diandalkan. laporan bug”.

Sepanjang 2019, 2020, dan 2021, Project Zero melaporkan 376 masalah kepada vendor di bawah tenggat waktu perbaikan standar 90 hari, 351 (93,4%) di antaranya telah diperbaiki, sementara vendor menolak untuk memperbaiki 14 (3,7%) bug.

Pada 25 hari, Linux memiliki waktu rata-rata tercepat untuk perbaikan, diikuti oleh Google (44) dan Mozilla (46). Yang paling lambat adalah Oracle (109) tetapi dari sampel kecil tujuh bug, diikuti oleh Microsoft (83) dan Samsung (72).

Selengkapnya: Port Swigger

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer

Eksploitasi pada Dark Souls 3 dapat membuat peretas mengendalikan seluruh komputer Anda

by

Eksploitasi eksekusi kode jarak jauh (RCE) berbahaya yang ditemukan di Dark Souls 3 dapat membuat aktor jahat mengendalikan komputer Anda, menurut laporan dari Dexerto.

Eksploitasi terlihat beraksi selama aliran Twitch The__Grim__Sleeper dari Dark Souls 3 online. Di akhir streaming (1:20:22), game The__Grim__Sleeper crash, dan suara robot milik generator text-to-speech Microsoft tiba-tiba mulai mengkritik gameplay-nya.

The__Grim__Sleeper kemudian melaporkan bahwa Microsoft PowerShell terbuka dengan sendirinya, pertanda bahwa seorang peretas menggunakan program tersebut untuk menjalankan skrip yang memicu fitur text-to-speech.

Namun, kemungkinan ini bukan peretas jahat — postingan tangkapan layar di Perselisihan SpeedSouls dapat mengungkapkan niat sebenarnya “peretas”.

Menurut posting tersebut, “peretas” tahu tentang kerentanan dan berusaha menghubungi pengembang Dark Souls FromSoftware tentang masalah ini.

Dia laporan tersebut diabaikan, jadi dia mulai menggunakan peretasan pada streamer untuk menarik perhatian pada masalah tersebut.

Blue Sentinel, mod anti-cheat buatan komunitas untuk Dark Souls 3, telah ditambal untuk melindungi dari kerentanan RCE.

Dalam sebuah posting di r/darksouls3 subreddit, seorang pengguna menjelaskan bahwa (semoga) hanya empat orang yang tahu cara mengeksekusi peretasan RCE — dua di antaranya adalah pengembang Blue Sentinel, dan dua lainnya adalah orang-orang “yang mengerjakannya,” mungkin mengacu pada individu yang membantu mengungkap masalah.

Namun, untuk saat ini, mungkin yang terbaik adalah menjauh dari Dark Souls online sampai perbaikan resmi dirilis.

Seorang perwakilan Bandai Namco mengomentari posting Reddit sebagai tanggapan atas masalah ini, dengan menyatakan: “Terima kasih banyak atas pingnya, laporan tentang topik ini telah dikirimkan ke tim internal yang relevan sebelumnya hari ini, informasinya sangat dihargai!” The Verge menghubungi Bandai Namco untuk meminta komentar tetapi tidak segera mendapat tanggapan.

Selengkapnya: The Verge

QNAP: Jauhkan Perangkat NAS Dari Internet Sekarang

by

Pabrikan Taiwan QNAP memperingatkan: Ransomware dan serangan brute force secara luas menargetkan semua perangkat jaringan.

“Korban yang paling rentan adalah perangkat yang terpapar ke Internet tanpa perlindungan apa pun,” kata QNAP pada hari Jumat, mendesak semua pengguna QNAP NAS untuk mengikuti instruksi pengaturan keamanan yang disertakan oleh pembuat NAS Taiwan dalam peringatannya.

Pertama, untuk memeriksa apakah NAS Anda terpapar ke internet, QNAP menginstruksikan pemilik perangkat untuk membuka Penasihat Keamanan perangkat: portal keamanan internal yang mengintegrasikan perangkat lunak anti-virus dan anti-malware.

“NAS Anda terpapar ke Internet dan berisiko tinggi jika ada yang menunjukkan ‘Layanan Administrasi Sistem dapat langsung diakses dari alamat IP eksternal melalui protokol berikut: HTTP’ di dasbor.” —QNAP

Jika perangkat NAS Anda ternyata terbuka ke internet, QNAP merekomendasikan untuk nonaktifkan fungsi Port Forwarding pada router dan fungsi UPnP dari QNAP NAS.

QNAP juga memberikan instruksi terperinci tentang cara mencegah infeksi malware, termasuk melalui kebersihan kata sandi, mengaktifkan IP dan perlindungan akses akun untuk mencegah serangan brute force, menonaktifkan koneksi SSH dan Telnet jika Anda tidak menggunakan layanan ini, dan menghindari penggunaan port default angka seperti 22, 443, 80, 8080 dan 8081.

Selengkapnya: Threat Post

Bug VMware yang Belum Ditambal Sebagian Membuka Pintu untuk Pengambilalihan Hypervisor

by

Kerentanan keamanan di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMware dapat membuka jalan bagi pengambilalihan hypervisor di lingkungan virtual – dan tambalan masih tertunda untuk beberapa pengguna.

Bug (CVE-2021-22045) adalah kerentanan heap-overflow dengan tingkat keparahan tinggi yang membawa peringkat CVSS 7,7 dari 10.

Heap overflows adalah masalah memori yang dapat mengakibatkan kerusakan data atau perilaku tak terduga oleh proses apa pun yang mengakses memori yang terpengaruh area – dalam beberapa kasus mengakibatkan eksekusi kode jarak jauh (RCE).

Dalam hal ini, masalah secara khusus ada dalam fungsi emulasi perangkat CD-ROM dari produk yang terpengaruh.

“Aktor jahat dengan akses ke mesin virtual dengan emulasi perangkat CD-ROM mungkin dapat mengeksploitasi kerentanan ini bersama dengan masalah lain, untuk mengeksekusi kode pada hypervisor dari mesin virtual,” vendor mencatat dalam penasihatnya. “Eksploitasi yang berhasil membutuhkan gambar CD untuk dilampirkan ke mesin virtual.”

Reno Robert, peneliti kerentanan senior untuk Zero Day Initiative dari Trend Micro, mengatakan kepada Threatpost bahwa masalah tersebut disebabkan oleh “kurangnya validasi yang tepat dari panjang data yang disediakan pengguna sebelum menyalinnya ke buffer berbasis heap dengan panjang tetap.”

Selengkapnya: Threat Post

Serangan firmware dapat menyusupkan malware persisten di area tersembunyi pada SSD

by

Satu serangan yang dimodelkan oleh para peneliti di Universitas Korea di Seoul menargetkan area data yang tidak valid dengan informasi yang tidak terhapus yang berada di antara ruang SSD yang dapat digunakan dan area over-provisioning (OP), dan yang ukurannya bergantung pada keduanya.

Makalah penelitian menjelaskan bahwa seorang peretas dapat mengubah ukuran area OP dengan menggunakan manajer firmware, sehingga menghasilkan ruang data tidak valid yang dapat dieksploitasi.

Masalahnya di sini adalah banyak produsen SSD memilih untuk tidak menghapus area data yang tidak valid untuk menghemat sumber daya.

Ruang ini tetap diisi dengan data untuk waktu yang lama, dengan asumsi bahwa pemutusan tautan tabel pemetaan sudah cukup untuk mencegah akses yang tidak sah.

Dengan demikian, aktor ancaman yang memanfaatkan kelemahan ini dapat memperoleh akses ke informasi yang berpotensi sensitif.

Para peneliti mencatat bahwa aktivitas forensik pada memori flash NAND dapat mengungkapkan data yang belum dihapus selama lebih dari enam bulan.

Dalam model serangan kedua, area OP digunakan sebagai tempat rahasia yang tidak dapat dipantau atau dihapus oleh pengguna, tempat aktor ancaman dapat menyembunyikan malware.

Sebagai pertahanan terhadap jenis serangan pertama, para peneliti mengusulkan pembuat SSD menghapus area OP dengan algoritma penghapusan semu yang tidak akan memengaruhi kinerja waktu nyata.

Untuk jenis serangan kedua, tindakan keamanan yang berpotensi efektif terhadap penyuntikan malware di area OP adalah dengan menerapkan sistem pemantauan laju data valid-tidak valid yang mengamati rasio di dalam SSD secara real-time.

Selengkapnya: Bleeping Computer

Peretas APT China Menggunakan Eksploitasi Log4Shell untuk Menargetkan Institusi Akademik

by

Kelompok intrusi bertarget berbasis di China yang belum pernah dilihat sebelumnya yang dijuluki Aquatic Panda telah diamati memanfaatkan kelemahan kritis di perpustakaan logging Apache Log4j sebagai vektor akses untuk melakukan berbagai operasi pasca-eksploitasi, termasuk pengintaian dan pengambilan kredensial pada sistem yang ditargetkan.

Perusahaan keamanan siber CrowdStrike mengatakan penyusupan itu, yang akhirnya berhasil digagalkan, ditujukan pada “lembaga akademis besar” yang tidak disebutkan namanya. Kelompok yang disponsori negara diyakini telah beroperasi sejak pertengahan 2020 dalam mengejar pengumpulan intelijen dan spionase industri, dengan serangannya terutama ditujukan terhadap perusahaan di sektor telekomunikasi, teknologi, dan pemerintah.

Upaya intrusi mengeksploitasi kelemahan Log4Shell yang baru ditemukan (CVE-2021-44228, skor CVSS: 10.0) untuk mendapatkan akses ke instance rentan dari desktop VMware Horizon dan produk virtualisasi aplikasi, diikuti dengan menjalankan serangkaian perintah jahat yang diatur untuk mengambil ancaman muatan aktor yang dihosting di server jauh.

“Versi modifikasi dari eksploitasi Log4j kemungkinan digunakan selama operasi aktor ancaman,” catat para peneliti, menambahkan itu melibatkan penggunaan eksploitasi yang diterbitkan di GitHub pada 13 Desember 2021.

Perilaku jahat Aquatic Panda lebih dari sekadar melakukan pengintaian terhadap host yang disusupi, dimulai dengan berupaya menghentikan layanan deteksi dan respons titik akhir (EDR) pihak ketiga, sebelum melanjutkan untuk mengambil muatan tahap berikutnya yang dirancang untuk mendapatkan shell terbalik dan pencurian kredensial.

Selengkapnya: The Hacker News