Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerabilities

Vulnerabilities

Short seller mengatakan bug situs web Lemonade mengekspos data akun pelanggan asuransi

by

Short seller aktivis telah menulis surat kepada kepala eksekutif raksasa asuransi Lemonade dengan detail tentang cacat keamanan yang “ditemukan secara tidak sengaja” yang mengekspos data akun pelanggan.

Carson Block, pendiri firma riset investasi Muddy Waters Research, mengirim surat kepada salah satu pendiri dan kepala eksekutif Lemonade Daniel Schreiber pada hari Kamis, menggambarkan bug yang memungkinkan siapa pun secara tidak sengaja mengakses data identitas pribadi dari akun pelanggan sebagai “kelalaian yang tidak dapat dimaafkan.”

Surat Block berbunyi: “Dengan mengeklik hasil penelusuran dari mesin telusur publik, kami secara mengejutkan mendapati diri kami masuk dan dapat mengedit akun pelanggan Lemonade tanpa harus memberikan kredensial pengguna apa pun.”

Limun diluncurkan pada tahun 2015 dan menawarkan polis asuransi penyewa, pemilik rumah, dan hewan peliharaan di seluruh AS dan Eropa. Perusahaan go public tahun lalu dan melihat sahamnya meroket lebih dari 130% pada hari penawaran umum perdana. Limun minggu ini melaporkan kerugian kuartalan $ 49 juta, lebih dalam dari yang diperkirakan Wall Street.

Bug itu ditemukan bersama oleh Muddy Waters Research dan Wolfpack Research, kata Block. Dalam sebuah tweet, analis utama Wolfpack, Reed Sherman, mengatakan salah satu pakar keamanan Muddy Waters “dapat mengirimi saya PDF polis asuransi penyewa saya kurang dari 15 menit setelah ini pertama kali ditemukan”.

selengkapnya : techcrunch.com

Kerentanan modem memungkinkan peretas mendengarkan panggilan Anda di jutaan ponsel Android

by

Google dan pabrikan Android lainnya mencoba untuk tetap memantau keamanan perangkat keras dan perangkat lunak, pada berbagai tingkat intensitas. Tetapi kerentanan di Qualcomm SoC yang banyak digunakan yang diungkapkan oleh Check Point Research hari ini sangat mengkhawatirkan. Secara teoritis, itu dapat memungkinkan aplikasi jahat untuk menambal perangkat lunak untuk chip modem MSM Qualcomm, memberinya akses ke riwayat panggilan dan teks atau bahkan kemampuan untuk merekam percakapan.

Rincian masalah Check Point sangat teknis. Tetapi untuk membuatnya dalam istilah awam, kerentanan ditemukan dalam koneksi antara lapisan perangkat lunak Qualcomm Modem Interface (QMI) dari modem dan layanan debugger, memungkinkannya untuk secara dinamis menambal perangkat lunak dan melewati mekanisme keamanan yang biasa. Aplikasi pihak ketiga standar tidak memiliki hak keamanan untuk mengakses QMI, tetapi jika aspek Android yang lebih kritis disusupi, serangan ini dapat digunakan.

Dengan kerentanan yang mereka temukan, para peneliti menentukan bahwa aplikasi berbahaya dapat mendengarkan dan merekam panggilan telepon aktif, mendapatkan catatan panggilan dan SMS, atau bahkan membuka kunci kartu SIM. Check Point memperkirakan bahwa perangkat lunak QMI yang dianggap rentan hadir di sekitar 40% smartphone, dari vendor termasuk Samsung, Google, LG, OnePlus, Xiaomi, dan banyak lagi.

Meskipun metode untuk serangan ini dijelaskan secara luas, informasi khusus yang diperlukan dirahasiakan dari laporan untuk mencegah siapa pun dengan mudah menduplikasi proses tersebut. Sampai sekarang, tidak ada indikasi bahwa metode serangan ini benar-benar digunakan “di alam liar”.

selengkapnya : www.androidpolice.com

Google Project Zero akan memberikan masa tenggang 30 hari sebelum mengungkapkan masalah keamanan

by

Project Zero Google, tim insinyur keamanan khusus yang ditugaskan untuk mengurangi jumlah kerentanan “zero day” di seluruh internet, mengatakan itu akan memberi pengembang 30 hari ekstra sebelum mengungkapkan masalah kerentanan, untuk memberi pengguna akhir waktu untuk menambal perangkat lunak mereka.

Pengembang masih memiliki waktu 90 hari untuk memperbaiki bug, tetapi Project Zero akan menunggu 30 hari lagi sebelum mengungkapkan detail bug tersebut secara publik. Jika kerentanan dieksploitasi secara aktif di alam liar, perusahaan memiliki waktu tujuh hari untuk menerbitkan tambalan, dan masa tenggang tiga hari jika diminta. Tetapi Google Project Zero akan menunggu 30 hari sebelum mengungkapkan detail teknisnya.

Pada tahun 2020, Google mengumumkan uji coba yang memungkinkan pengembang 90 hari untuk mengerjakan pengembangan dan adopsi tambalan, dengan gagasan bahwa jika pengembang menginginkan lebih banyak waktu untuk memungkinkan pengguna memasang tambalan, mereka akan mengirimkan perbaikan di awal 90 hari. Titik. “Namun dalam praktiknya, kami tidak mengamati perubahan signifikan dalam lini masa pengembangan patch, dan kami terus menerima umpan balik dari vendor bahwa mereka khawatir tentang merilis detail teknis tentang kerentanan dan eksploitasi sebelum sebagian besar pengguna menginstal patch,” Project Zero’s Tulis Tim Willis di postingan blognya. “Dengan kata lain, garis waktu tersirat untuk adopsi tambalan tidak dipahami dengan jelas.”

selengkapnya : www.theverge.com

Kerentanan Zoom Kritis memicu eksekusi kode jarak jauh tanpa masukan pengguna

by

Kerentanan zero-day dalam Zoom yang dapat digunakan untuk meluncurkan serangan eksekusi kode jarak jauh (RCE) telah diungkapkan oleh para peneliti.

Pwn2Own, yang diselenggarakan oleh Zero Day Initiative, adalah kontes bagi para profesional dan tim cybersecurity white-hat untuk bersaing dalam menemukan bug dalam perangkat lunak dan layanan populer.

Kompetisi terbaru mencakup 23 entri, bersaing dalam berbagai kategori termasuk browser web, perangkat lunak virtualisasi, server, komunikasi perusahaan, dan eskalasi hak istimewa lokal.

Karena Zoom belum punya waktu untuk menambal masalah keamanan kritis, detail teknis spesifik dari kerentanan tersebut dirahasiakan. Namun, animasi serangan yang sedang beraksi mendemonstrasikan bagaimana penyerang dapat membuka program kalkulator dari mesin yang menjalankan Zoom setelah eksploitnya.

Vendor memiliki jangka waktu 90 hari, yang merupakan praktik standar dalam program pengungkapan kerentanan, untuk menyelesaikan masalah keamanan yang ditemukan. Pengguna akhir hanya perlu menunggu tambalan dikeluarkan – tetapi jika khawatir, mereka dapat menggunakan versi peramban untuk sementara.

selengkapnya : www.zdnet.com

Zero-Day Bug Impacts Problem-Plagued Cisco SOHO Routers

by

Cisco mengatakan tidak akan menambal tiga model router bisnis kecil dan satu perangkat firewall VPN dengan kerentanan kritis.

Cisco Systems mengatakan tidak akan memperbaiki kerentanan kritis yang ditemukan di tiga model router SOHO-nya. Bug, dengan tingkat keparahan 9,8 dari 10, dapat memungkinkan pengguna jarak jauh yang tidak diautentikasi untuk membajak peralatan yang ditargetkan dan mendapatkan hak istimewa yang lebih tinggi dalam sistem yang terpengaruh.

Tiga model router Cisco (RV110W, RV130, dan RV215W) dan satu perangkat firewall VPN (RV130W) memiliki usia yang bervariasi dan telah mencapai “akhir masa pakai” dan tidak akan ditambal, menurut Cisco.

Perusahaan menyarankan pelanggan untuk mengganti peralatan tersebut.

“Cisco belum merilis dan tidak akan merilis pembaruan perangkat lunak untuk mengatasi kerentanan yang dijelaskan dalam nasihat ini. Cisco Small Business RV110W, RV130, RV130W, dan RV215W Routers telah memasuki proses akhir masa pakainya, ”tulis perusahaan itu. Perusahaan menambahkan tidak ada solusi yang tersedia juga.

selengkapnya : threatpost.com

Perangkat NAS QNAP Lama Rentan terhadap Serangan Zero-Day

by

Beberapa model lawas dari perangkat penyimpanan yang terpasang pada jaringan QNAP rentan terhadap serangan yang tidak diautentikasi dari jarak jauh karena dua kerentanan yang belum ditambal.

Dua bug zero-day yang kritis memengaruhi perangkat keras penyimpanan Sistem QNAP lama, dan mengekspos perangkat ke penyerang jarak jauh yang tidak diautentikasi.

Bug, yang dilacak sebagai CVE-2020-2509 dan CVE-2021-36195, memengaruhi perangkat keras penyimpanan terpasang jaringan (NAS) model TS-231 QNAP, memungkinkan penyerang memanipulasi data yang disimpan dan membajak perangkat. Kerentanan, juga memengaruhi beberapa perlengkapan QNAP NAS non-lama. Namun, penting untuk dicatat bahwa tambalan tersedia untuk perangkat keras NAS QNAP non-lawas.

Patch untuk perangkat NAS model TS-231 model QNAP yang sekarang sudah tidak digunakan, pertama kali dirilis pada tahun 2015, dijadwalkan akan dirilis dalam beberapa minggu, perwakilan QNAP mengatakan kepada Threatpost.

Patch untuk perangkat QNAP model saat ini perlu diunduh dari pusat unduhan QNAP dan diterapkan secara manual.

Kedua bug tersebut diungkapkan pada hari Rabu oleh peneliti SAM Seamless Network, yang merilis detail teknis terbatas. Pengungkapan tersebut dilakukan sebelum pengungkapan resmi QNAP kepada publik tentang kerentanan, dan sejalan dengan kebijakan pengungkapan SAM Seamless Network yang memberikan waktu tiga bulan kepada vendor untuk mengungkapkan detail kerentanan. Kedua kekurangan tersebut ditemukan dalam jangka waktu Oktober dan November 2020 dan dipublikasikan pada hari Rabu.

selengkapnya : threatpost.com

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

Para ahli menemukan tiga bug baru berusia 15 tahun dalam modul kernel Linux

by

Peneliti GRIMM menemukan tiga kerentanan dalam komponen SCSI (Small Computer System Interface) dari kernel Linux, masalah tersebut dapat dieksploitasi oleh penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

Antarmuka Sistem Komputer Kecil mendefinisikan bus I / O paralel dan protokol data untuk menghubungkan berbagai periferal (disk drive, tape drive, modem, printer, pemindai, drive optik, peralatan uji, dan perangkat medis) ke host komputer.
Cacat ada pada komponen sejak dikembangkan pada tahun 2006.

Kerentanan pertama, dilacak sebagai CVE-2021-27365, adalah heap buffer overflow di subsistem iSCSI.

“Kerentanan dipicu dengan menyetel atribut string iSCSI ke nilai yang lebih besar dari satu halaman, lalu mencoba membacanya.” membaca analisis yang diterbitkan oleh peneliti GRIMM. “Lebih khusus lagi, pengguna tanpa hak istimewa dapat mengirim pesan netlink ke subsistem iSCSI (dalam driver / scsi / scsi_transport_iscsi.c) yang menetapkan atribut yang terkait dengan koneksi iSCSI, seperti nama host, nama pengguna, dll, melalui fungsi helper di driver / scsi /libiscsi.c. Atribut ini hanya dibatasi ukurannya dengan panjang maksimum pesan netlink (baik 232 atau 216 bergantung pada kode tertentu yang memproses pesan). ”

Kerentanan kedua, dilacak sebagai CVE-2021-27363, adalah kerentanan heap overflow. Para peneliti menemukan kebocoran kernel pointer yang dapat digunakan untuk menentukan alamat struktur iscsi_transport.

Cacat terakhir, dilacak sebagai CVE-2021-27364, adalah masalah pembacaan kernel di luar batas yang terdapat dalam modul libiscsi (drivers / scsi / libiscsi.c).

selengkapnya : securityaffairs.co