Vulnerabilities

Intel memperbaiki kerentanan di Windows, driver grafis Linux

February 13, 2021 by Winnie the Pooh

Intel membahas 57 kerentanan keamanan selama Patch Tuesday bulan ini, termasuk yang sangat parah yang memengaruhi Driver Grafis Intel.

40 di antaranya ditemukan secara internal oleh Intel, sedangkan 17 lainnya dilaporkan secara eksternal, hampir semuanya melalui program Bug Bounty Intel.

Microsoft juga telah merilis pembaruan mikrokode Intel untuk Windows 10 20H2, 2004, 1909, dan versi yang lebih lama untuk memperbaiki masalah yang memengaruhi versi Windows 10 saat ini dan yang dirilis sebelumnya.

Pembaruan kode mikro ini ditawarkan ke perangkat yang terpengaruh melalui Pembaruan Windows tetapi juga dapat diunduh secara manual langsung dari Katalog Microsoft menggunakan tautan berikut:

• KB4589212: Pembaruan mikrokode Intel untuk Windows 10, versi 2004 dan 20H2, dan Windows Server, versi 2004 dan 20H2
• KB4589211: Pembaruan mikrokode Intel untuk Windows 10, versi 1903 dan 1909, dan Windows Server, versi 1903 dan 1909
• KB4589208: Pembaruan mikrokode Intel untuk Windows 10, versi 1809 dan Windows Server 2019
• KB4589206: Pembaruan kode mikro Intel untuk Windows 10, versi 1803
• KB4589210: Pembaruan mikrokode Intel untuk Windows 10, versi 1607 dan Windows Server 2016
• KB4589198: Pembaruan mikrokode Intel untuk Windows 10, versi 1507

Namun, penting untuk menyebutkan bahwa pembaruan serupa diketahui telah menyebabkan sistem macet dan masalah kinerja pada CPU lama di masa lalu karena cara masalah tersebut diatasi.

selengkapnya : BleepingComputer

3 Kerentanan di TinyCheck yang didukung Kaspersky

February 13, 2021 by Winnie the Pooh

Dalam penelitian terbaru Sayfer, menemukan 3 kerentanan berbeda di TinyCheck, alat sumber terbuka yang dikembangkan dan diterbitkan oleh Félix Aimé, salah satu pakar GReAT Kaspersky. Setiap kerentanan memiliki tingkat keparahan yang tinggi. Setelah digabungkan menjadi sebuah rantai, penyerang jarak jauh dapat memanfaatkannya untuk mendapatkan RCE (eksekusi kode jarak jauh) pada mesin TinyCheck jarak jauh.

Singkatnya, Sayfer menggunakan kredensial default TinyCheck untuk mengedit dua bagian dalam file konfigurasi:

Yang pertama, menambahkan muatan berbahaya, yang akan dieksekusi nanti melalui kerentanan injeksi perintah.
Yang kedua, menambahkan URL ke daftar yang akan menyebabkan SSRF, yang nantinya akan memicu muatan berbahaya dari bagian pertama.

Kerentanan # 1 – Kredensial Default
Ini adalah yang paling sederhana dari 3 kerentanan, tetapi penting untuk keseluruhan serangan. Secara default, TinyCheck hadir dengan kredensial default “tinycheck” sebagai nama pengguna dan kata sandi.

Kerentanan # 2 – SSRF
Server side request forget (SSRF) selalu menarik dan sering kali diabaikan oleh pengembang atau peneliti keamanan. Dengan mengeksploitasi kerentanan ini, Sayfer dapat memaksa server untuk membuat permintaan HTTP. Ini berguna untuk melewati firewall atau untuk mengakses jaringan internal, yang sebelumnya tidak dapat diakses.

Kerentanan # 3 – Command Injection
Sayfer mulai menyelidiki server “frontend”. Jangan bingung dengan namanya, ini adalah server Flask, bukan hanya frontend JS.

Dengan memiliki dunia titik akhir yang benar-benar baru dari kerentanan SSRF, Sayfer memeriksa kelas layanan, fungsi, dan utilitas yang mungkin dapat dieksploitasi.

selengkapnya : Sayfer

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Winnie the Pooh

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Cacat Cisco Tingkat Keparahan Tinggi Ditemukan di Perangkat Lunak CMX Untuk Retail

January 14, 2021 by Winnie the Pooh

Cacat yang sangat parah dalam solusi Wi-Fi pintar Cisco untuk pengecer dapat memungkinkan penyerang jarak jauh untuk mengubah kata sandi pengguna akun mana pun pada sistem yang terpengaruh.

Kerentanan tersebut merupakan bagian dari sejumlah tambalan yang dikeluarkan oleh Cisco yang menangani 67 CVE tingkat keparahan tinggi pada hari Rabu. Ini termasuk kekurangan yang ditemukan di AnyConnect Secure Mobility Client Cisco, serta router bisnis kecil Cisco RV110W, RV130, RV130W, dan RV215W.

Cacat paling serius menimpa Cisco Connected Mobile Experiences (CMX), solusi perangkat lunak yang digunakan pengecer untuk memberikan wawasan bisnis atau analitik pengalaman pelanggan di tempat. Solusinya menggunakan infrastruktur nirkabel Cisco untuk mengumpulkan harta karun data dari jaringan Wi-Fi pengecer, termasuk pelacakan lokasi pelanggan secara waktu nyata.

Misalnya, jika pelanggan terhubung ke jaringan Wi-Fi toko yang menggunakan CMX, pengecer dapat melacak lokasi mereka di dalam tempat tersebut, mengamati perilaku mereka, dan memberikan penawaran atau promosi khusus kepada mereka-saat mereka berada di sana.

Kerentanan (CVE-2021-1144) disebabkan oleh penanganan pemeriksaan otorisasi yang salah untuk mengubah sandi. Cacat tersebut menempati urutan 8.8 dari 10 pada skala kerentanan-keparahan CVSS, menjadikannya sangat parah. Catatan, untuk mengeksploitasi kekurangan tersebut, penyerang harus memiliki akun CMX yang diautentikasi – tetapi tidak memerlukan hak administratif.

Admin memiliki berbagai hak istimewa, termasuk kemampuan untuk menggunakan perintah File Transfer Protocol (FTP) untuk mencadangkan dan memulihkan data di Cisco CMX dan mendapatkan akses ke kredensial (untuk membuka kunci pengguna yang telah terkunci dari akun mereka).

Kerentanan ini memengaruhi rilis Cisco CMX 10.6.0, 10.6.1, dan 10.6.2; masalah telah diperbaiki di Cisco CMX rilis 10.6.3 dan yang lebih baru.

Cacat tingkat keparahan tinggi lainnya (CVE-2021-1237) ada di Cisco AnyConnect Secure Mobility Client untuk Windows. AnyConnect Secure Mobility Client, produk perangkat lunak titik akhir modular, menyediakan berbagai layanan keamanan (seperti akses jarak jauh, fitur keamanan web, dan perlindungan roaming) untuk titik akhir.

Dan, lima CVE lagi (CVE-2021-1146, CVE-2021-1147, CVE-2021-1148, CVE-2021-1149 dan CVE-2021-1150) di router Cisco Small Business RV110W, RV130, RV130W, dan RV215W dapat mengizinkan penyerang jarak jauh yang diautentikasi untuk memasukkan perintah arbitrer yang dijalankan dengan hak akses root.

sumber :ThreatPost

Bug Penting Plugin WordPress Ditemukan di ‘Orbit Fox’ Memungkinkan Pengambilalihan Situs

January 14, 2021 by Winnie the Pooh

Dua kerentanan (satu kritis) dalam plugin WordPress yang disebut Orbit Fox dapat memungkinkan penyerang memasukkan kode berbahaya ke situs web yang rentan dan / atau mengendalikan situs web.

Orbit Fox adalah plugin WordPress multi-fitur yang bekerja dengan utilitas pembuat situs Elementor, Beaver Builder dan Gutenberg. Ini memungkinkan administrator situs menambahkan fitur seperti formulir pendaftaran dan widget. Plugin, dari pengembang bernama ThemeIsle, telah diinstal oleh 400.000+ situs.

Menurut para peneliti di Wordfence, cacat pertama (CVE sedang menunggu) adalah cacat eskalasi hak istimewa yang diautentikasi yang membawa skor keparahan bug CVSS 9,9, membuatnya kritis. Penyerang terautentikasi dengan akses level kontributor atau lebih tinggi dapat meningkatkan status mereka menjadi administrator dan berpotensi mengambil alih situs WordPress.

Sementara itu, bug kedua adalah masalah pembuatan skrip lintas situs (XSS) tersimpan yang diautentikasi yang memungkinkan penyerang dengan akses tingkat kontributor atau pengarang untuk memasukkan JavaScript ke dalam posting. Injeksi ini dapat digunakan untuk mengarahkan pengunjung ke situs malvertising atau membuat pengguna administratif baru, di antara tindakan lainnya. Itu dinilai 6,4 pada skala CVSS, menjadikannya tingkat keparahan sedang.

sumber : ThreatPost

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

November 19, 2020 by Winnie the Pooh

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Bug Cisco Webex memungkinkan penyerang untuk bergabung dalam rapat sebagai pengguna hantu

November 19, 2020 by Winnie the Pooh

Cisco berencana untuk memperbaiki tiga kerentanan di aplikasi konferensi video Webex yang memungkinkan penyerang menyelinap dan bergabung dengan rapat Webex sebagai pengguna bayangan, yang tidak terlihat oleh peserta lain.

Kerentanan tersebut ditemukan awal tahun ini oleh peneliti keamanan dari IBM, yang melakukan peninjauan terhadap alat kerja jarak jauh yang digunakan raksasa perangkat lunak teknologi tersebut secara internal selama pandemi virus corona.

Para peneliti mengatakan tiga bug, jika digabungkan, akan memungkinkan penyerang untuk:
1. Bergabunglah dengan rapat Webex sebagai pengguna bayangan, tidak terlihat oleh orang lain di daftar peserta, tetapi dengan akses penuh ke audio, video, obrolan, dan berbagi layar.
2. Tetap berada dalam rapat Webex sebagai pengguna audio hantu bahkan setelah dikeluarkan darinya.
3. Dapatkan informasi tentang peserta rapat, seperti nama lengkap, alamat email, dan alamat IP. Informasi ini juga dapat diperoleh dari lobi ruang rapat, bahkan sebelum penyerang menerima panggilan.

Peneliti IBM mengatakan bug berada dalam proses “jabat tangan” yang terjadi saat pertemuan Webex baru dibuat. Cisco akan merilis patch hari ini untuk tiga kerentanan Webex yang dilaporkan oleh tim IBM – yaitu CVE-2020-3441, CVE-2020-3471, dan CVE-2020-3419.

sumber : ZDNET

Heartbleed, BlueKeep dan kerentanan lainnya tidak hilang hanya karena tidak pernah dibicarakan lagi.

November 18, 2020 by Winnie the Pooh

Karena kerentanan kritis baru ditemukan dan dipublikasikan hampir setiap hari, maka tidak heran jika profesional keamanan dan media berorientasi keamanan cenderung berfokus pada hal ini dan tidak kembali ke kerentanan yang muncul sebelumnya. Kecuali jika ada kampanye eksploitasi besar-besaran. Hal ini tidak menimbulkan masalah bagi organisasi, yang berhasil menambal kerentanan tepat waktu, tetapi bagi banyak orang lainnya kerentanan “historis” masih menimbulkan bahaya yang nyata dan nyata.

Jan Kaprova, penulis di Internet Storm Center melihat jumlah mesin yang yang masih terpengaruh oleh CVE-2020-0796, juga dikenal sebagai SMBGhost. Melihat sangat tinggi membuat jan berpikir tentang seberapa tinggi angka tersebut untuk kerentanan berdampak tinggi lainnya (dan yang lebih lama). dan menghasilkan report top 10 kerentanan “lawas” dengan CVE-2019-0211 yang masih terdapat pada 3357835 sistem dengan skor CVSSv3 7.8.

bahkan CVE-2014-0160, atau yang dikenal dengan Heartbleed. masih beradmpak pada 204878 sistem dengan skor CVSSv3 7.5. Angka yang cukup tinggi untuk kerentanan yang berusia 6 Tahun. Jan memperingatkan salah satu dari kerentanan ini mungkin berpotensi mengancam kemanan sistem suatu hari nanti.

Source : Internet Storm Center

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerabilities

Cookies Settings