Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Microsoft June 2023 Patch Tuesday memperbaiki 78 kekurangan, 38 bug RCE

by

Hari ini adalah Patch Selasa Juni 2023 Microsoft, dengan pembaruan keamanan untuk 78 kelemahan, termasuk 38 kerentanan eksekusi kode jarak jauh.

Sementara tiga puluh delapan bug RCE telah diperbaiki, Microsoft hanya mencantumkan enam kelemahan sebagai ‘Kritis’, termasuk penolakan serangan layanan, eksekusi kode jarak jauh, dan peningkatan hak istimewa.

Jumlah bug di setiap kategori kerentanan

  • tercantum

    • di bawah ini:

    • 17 Elevation of Privilege Vulnerabilities
    • 3 Security Feature Bypass Vulnerabilities
    • 32 Remote Code Execution Vulnerabilities
    • 5 Information Disclosure Vulnerabilities
    • 10 Denial of Service Vulnerabilities
    • 10 Spoofing Vulnerabilities
    • 1 Edge – Chromium Vulnerabilities

    Daftar ini tidak menyertakan enam belas kerentanan Microsoft Edge yang sebelumnya diperbaiki pada 2 Juni 2023.

    Patch Tuesday ini tidak memperbaiki kerentanan zero-day atau bug yang dieksploitasi secara aktif, menghilangkan beberapa tekanan yang biasanya dirasakan oleh admin Windows selama hari ini.

    sumber : bleepingcomputer.com

    UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

    by

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

    CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

    sumber : thehackernews.com

    Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

    by

    Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

    MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

    Detail serangan
    Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

    Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

    Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

    “Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

    Webshell diintasl oleh exploit di MOVEit Transfer Servers.
    Sumber : BleepingComputer

    Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

    Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

    • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
    • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
    • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

    Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

    Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

    sumber : BleepingComputer

    Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

    by

    Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

    Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

    Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

    Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

    Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

    Selengkapnya: techradar.pro

    CISA Memperingatkan Bug Kritis Dalam Sistem Pengurutan DNA Illumina

    by

    Badan Keamanan Infrastruktur Cybersecurity A.S. (CISA) dan FDA telah mengeluarkan peringatan darurat tentang dua kerentanan yang mempengaruhi Layanan Salinan Universal (UCS) Illumina, yang digunakan untuk pengurutan DNA di fasilitas medis dan laboratorium di seluruh dunia.

    Kerentanan tersebut memungkinkan aktor jahat yang tidak diautentikasi dapat mengunggah dan mengeksekusi kode secara remote di tingkat sistem operasi, membuat penyerang dapat mengubah pengaturan, konfigurasi, perangkat lunak, atau mengakses data sensitif pada produk yang terpengaruh.

    Illumina merupakan perusahaan teknologi medis di California yang mengembangkan dan memproduksi bioanalisis canggih dan mesin pengurutan DNA.

    Penasehat oleh FDA mengatakan bahwa pada 5 April, Illumina mengirimkan pemberitahuan pada pelanggan yang terkena dampak, menginstruksikan mereka untuk mencari tanda-tanda potensi eksploitasi kerentanan.

    Kerentanan pertama yaitu CVE-2023-1968 (skor CVSS v3: 10.0, “kritis”), memungkinkan penyerang jarak jauh mengikat ke alamat IP yang terbuka, memungkinkan penyerang yang tidak diautentikasi untuk mendengarkan semua lalu lintas jaringan untuk menemukan host yang lebih rentan di jaringan.

    Sementara kerentanan kedua adalah CVE-2023-1966 (skor CVSS v3: 7.4, “tinggi”), merupakan kesalahan konfigurasi keamanan yang memungkinkan pengguna UCS untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

    Beberapa produk Illumina yang terdampak membuatnya menerbitkan saran mengenai langkah apa yang harus diambil dalam setiap kasus. CISA turut merekomendasikan pengguna agar meminimalkan paparan sistem kontrol ke internet, menggunakan firewall, dan VPN saat diperlukan akses jarak jauh.

    Selengkapnya: BleepingComputer

    Lookout Menemukan ‘BouldSpy’, Android Spyware Terkait dengan Polisi Iran yang Menargetkan Minoritas

    by

    Para peneliti di Lookout Threat Lab telah menemukan alat pengawasan Android baru yang penulis kaitkan dengan keyakinan sedang kepada Komando Penegakan Hukum Republik Islam Iran (FARAJA).

    Spyware BouldSpy untuk kelas “BoulderApplication” yang mengonfigurasi perintah dan kontrol alat (C2), telah dilacak sejak Maret 2020. Mulai tahun 2023, malware tersebut telah menarik perhatian peneliti keamanan di Twitter dan oleh orang lain dalam ancaman tersebut.

    Komunitas intelijen mencirikannya sebagai botnet Android dan ransomware. Sementara BouldSpy menyertakan kode ransomware, peneliti Lookout menilai bahwa itu tidak digunakan dan tidak berfungsi, tetapi dapat menunjukkan pengembangan yang sedang berlangsung atau upaya penyesatan dari pihak aktor.

    Berdasarkan analisis kami terhadap data yang dieksfiltrasi dari server C2 untuk spyware, BouldSpy telah mengorbankan lebih dari 300 orang, termasuk kelompok minoritas seperti Kurdi Iran, Baluchis, Azeri, dan kemungkinan kelompok Kristen Armenia.

    Bukti yang dikumpulkan menyiratkan bahwa spyware mungkin juga telah digunakan dalam upaya melawan dan memantau aktivitas perdagangan ilegal yang berkaitan dengan senjata, narkoba, dan alkohol.

    Penulis meyakini bahwa FARAJA menggunakan akses fisik ke perangkat untuk menginstal BouldSpy guna memantau target lebih jauh saat dirilis.

    Spyware ‘BouldSpy’ mewakili alat pengawasan lain yang memanfaatkan sifat pribadi perangkat seluler.

    Beberapa aplikasi yang ditiru oleh BouldSpy termasuk CPU-Z, alat perbandingan CPU seluler, Konverter Mata Uang Pro, kalkulator bunga berbahasa Persia, dan aplikasi Fake Call.

    Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon
    Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon

    Kemampuan penting dari BouldSpy adalah dapat merekam panggilan suara melalui beberapa aplikasi Voice over IP (VoIP) serta aplikasi ponsel Android standar, termasuk WhatsApp, Kakao, LINE, Telegram VoIP, Microsoft Office 365 VoIP functionality, Skype, Slack VoIP, WeChat, dan lainnya.

    Selengkapnya: Lookout

    Banyak Situs Salesforce Publik Membocorkan Data Pribadi

    by

    Salesforce Community adalah produk perangkat lunak berbasis cloud yang banyak digunakan yang memudahkan organisasi membuat situs web dengan cepat. Pelanggan dapat mengakses situs web Komunitas Salesforce dengan dua cara: Akses terotentikasi (memerlukan login), dan akses pengguna tamu (tidak perlu login). Fitur akses tamu memungkinkan pengguna yang tidak diautentikasi untuk melihat konten dan sumber daya tertentu tanpa perlu masuk.

    Namun, terkadang administrator Salesforce secara keliru memberikan akses kepada pengguna tamu ke sumber daya internal, yang dapat menyebabkan pengguna yang tidak sah mengakses informasi pribadi organisasi dan menyebabkan potensi kebocoran data.

    Hingga dihubungi oleh reporter ini pada hari Senin, negara bagian Vermont memiliki setidaknya lima situs Komunitas Salesforce terpisah yang memungkinkan akses tamu ke data sensitif, termasuk program Bantuan Pengangguran Pandemi yang mengungkap nama lengkap pemohon, nomor Jaminan Sosial, alamat, nomor telepon , email, dan nomor rekening bank.

    Data itu kemudian dijual di forum kejahatan dunia maya teratas. Associated Press melaporkan bahwa pelanggaran DC Health Link juga merupakan hasil dari kesalahan manusia, dan mengatakan penyelidikan mengungkapkan penyebabnya adalah server DC Health Link yang “salah dikonfigurasi untuk mengizinkan akses ke laporan di server tanpa otentikasi yang tepat.”

    Salesforce mengatakan paparan data bukanlah hasil dari kerentanan yang melekat pada platform Salesforce, tetapi hal itu dapat terjadi ketika izin kontrol akses pelanggan salah dikonfigurasi.

    selengkapnya : krebsonsecurity