Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Microsoft June 2023 Patch Tuesday memperbaiki 78 kekurangan, 38 bug RCE

by

Hari ini adalah Patch Selasa Juni 2023 Microsoft, dengan pembaruan keamanan untuk 78 kelemahan, termasuk 38 kerentanan eksekusi kode jarak jauh.

Sementara tiga puluh delapan bug RCE telah diperbaiki, Microsoft hanya mencantumkan enam kelemahan sebagai ‘Kritis’, termasuk penolakan serangan layanan, eksekusi kode jarak jauh, dan peningkatan hak istimewa.

Jumlah bug di setiap kategori kerentanan

  • tercantum

    • di bawah ini:

    • 17 Elevation of Privilege Vulnerabilities
    • 3 Security Feature Bypass Vulnerabilities
    • 32 Remote Code Execution Vulnerabilities
    • 5 Information Disclosure Vulnerabilities
    • 10 Denial of Service Vulnerabilities
    • 10 Spoofing Vulnerabilities
    • 1 Edge – Chromium Vulnerabilities

    Daftar ini tidak menyertakan enam belas kerentanan Microsoft Edge yang sebelumnya diperbaiki pada 2 Juni 2023.

    Patch Tuesday ini tidak memperbaiki kerentanan zero-day atau bug yang dieksploitasi secara aktif, menghilangkan beberapa tekanan yang biasanya dirasakan oleh admin Windows selama hari ini.

    sumber : bleepingcomputer.com

    Fortinet memperbaiki kerentanan RCE kritis di perangkat Fortigate SSL-VPN, tambal sekarang!

    by

    Fortinet telah merilis pembaruan firmware Fortigate baru yang memperbaiki kerentanan eksekusi kode jarak jauh pra-otentikasi kritis yang dirahasiakan di perangkat SSL VPN.

    Perbaikan keamanan dirilis pada hari Jumat dalam firmware FortiOS versi 6.0.17, 6.2.15, 6.4.13, 7.0.12, dan 7.2.5.

    Meskipun tidak disebutkan dalam release note, praktisi keamanan dan admin telah melaporkan bahwa pembaruan tersebut diam-diam memperbaiki kerentanan kritis SSL-VPN RCE yang akan diungkapkan pada Selasa, 13 Juni 2023.

    “Kerentanan tersebut akan memungkinkan agen yang bermusuhan melakukan interferensi melalui VPN, bahkan jika MFA diaktifkan,” kata penasihat dari perusahaan keamanan siber Prancis Olympe Cyberdefense.

    “Sampai saat ini, semua versi akan terpengaruh, kami menunggu rilis CVE pada 13 Juni 2023 untuk mengonfirmasi informasi ini.”

    Fortinet diketahui memberikan patch keamanan sebelum mengungkapkan kerentanan kritis untuk memberi pelanggan waktu untuk memperbarui perangkat mereka sebelum aktor ancaman merekayasa balik tambalan tersebut.

    Hari ini, informasi tambahan diungkapkan oleh peneliti kerentanan Keamanan Lexfo, Charles Fol, yang mengatakan kepada BleepingComputer bahwa pembaruan FortiOS yang baru menyertakan perbaikan untuk kerentanan RCE kritis yang ditemukan oleh dia dan Rioru.

    “Fortinet menerbitkan tambalan untuk CVE-2023-27997, kerentanan Eksekusi Kode Jarak Jauh @DDXhunter dan saya melaporkan,” demikian bunyi tweet oleh Fol.

    “Ini adalah pra-otentikasi yang dapat dijangkau, di setiap alat SSL VPN. Tambal Fortigate Anda. Detailnya nanti. #xortigate.”

    Selengkapnya: Bleeping Computer

    Para Ahli Mengungkap Eksploitasi untuk Kerentanan Windows Terbaru Sedang Aktif Diekploitasi

    by

    Muncul laporan tentang celah keamanan dalam Microsoft Windows yang sedang dieksploitasi secara aktif, yang dapat disalahgunakan oleh penyerang untuk memperoleh hak istimewa yang lebih tinggi pada sistem yang terpengaruh.

    Kerentanan ini, yang dikenali sebagai CVE-2023-29336, memiliki tingkat keparahan 7.8 dan berkaitan dengan bug elevation of privilege dalam komponen Win32k.

    “Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” ungkap Microsoft dalam sebuah peringatan yang dikeluarkan bulan lalu sebagai bagian dari pembaruan Patch Tuesday.

    Peneliti Avast, yaitu Jan Vojtěšek, Milánek, dan Luigino Camastra, diakui sebagai orang yang menemukan dan melaporkan kerentanan ini.

    Win32k.sys adalah driver mode kernel dan bagian integral dari arsitektur Windows, bertanggung jawab atas graphical user interface (GUI) dan pengelolaan jendela.

    Meskipun rincian spesifik tentang penyalahgunaan celah ini di lingkungan nyata saat ini belum diketahui, Numen Cyber telah memecahkan kode dari pembaruan yang dirilis oleh Microsoft untuk membuat eksplorasi konsep (PoC) yang digunakan sebagai bukti untuk Windows Server 2016.

    Perusahaan keamanan siber yang berbasis di Singapura menyatakan bahwa kerentanan ini bergantung pada alamat kernel handle yang bocor di memori heap untuk akhirnya memperoleh izin read-write.

    “Kerentanan Win32k telah dikenal dalam sejarah,” kata Numen Cyber. “Namun, dalam versi pratinjau Windows 11 terbaru, Microsoft telah mencoba memperbarui bagian kode kernel ini menggunakan Rust. Hal ini mungkin akan menghilangkan kerentanan semacam itu di sistem baru di masa depan.”

    Numen Cyber membedakan dirinya dari perusahaan keamanan Web3 biasa dengan menekankan perlunya kemampuan keamanan lanjutan, khususnya dalam hal serangan keamanan dan pertahanan tingkat OS. Produk dan layanan mereka menawarkan solusi terkini untuk mengatasi tantangan keamanan unik yang dihadapi dalam lingkungan Web3.

    Selengkapnya: The Hacker News

    UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

    by

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

    CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

    sumber : thehackernews.com

    Backdoor pada Enkripsi Mobile Phone dari Tahun 90an Masih Ditemui

    by

    Algoritma enkripsi GEA-1 diterapkan pada telepon genggam pada tahun 1990-an untuk mengenkripsi koneksi data. Sejak saat itu, algoritma ini tetap dirahasiakan.

    Namun, sekarang, tim peneliti dari Ruhr-Universität Bochum (RUB), bersama dengan rekan-rekan dari Prancis dan Norwegia, telah menganalisis algoritma tersebut dan mencapai kesimpulan berikut: GEA-1 sangat mudah ditembus sehingga harus merupakan enkripsi yang sengaja lemah yang dimasukkan sebagai pintu belakang.

    Meskipun kerentanan ini masih ada pada banyak telepon genggam modern, menurut para peneliti, kerentanan ini tidak lagi menimbulkan ancaman yang signifikan bagi pengguna.

    Para ahli keamanan IT mendapatkan algoritma GEA-1 dan GEA-2 dari sumber yang ingin tetap anonim dan memverifikasi keaslian algoritma tersebut pada langkah pertama.

    Sandi-sandi ini digunakan untuk mengenkripsi lalu lintas data melalui jaringan 2G, misalnya saat mengirim email atau mengunjungi situs web. Para peneliti menganalisis bagaimana tepatnya algoritma ini bekerja.

    Mereka menunjukkan bahwa GEA-1 menghasilkan kunci enkripsi yang terbagi menjadi tiga bagian, dua di antaranya hampir identik. Kunci-kunci ini relatif mudah ditebak karena arsitektur mereka.

    Para ahli IT juga mengkaji algoritma GEA-2. Algoritma ini hampir tidak lebih aman daripada GEA-1. “GEA-2 mungkin merupakan upaya untuk membuat penerus GEA-1 yang lebih aman,” kata Gregor Leander. “Namun, GEA-2 juga tidak jauh lebih baik. Setidaknya algoritma ini tampaknya tidak sengaja tidak aman.”

    Enkripsi yang dihasilkan oleh GEA-1 dan GEA-2 sangat lemah sehingga dapat digunakan untuk mendekripsi dan membaca data terenkripsi secara langsung yang dikirim melalui jaringan 2G. Saat ini, sebagian besar lalu lintas data dikirim melalui jaringan 4G, yang juga disebut LTE.

    Selain itu, data sekarang dilindungi dengan enkripsi transportasi tambahan. Oleh karena itu, para peneliti berasumsi bahwa kerentanan lama yang masih ada tidak lagi menjadi ancaman serius bagi pengguna.

    Selengkapnya: EurekAlert!

    Serangan Wi-Fi MITM Baru yang Dapat Menembus Mekanisme Keamanan WPA3

    by

    Sebuah kerentanan kritis dalam chipset NPU yang baru ditemukan oleh peneliti dari Universitas Tsinghua dan George Mason University memungkinkan penyerang untuk menguping data yang ditransmisikan melalui 89% jaringan Wi-Fi dunia nyata dengan memanfaatkannya.

    Serangan ini mampu melewati mekanisme keamanan link-layer seperti WPA3 dan mencegat lalu lintas teks biasa, telah dijelaskan dalam makalah penelitian yang diterima oleh Simposium Keamanan dan Privasi IEEE 2023.

    Penggunaan akselerasi perangkat keras, seperti chipset NPU dalam jaringan Wi-Fi, meningkatkan kecepatan transmisi data dan mengurangi latensi, tetapi juga memperkenalkan masalah keamanan karena transmisi langsung frame nirkabel oleh router Access Point (AP).

    Untuk memprioritaskan kinerja, NPU pada router AP seperti Qualcomm IPQ5018 dan HiSilicon Gigahome Quad-core akan langsung mengirimkan pesan pengalihan ICMP palsu yang diterima ke pencari korban.

    Ketika korban menerima pesan tersebut, ia ditipu untuk memperbarui cache routing-nya dan menggantikan langkah selanjutnya dengan alamat IP penyerang, sehingga paket IP berikutnya yang seharusnya ditujukan ke server dialihkan ke penyerang di lapisan IP, memungkinkan pengiriman paket oleh penyerang.

    Dengan diam-diam dan tanpa menggunakan AP palsu, penyerang secara efektif melakukan serangan MITM, memungkinkan penyadapan dan modifikasi lalu lintas korban.

    Kerentanan yang mencegah perangkat AP untuk memblokir pesan pengalihan ICMP palsu ini telah dikonfirmasi oleh Qualcomm dan Hisilicon, dengan Qualcomm memberikan CVE-2022-25667 untuk masalah khusus ini.

    Analisis keamanan yang melakukan studi empiris besar-besaran terhadap router AP utama dan jaringan Wi-Fi dunia nyata menemukan bahwa kerentanan dalam NPU tersemat mempengaruhi hampir semua router AP utama.

    Dari 55 router AP yang rentan yang diuji dari 10 vendor AP terkenal, para ahli menemukan bahwa lebih dari 89% dari 122 jaringan Wi-Fi dunia nyata yang diuji terpapar serangan yang sudah diketahui.

    Sebagai rekomendasi mitigasi, para ahli telah mengonfirmasi bahwa untuk meningkatkan keamanan, AP harus membatasi pengalihan ICMP yang dibuat, dan harus memverifikasi pesan ICMP yang diterima.

    Selengkapnya: Cybersecurity News

    Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

    by

    Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

    MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

    Detail serangan
    Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

    Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

    Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

    “Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

    Webshell diintasl oleh exploit di MOVEit Transfer Servers.
    Sumber : BleepingComputer

    Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

    Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

    • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
    • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
    • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

    Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

    Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

    sumber : BleepingComputer