Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

by

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Kerentanan firmware UEFI yang memengaruhi Fujitsu, Intel, dan lainnya ditemukan

by

Para peneliti telah menemukan 23 “kerentanan berdampak tinggi” yang memengaruhi vendor mana pun yang mengadopsi kode Pengembang BIOS Independen (IBV) ke dalam firmware Unified Extensible Firmware Interface (UEFI) mereka.

Binarly menjelaskan kerentanan dalam posting blog minggu ini, membenarkan bahwa “semua kerentanan ini ditemukan di beberapa ekosistem vendor perusahaan besar” termasuk Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel dan Bull Atos.

CERT/CC mengkonfirmasi bahwa Fujitsu, Insyde, dan Intel terpengaruh tetapi membiarkan yang lain ditandai sebagai “tidak diketahui,” mendesak siapa pun yang terpengaruh untuk memperbarui ke versi firmware stabil terbaru.

Menurut blog, sebagian besar kerentanan yang diungkapkan mengarah pada eksekusi kode dengan hak istimewa SMM dan memiliki peringkat keparahan antara 7,5 – 8,2.

Mereka memuji Fujitsu, Intel, dan lainnya karena merespons dengan cepat dan memecahkan kerentanan. Penyedia UEFI, Insyde Software, mengatakan pihaknya bekerja dengan Binarly untuk mengatasi kerentanan dan telah merilis pembaruan firmware untuk semua masalah yang terdaftar.

Kerentanan dilacak sebagai CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Selengkapnya: ZDNet

File teks CSV berbahaya yang digunakan untuk menginstal malware BazarBackdoor

by

Kampanye phishing baru menggunakan file teks CSV yang dibuat khusus untuk menginfeksi perangkat pengguna dengan malware BazarBackdoor.

File comma-separated values (CSV) adalah file teks yang berisi baris teks dengan kolom data yang dipisahkan oleh koma. Dalam banyak kasus, baris pertama teks adalah header, atau deskripsi, untuk setiap kolom.

Menggunakan CSV adalah metode populer untuk mengekspor data dari aplikasi yang kemudian dapat diimpor ke program lain sebagai sumber data, baik itu Excel, database, pengelola kata sandi, atau perangkat lunak penagihan.

Microsoft Excel memiliki fitur yang disebut Dynamic Data Exchange (DDE), yang dapat digunakan untuk menjalankan perintah yang outputnya dimasukkan ke dalam spreadsheet yang terbuka, termasuk file CSV.

Sayangnya, pelaku ancaman juga dapat menyalahgunakan fitur ini untuk menjalankan perintah yang dapat mengunduh dan menginstal malware pada korban yang tidak menaruh curiga.

Kampanye phishing baru yang ditemukan oleh peneliti keamanan Chris Campbell menginstal trojan BazarLoader/BazarBackdoor melalui file CSV berbahaya.

Email phishing berpura-pura menjadi “Saran Pengiriman Uang” dengan tautan ke situs jarak jauh yang mengunduh file CSV dengan nama yang mirip dengan ‘document-21966.csv.’

Untungnya, ketika file CSV ini dibuka di Excel, program akan melihat panggilan DDE dan meminta pengguna untuk “mengaktifkan pembaruan tautan otomatis”, yang ditandai sebagai masalah keamanan.

Sumber: Bleeping Computer

Bahkan jika mereka mengaktifkan fitur tersebut, Excel akan menunjukkan kepada mereka prompt lain yang mengonfirmasi apakah WMIC harus diizinkan untuk mulai mengakses data jarak jauh.

Sumber: Bleeping Computer

Jika pengguna mengonfirmasi kedua perintah tersebut, Microsoft Excel akan meluncurkan skrip PowerShell, DLL akan diunduh dan dijalankan, dan BazarBackdoor akan diinstal pada perangkat.

Selengkapnya: Bleeping Computer

Kerentanan keamanan SureMDM dapat menyebabkan Serangan Rantai Pasokan

by

Berbagai kerentanan keamanan telah diungkapkan dalam solusi 42 Gears SureMDM. Ini adalah solusi manajemen perangkat seluler yang dapat dimanipulasi oleh pelaku ancaman untuk melakukan serangan rantai pasokan.

Sebuah perusahaan Cybersecurity bernama Immersive Labs adalah yang pertama kali mengidentifikasi kerentanan dan telah menyebutkan rincian makalah mereka. 42 Gears telah merilis serangkaian pembaruan dari Nov 2021 hingga Jan 2022 untuk mengatasi berbagai kelemahan yang memengaruhi agen Linux dan konsol web mereka.

42 Gears adalah perusahaan manajemen perangkat seluler berbasis di India yang memiliki produk SureMDM yang mendukung manajemen lintas platform yang memungkinkan admin memantau, mengelola, mengontrol, dan mengamankan perangkat milik perusahaan, BYOD, dan COPE dari jarak jauh.

Sesuai informasi yang dibagikan oleh 42 Gears, SureMDM digunakan secara aktif oleh sekitar 10.000 organisasi di seluruh dunia.

Berikut ini adalah daftar kerentanan keamanan yang teridentifikasi:

  • SureMDM agent spoofing
  • SureMDM agent authentication bypass
  • SureMDM dashboard XSS
  • SureMDM agent remote code execution
  • SureMDM Linux agent command injection
  • SureMDM Linux agent remote code execution
  • SureMDM Linux agent default root credentials
  • SureMDM Linux agent local privilege escalation
  • SureMDM Linux Sensitive Information Disclosure

Dengan berbagai kerentanan ini, penyerang akan dapat menonaktifkan program keamanan dan menyebarkan muatan ke perangkat Linux, MacOS, dan Android dengan SureMDM sebagai katalis untuk operasi mereka, kata Kev Breen, Direktur Riset Ancaman di Immersive Labs. Dia juga menambahkan bahwa penyerang dapat mengeksploitasi semua kelemahan yang disebutkan di atas tanpa memiliki akun SureMDM.

Kerentanan ini nantinya dapat digabungkan untuk melakukan serangan rantai pasokan ketika pengguna masuk ke akun SureMDM mereka sehingga menginfeksi dan membahayakan semua perangkat yang dikelola dalam jaringan.

Selngkapnya: The Cybersecurity Times

Aplikasi Olimpiade Cina Yang Wajib Diinstal Memiliki Dua Lubang Keamanan

by

Penggunaan aplikasi Olimpiade China, MY2022, adalah wajib bagi semua orang yang menghadiri Olimpiade tahun ini di Beijing, baik sebagai atlet atau hanya menonton dari stadion.

Aplikasi ini mengumpulkan data pribadi yang sensitif – seperti detail paspor, data medis, dan riwayat perjalanan – dan analisis oleh peneliti keamanan mengungkapkan bahwa kode tersebut memiliki dua lubang keamanan yang dapat mengungkap informasi ini:

Citizen Lab, yang juga memainkan peran kunci dalam mengidentifikasi ponsel yang disusupi oleh spyware Pegasus, melakukan analisis.

[Kami menemukan] dua kerentanan keamanan di MY2022 terkait dengan keamanan transmisi data pengguna. Pertama, kami menjelaskan kerentanan di mana MY2022 gagal memvalidasi sertifikat SSL, sehingga gagal memvalidasi kepada siapa ia mengirim data terenkripsi yang sensitif. Kedua, kami menjelaskan transmisi data yang gagal dilindungi oleh MY2022 dengan enkripsi apa pun.

Selain itu, versi Android berisi daftar kata-kata terlarang – meskipun ini belum digunakan secara aktif.

Dibundel dengan MY2022 versi Android, kami menemukan file bernama “illegalwords.txt” yang berisi daftar 2.442 kata kunci yang umumnya dianggap sensitif secara politik di China. Namun, meskipun disertakan dalam aplikasi, kami tidak dapat menemukan fungsi apa pun di mana kata kunci ini digunakan untuk melakukan penyensoran. Tidak jelas apakah daftar kata kunci ini sepenuhnya tidak aktif, dan, jika demikian, apakah daftar tersebut sengaja tidak aktif. Namun, aplikasi berisi fungsi kode yang dirancang untuk menerapkan daftar ini ke arah penyensoran, meskipun saat ini fungsi ini tampaknya tidak dipanggil.

Selengkapnya: 9to5mac

Kerentanan Tingkat Keparahan Tinggi di 3 Plugin WordPress Mempengaruhi 84.000 Situs Web

by

Para peneliti telah mengungkapkan kekurangan keamanan yang mempengaruhi tiga plugin WordPress yang berbeda yang berdampak pada lebih dari 84.000 situs web dan dapat disalahgunakan oleh aktor jahat untuk mengambil alih situs yang rentan.

“Cacat ini memungkinkan penyerang untuk memperbarui opsi situs sewenang-wenang di situs yang rentan, asalkan mereka dapat mengelabui administrator situs untuk melakukan tindakan, seperti mengklik tautan,” kata perusahaan keamanan WordPress Wordfence dalam sebuah laporan yang diterbitkan pekan lalu.

Dilacak sebagai CVE-2022-0215, cacat cross-site request forgery (CSRF) dinilai 8,8 pada skala CVSS dan berdampak pada tiga plugin yang dikelola oleh Xootix –

  • Popup Login / Pendaftaran (Formulir Inline + Woocommerce),
  • Side Cart Woocommerce (Ajax), dan
  • Waitlist Woocommerce (Kembali dalam notifier saham)

Pemalsuan permintaan lintas situs, juga dikenal sebagai serangan satu klik atau sesi berkuda, terjadi ketika pengguna akhir yang diautentikasi ditipu oleh penyerang untuk mengirimkan permintaan web yang dibuat khusus. “Jika korban adalah akun administratif, CSRF dapat membahayakan seluruh aplikasi web,” catatan OWASP dalam dokumentasinya.

Selengkapnya: The Hacker News