Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

‘Vulnerabilities’ Ditemukan di Sebagian Besar Pengontrol Industri

by

Tiga perempat perangkat yang menjaga fasilitas seperti instalasi pengelolahan air dan listrik tetap aman dan beroperasi memiliki kerentanan keamanan siber yang parah dan belum diperbaiki.

Ini adalah poin data terbaru tentang ancaman yang, ketika memanfaatkannya, dapat menyebabkan banyak malapetaka:

  • The Student worm memusnahkan sekitar seperlima sentrifugal nuklir Iran lebih dari satu dekade lalu dengan menargetkan pengontrol industri.
  • Industroyer malware menyerang sistem kontrol industri pada tahun 2016 untuk mematikan listrik ke beberapa bagian Kyiv, Ukraina, selama satu jam
  • Seorang peretas secara singkat mampu meningkatkan tingkat alkali di pabrik pengelolahan air di Oldsmar, Florida, tahun lalu ke tingkat yang berbahaya bagi manusia. Untungnya, seorang operator pabrik memperhatikan peretas tersebut dan dapat dengan cepat menggagalkannya.

Mengapa begitu rentan?
Usia sistem ini berarti mereka kadang-kadang berjalan pada perangkat lunak yang tidak lagi diperbarui dan didukung oleh produsen, Bort, pendiri perusahaan keamanan siber SCYTHE, memberi tahu saya. Perangkat dirancang dengan mempertimbangkan ketersediaan dan keamanan, bukan keamanan.

Namun, tidak semua angka microsodt begitu suram.

  • Perusahaan menemukan bahwa pengungkapan kerentanan paling parah pada peralatan kontrol industri yang diproduksi oleh vendor populer melonjak 78 persen dari tahun 2020 ke 2022.
  • Itu tidak berarti ada lebih banyak kerentanan — hanya saja lebih banyak yang ditemukan dan diungkapkan.
  • “Itu sangat positif,” kata Vasu Jakkal, wakil presiden korporat untuk keamanan, kepatuhan, identitas, manajemen, dan privasi di Microsoft kepada saya.

Apa yang orang lain lakukan tentang hal itu
Banyak upaya pemerintah untuk mengamankan perangkat dan sistem ini digabungkan ke dalam inisiatif lain.

Misalnya, Badan keamanan siber dan infrastruktur telah mengundang pakar industri sistem kontrol industri untuk bergabung dalam program untuk berkolaborasi guna mengurangi ancaman siber.

Satu program khusus sistem kontrol industri yang mendapatkan hasil yang baik dari Energy Department’s Office of Cybersecurity, Energy Security and Emergency Response adalah inisiatif yang secara sukarela menghubungkan vendor dengan Laboratorium Nasional unutk mengirimkan peralatan untuk pengujian keamanan, kata Bort

Sementara itu, di Eropa, peraturan keamanan siber yang diusulkan yang dikenal sebagai Undang-Undang Ketahanan Siber akan mewajibkan produk perangkat lunak dan perangkat keras untuk memenuhi tolok ukur keamanan tertentu berdasarkan seberapa “kritis” mereka dianggao.

sumber : The Washington Post

NSA Mengatakan Peretas Cina Mengeksploitasi Bug Zero-day

by

Badan Keamanan Nasional AS memperingatkan bahwa peretas yang didukung pemerintah China mengeksploitasi kerentanan zero-day di dua produk jaringan Citrix yang banyak digunakan untuk mendapatkan akses ke jaringan yang ditargetkan.

Kerentanan yang dilacak sebagai CVE-2022-27518, memengaruhi Citrix ADC, pengontrol pengiriman aplikasi, dan Citrix Gateway, alat akses jarak jauh, dan keduanya populer di jaringan perusahaan. Kerentanan dengan peringkat kritis memungkinkan penyerang yang tidak diautentikasi untuk menjalankan kode berbahaya dari jarak jauh pada perangkat yang rentan.

Dalam sebuah blog, Kepala Keamanan dan Kepercayaan Citrix, Peter Lefkowitz, menuliskan bahwa Citrix mengetahui sejumlah kecil serangan yang ditargetkan di alam liar menggunakan kerentanan ini. Namun, Citrix belum dapat menentukan industri yang menjadi target maupun yang telah banyak disusupi.

NSA mengatakan bahwa APT5, grup peretas China yang terkenal, telah secara aktif menargetkan Citrix ADC untuk masuk ke organisasi tanpa harus mencuri kredensial terlebih dahulu, memberikan panduan perburuan ancaman untuk tim keamanan, dan meminta pembagian intelijen antara sektor publik dan swasta.

Tahun lalu, APT5 mengeksploitasi kerentanan zero-day di sebuah produk jaringan lain untuk menembus jaringan A.S. yang terlibat dalam penelitian dan pengembangan pertahanan.

Selengkapnya: TechCrunch+

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

by

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

  • Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
  • Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
  • Citrix ADC 12.1-FIPS before 12.1-55.291
  • Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Peretas Mendapatkan $989.750 Untuk 63 zero-days yang Dieksploitasi di Pwn2Own Toronto

by

Pwn2Own Toronto 2022 telah berakhir dengan pesaing mendapatkan $989.750 untuk 63 eksploitasi zero-day (dan beberapa tabrakan bug) yang menargetkan produk konsumen antara 6 Desember dan 9 Desember.

Dalam kompetisi ini, sejumlah 26 tim dan peneliti keamanan telah menargetkan berbagai perangkat elektronik seperti ponsel, printer, router nirkabel, dan penyimpanan yang terhubung ke jaringan, semuanya mutakhir dan dalam konfigurasi default mereka. Meski tidak ada tim yang mendaftar untuk meretas smartphone Apple iPhone 13 dan Google Pixel 6, para kontestan meretas Samsung Galaxy S22 yang ditambal sepenuhnya sebanyak empat kali.

Sepanjang kontes, peretas telah berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di perangkat dari berbagai vendor, termasuk Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik, dan HP.

Setelah kerentanan zero-day yang dieksploitasi selama acara Pwn2Own dilaporkan, vendor diberi waktu 120 hari untuk merilis patch sebelum ZDI mengungkapkannya secara publik. Pwn2Own Toronto 2022 telah berakhir tepat pada hari keempat kompetisi dengan kontestan mendapatkan $989.750 untuk 63 eksploitasi zero-day di berbagai kategori.Berikut ini adalah daftar pemenang kontes Pwn2Own Toronto 2022 dalam Papan Final Pwn2Own (ZDI).

Selengkapnya: BLEEPINGCOMPUTER

Peretas Mengeksploitasi Kerentanan Redis untuk Menyebarkan Malware Redigo Baru di Server

by

Malware berbasis Go yang sebelumnya tidak berdokumen menargetkan server Redis dengan tujuan mengambil kendali sistem yang terinfeksi dan kemungkinan membangun jaringan botnet.

Serangan tersebut melibatkan pengambilan keuntungan dari kerentanan keamanan kritis di open source, dalam memori, penyimpanan nilai kunci yang diungkapkan awal tahun ini untuk menyebarkan Redigo, menurut perusahaan keamanan cloud Aqua.

Dilacak sebagai CVE-2022-0543 (skor CVSS: 10.0), kelemahannya berkaitan dengan kasus pelarian sandbox di mesin skrip Lua yang dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh.

Ini bukan pertama kalinya cacat tersebut dieksploitasi secara aktif, dengan Juniper Threat Labs mengungkap serangan yang dilakukan oleh botnet Muhstik pada Maret 2022 untuk menjalankan perintah sewenang-wenang.

Rantai infeksi Redigo serupa karena musuh memindai server Redis yang terbuka pada port 6379 untuk membuat akses awal, menindaklanjutinya dengan mengunduh perpustakaan bersama “exp_lin.so” dari server jarak jauh.

File perpustakaan ini dilengkapi dengan exploit untuk CVE-2022-0543 untuk menjalankan perintah guna mengambil Redigo dari server yang sama, selain mengambil langkah untuk menutupi aktivitasnya dengan mensimulasikan komunikasi klaster Redis yang sah melalui port 6379.

“Malware yang dijatuhkan meniru komunikasi server Redis yang memungkinkan musuh menyembunyikan komunikasi antara host yang ditargetkan dan server C2,” jelas peneliti Aqua Nitzan Yaakov.

Tidak diketahui apa tujuan akhir dari serangan itu, tetapi diduga bahwa host yang dikompromikan dapat dikooptasi ke dalam botnet untuk memfasilitasi serangan DDoS atau digunakan untuk mencuri informasi sensitif dari server database untuk memperluas jangkauan mereka.

Selengkapnya: The Hacker News

Kunci penandatanganan aplikasi Android Samsung telah bocor, digunakan untuk menandatangani malware

by

Łukasz Siewierski, anggota Tim Keamanan Android Google, memposting di pelacak masalah Inisiatif Kerentanan Mitra Android (AVPI) yang merinci kunci sertifikat platform yang bocor yang secara aktif digunakan untuk menandatangani malware.

Posting ini hanyalah daftar kunci, tetapi menjalankan masing-masing melalui APKMirror atau situs VirusTotal Google akan memberi nama pada beberapa kunci yang disusupi: Samsung, LG, dan Mediatek adalah pemukul berat pada daftar kunci yang bocor, bersama dengan beberapa OEM yang lebih kecil seperti Revoview dan Szroco, yang membuat tablet Onn Walmart.

Perusahaan-perusahaan ini entah bagaimana kunci penandatanganan mereka bocor ke pihak luar, dan sekarang Anda tidak dapat mempercayai bahwa aplikasi yang mengklaim berasal dari perusahaan-perusahaan ini benar-benar berasal dari mereka. Lebih buruk lagi, “kunci sertifikat platform” yang hilang memiliki beberapa izin serius.

Samsung bukan hanya OEM Android terbesar yang mengalami kebocoran kunci penandatanganan, tetapi juga pengguna terbesar dari kunci yang bocor. Tautan APKMirror sebelumnya menunjukkan betapa buruknya itu. Kunci Samsung yang disusupi digunakan untuk semuanya: Samsung Pay, Bixby, Samsung Account, aplikasi ponsel, dan sejuta hal lain yang dapat Anda temukan di 101 halaman hasil untuk kunci tersebut. Dimungkinkan untuk membuat pembaruan berbahaya untuk salah satu dari aplikasi ini, dan Android akan dengan senang hati menginstalnya di atas aplikasi sebenarnya. Beberapa pembaruan mulai hari ini, menandakan Samsung masih belum mengubah kuncinya.

Selengkapnya: ars TECHNICA

Peneliti menemukan bug yang memungkinkan akses, remote control mobil

by

Beberapa merek mobil besar telah mengatasi kerentanan yang memungkinkan peretas mengontrol kunci, mesin, klakson, lampu depan, dan bagasi mobil tertentu dari jarak jauh yang dibuat setelah 2012, menurut seorang peneliti keamanan.

Insinyur keamanan staf Yuga Labs, Sam Curry, menerbitkan dua utas di Twitter yang merinci penelitiannya tentang aplikasi seluler untuk beberapa merek mobil yang memberi pelanggan kemampuan untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan mereka dari jarak jauh.

Curry dan beberapa peneliti lainnya memulai dengan Hyundai dan Genesis, menemukan bahwa sebagian besar proses verifikasi untuk mendapatkan akses ke kendaraan bergantung pada alamat email terdaftar. Mereka menemukan cara untuk mem-bypass fitur verifikasi email dan mendapatkan kendali penuh.

Kerentanan telah ditambal, masalah intinya adalah kerentanan kontrol akses yang memengaruhi akun pengguna di aplikasi itu sendiri. Anda dapat masuk ke akun siapa pun jika Anda mengetahui alamat email mereka dan karenanya mengontrol/menemukan kendaraan mereka dari jarak jauh,” kata Curry, mencatat bahwa serangan itu dapat terjadi “dari mana saja.”

Seorang juru bicara Hyundai mengatakan kepada The Record bahwa mereka bekerja dengan konsultan untuk menyelidiki kerentanan yang diklaim “segera setelah para peneliti menyampaikannya kepada kami.”

Dalam komentarnya kepada The Record, Curry menjelaskan bahwa manuver tersebut akan memungkinkan penyerang untuk memulai, menghentikan, mengunci, membuka kunci, membunyikan klakson, menyalakan lampu, atau menemukan kendaraan dari jarak jauh yang mengaktifkan fungsi jarak jauh. Fitur itu telah diaktifkan di semua kendaraan yang dibuat setelah 2012.

Selengkapnya: The Record

Peretas Mengeksploitasi Kerentanan RCE di Windows Internet Key Exchange

by

Kerentanan RCE kritis di Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” diduga dioperasikan oleh aktor ancaman berbahasa Mandarin yang tidak dikenal.

Mengenai Campanye
Kerentanan RCE kritis pada Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” dibunuh oleh aktor pisau berbahasa Mandarin yang tidak dikenal.

  • Sejak September, kampanye Bleed You telah menargetkan OS Windows, Server Windows, protokol Windows, dan layanan yang lemah atau rentan.
  • Tujuan akhir dari kampanye ini adalah untuk memfasilitasi serangan malware dan ransomware lebih lanjut serta pergerakan lateral di seluruh jaringan.
  • Kampanye ini menargetkan organisasi di ritel, konglomerat industri, pemerintah, layanan keuangan, layanan TI, dan industri e-niaga di AS, Inggris Raya, Australia, Kanada, Prancis, Jerman, Turki, Jepang, India, UEA, dan Israel.

Tentang kerentanan
Kerentanan ada pada kode tidak dikenal yang digunakan untuk menangani protokol IKEv1.

  • Ini mempengaruhi OS Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10, dan Windows 11.
  • Eksploitasinya dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Wawasan tambahan
Penyerang bertujuan untuk mengekstraksi informasi sensitif untuk keuntungan finansial, mendapatkan akses yang lebih tinggi, dan menyebabkan gangguan operasional.

  • Koneksi ditemukan antara kampanye Bleed You dan penjahat dunia maya Rusia.
  • Para peneliti mengamati bahwa peretas yang tidak dikenal juga membagikan tautan eksploit di forum bawah tanah.

Kiat keamanan
Penyerang secara aktif mengeksploitasi mesin Windows Server yang rentan melalui IKE dan AuthIP IPsec Keying Modules dengan mengekspor bug ini. Pengguna disarankan untuk menerapkan tambalan dan perbaikan sesegera mungkin untuk mengurangi keparahan eksploitasi kerentanan.

sumber : cyware social