Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Bug Safari membocorkan info akun Google Anda serta riwayat penelusuran

by

Ada masalah dengan penerapan API IndexedDB di mesin WebKit Safari, yang dapat mengakibatkan kebocoran aktivitas penjelajahan secara real-time dan bahkan kebocoran identitas pengguna kepada siapa pun yang mengeksploitasi kelemahan ini.

IndexedDB adalah API browser yang banyak digunakan yang merupakan client-side storage system serbaguna tanpa batas kapasitas.

Ini biasanya digunakan untuk menyimpan data aplikasi web untuk dilihat secara offline, sementara modul, alat pengembang, dan ekstensi browser juga dapat menggunakannya untuk menyimpan informasi sensitif.

Untuk mencegah kebocoran data dari serangan skrip lintas situs, IndexedDB mengikuti kebijakan “same-origin”, mengontrol sumber daya mana yang dapat mengakses setiap bagian data.

Namun, analis FingerprintJS menemukan bahwa API IndexedDB tidak mengikuti kebijakan same-origin implementasi WebKit yang digunakan oleh Safari 15 di macOS, yang mengarah pada pengungkapan data sensitif.

Bug pelanggaran privasi ini juga memengaruhi browser web yang menggunakan mesin browser yang sama di versi iOS dan iPadOS terbaru.

Menurut para analis, mengidentifikasi seseorang melalui kelemahan ini memerlukan login dan mengunjungi situs web populer seperti YouTube dan Facebook, atau layanan seperti Google Kalender, dan Google Keep.

Kerentanan dilaporkan ke WebKit Bug Tracker pada 28 November 2021, dan pada saat penulisan ini, masih belum terselesaikan.

Salah satu cara untuk memitigasi masalah ini hingga pembaruan keamanan tersedia adalah dengan memblokir semua JavaScript, tetapi ini adalah tindakan drastis yang pasti akan menyebabkan masalah fungsionalitas di banyak halaman web.

Beralih ke browser web non-WebKit adalah satu-satunya solusi yang layak, tetapi itu hanya berlaku untuk macOS. Di iOS dan iPadOS, semua browser web terpengaruh.

Selengkapnya: Bleeping Computer

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

by

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

by

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

by

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

by

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic

Penyerang bisa mendapatkan akses root dengan merusak AccountsService Ubuntu

by

Kerentanan keamanan eskalasi hak istimewa lokal dapat memungkinkan penyerang mendapatkan akses root pada sistem Ubuntu dengan mengeksploitasi bug korupsi memori bebas ganda di komponen AccountsService GNOME.

AccountsService adalah layanan D-Bus yang membantu memanipulasi dan menanyakan informasi yang dilampirkan ke akun pengguna yang tersedia di perangkat.

Kerentanan keamanan (bug manajemen memori yang dilacak sebagai CVE-2021-3939) secara tidak sengaja ditemukan oleh peneliti keamanan GitHub Kevin Backhouse saat menguji demo eksploit untuk bug AccountsService lain yang juga memungkinkan untuk meningkatkan hak istimewa untuk melakukan root pada perangkat yang rentan.

Backhouse menemukan bahwa AccountsService salah menangani memori selama beberapa operasi pengaturan bahasa, sebuah kelemahan yang dapat disalahgunakan oleh penyerang lokal untuk meningkatkan hak istimewa.

Bug hanya memengaruhi fork Ubuntu dari AccountsService. Versi yang terpengaruh oleh kerentanan ini termasuk Ubuntu 21.10, Ubuntu 21.04, dan Ubuntu 20.04 LTS.

Cacat eskalasi hak istimewa ini telah diperbaiki oleh Canonical pada bulan November ketika AccountsService versi 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 dirilis. Setelah menerapkan pembaruan, Anda juga perlu me-restart komputer untuk menerapkan perubahan.

Seperti yang dia jelaskan, bukti konsep eksploitasi CVE-2021-3939-nya lambat (bisa beberapa jam) dan tidak akan berfungsi setiap saat. Namun, itu tidak masalah karena dapat dijalankan hingga berhasil, melihat bahwa bug bebas ganda memungkinkan kerusakan AccountsService sebanyak yang diperlukan.

Rincian lebih lanjut tentang bagaimana kerentanan ditemukan dan eksploitasi dikembangkan tersedia di CVE-2021-3939 Backhouse.

Selengkapnya: Bleeping Computer