Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

by

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

Microsoft: Popular IoT SDKs Leave Critical Infrastructure Wide Open to Cyberattack

by

Microsoft minggu ini mengidentifikasi vektor serangan menganga untuk menonaktifkan sistem kontrol industri (ICS), yang sayangnya menyebar di seluruh jaringan infrastruktur penting: server Web Boa.

Mungkin tampak aneh bahwa server akhir masa pakai yang berusia hampir 20 tahun masih berkeliaran, tetapi Boa termasuk dalam serangkaian kit pengembang perangkat lunak (SDK) populer yang digunakan pengembang perangkat Internet of Things dalam desain kritis mereka. komponen untuk ICS,

Ini termasuk SDK yang dirilis oleh RealTek yang digunakan dalam SOC yang disediakan untuk perusahaan yang memproduksi perangkat gateway seperti router, titik akses, dan repeater, catat para peneliti.

Ternyata komponen yang rentan dalam serangan tersebut adalah server Web Boa. Menurut postingan blog Microsoft Security Threat Intelligence yang diterbitkan pada 22 November, server Web dan kerentanan yang diwakilinya dalam rantai pasokan komponen IoT seringkali tidak diketahui oleh pengembang dan administrator yang mengelola sistem dan berbagai perangkatnya.

Membuat Penemuan
kelompok ancaman Hive mengklaim serangan ransomware pada Tata Power di India. Dan dalam pelacakan aktivitas mereka yang berkelanjutan, para peneliti terus melihat penyerang mencoba mengeksploitasi kerentanan Boa, “menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan” dan akan terus menjadi satu selama server ini digunakan.

maka dari hal tersebut jaringan ICS untuk mengidentifikasi kapan server Boa yang rentan sedang digunakan dan untuk menambal kerentanan sedapat mungkin, serta mengambil tindakan lain untuk mengurangi risiko dari serangan di masa mendatang, kata para peneliti

tindakan yang perlu dipertimbangkan untuk mitigasi termasuk menggunakan pemindaian antivirus proaktif untuk mengidentifikasi muatan berbahaya pada perangkat; mengonfigurasi aturan deteksi untuk mengidentifikasi aktivitas berbahaya jika memungkinkan; dan mengadopsi solusi IoT dan OT yang komprehensif untuk memantau perangkat, merespons ancaman, dan meningkatkan visibilitas untuk mendeteksi dan memperingatkan saat perangkat IoT dengan Boa digunakan sebagai titik masuk ke jaringan.

sumber : dark reading

F5 Memperbaiki Dua Kelemahan Eksekusi Kode Jarak Jauh di BIG-IP, BIG-IQ

by

F5 telah merilis hotfix untuk produk BIG-IP dan BIG-IQ-nya, mengatasi dua kelemahan dengan tingkat keparahan tinggi yang memungkinkan penyerang melakukan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi pada titik akhir yang rentan.

Cacat pertama dilacak sebagai CVE-2022-41622 (CVSS v3 – 8.8) dan merupakan RCE yang tidak diautentikasi melalui pemalsuan lintas situs pada iControl SOAP, yang berdampak pada beberapa versi BIG-IP dan BIG-IQ.

Cacat kedua adalah CVE-2022-41800 (CVSS v3 – 8.7), RCE yang diautentikasi melalui injeksi spesifikasi RPM, yang memengaruhi komponen REST iControl.

Versi BIG-IP yang rentan adalah:

  • 13.1.0 – 13.1.5
  • 14.1.0 – 14.1.5
  • 15.1.0 – 15.1.8
  • 16.1.0 – 16.1.3
  • 17.0.0

untuk BIG-IQ yang terpengaruh adalah

  • 7.1.0
  • 8.0.0 – 8.2.0

Pelanggan yang terpengaruh disarankan untuk meminta hotfix teknis untuk versi produk mereka dari F5 dan menginstalnya secara manual.

Untuk menyelesaikan CVE-2022-41622, admin juga harus menonaktifkan Otentikasi Dasar untuk SOAP iControl setelah menginstal hotfix

Technical details released
Rapid7 menerbitkan laporan terperinci tentang kekurangan yang mengungkapkan rincian teknis dari kerentanan.

“Dengan berhasil mengeksploitasi kerentanan terburuk (CVE-2022-41622), penyerang dapat memperoleh akses root terus-menerus ke antarmuka manajemen perangkat (bahkan jika antarmuka manajemen tidak menghadap ke internet),” jelas laporan oleh Rapid7.

Selain itu, penyerang perlu mengetahui alamat instance BIG-IP yang ditargetkan untuk memberlakukan pemalsuan permintaan lintas situs terhadap admin.

Karena itu, peneliti Rapid7 Ron Bowes percaya bahwa kecil kemungkinan kerentanan akan dieksploitasi secara luas.

Analis telah menerbitkan detail teknis yang ekstensif, termasuk proof of concept exploit untuk CVE-2022-41622, jadi penting untuk mengatasi kerentanan sesegera mungkin.

sumber : bleeping computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Otentikasi Dua Faktor Twitter Memiliki Kerentanan – DIPERBARUI

by

Grup Media Keamanan Informasi telah menyadari bahwa peneliti keamanan lain, @BetoOnSecurity, juga mengidentifikasi kemampuan untuk mematikan SMS 2FA Twitter melalui perintah “STOP” yang dikirim sebagai kerentanan, mengingat potensi spoofing. Sumber kami secara independen mengidentifikasi kerentanan.

Peneliti keamanan memperingatkan bahwa autentikasi multifaktor di Twitter mengandung kerentanan yang memungkinkan pengambilalihan akun potensial.

Kerentanan muncul ketika Twitter memasuki minggu ketiga di bawah kepemilikan Elon Musk, periode di mana staf keamanan dan kepatuhan utama di perusahaan telah pergi, banyak karyawan dan kontraktor telah diberhentikan, dan keretakan mulai terlihat di perusahaan. teknologi yang berhadapan dengan pelanggan

Kerentanan, yang diverifikasi ISMG, memungkinkan peretas untuk memalsukan nomor telepon yang terdaftar untuk menonaktifkan otentikasi dua faktor. Itu berpotensi membuat akun terkena serangan reset kata sandi atau pengambilalihan akun melalui isian kata sandi. Twitter memungkinkan penggunaan untuk mengatur multifact

Selama masa jabatan Musk sebagai kepala eksekutif, masalah lain terkait dengan kontrol akun telah muncul – serentetan akun palsu yang menyamar sebagai merek multinasional yang tampak asli, berkat adanya tanda centang biru.

Musk tetap melanjutkan. Selama periode kira-kira dua hari selama Rabu dan Kamis, penipu menyamar sebagai perusahaan farmasi Eli Lilly dengan mengumumkan bahwa insulin sekarang akan gratis, produsen pisang Chiquita dengan mengumumkan penggulingan pemerintah Brasil, dan pembuat mobil listrik yang dipimpin Musk Tesla dengan memperpanjang menawarkan untuk mengirimkan 10.000 mobil untuk mendukung militer Ukraina.

Pada saat itu, serentetan peniruan telah menarik perhatian Partai Demokrat AS.

sumber : data breach today

Google mengatakan vendor pengawasan menargetkan ponsel Samsung dengan zero-days

by

Google mengatakan memiliki bukti bahwa vendor pengawasan komersial mengeksploitasi tiga kerentanan keamanan zero-day yang ditemukan di smartphone Samsung yang lebih baru.

Kerentanan, ditemukan dalam perangkat lunak yang dibuat khusus Samsung, digunakan bersama sebagai bagian dari rantai eksploitasi untuk menargetkan ponsel Samsung yang menjalankan Android. Kerentanan yang dirantai memungkinkan penyerang untuk mendapatkan hak baca dan tulis kernel sebagai pengguna root, dan pada akhirnya mengekspos data perangkat.

Peneliti keamanan Google Project Zero Maddie Stone mengatakan dalam sebuah posting blog bahwa rantai eksploitasi menargetkan ponsel Samsung dengan chip Exynos yang menjalankan versi kernel tertentu. Ponsel Samsung dijual dengan chip Exynos terutama di Eropa, Timur Tengah, dan Afrika, yang kemungkinan merupakan lokasi target pengawasan.

Stone mengatakan ponsel Samsung yang menjalankan kernel yang terpengaruh pada saat itu termasuk S10, A50, dan A51.

Cacatnya, sejak ditambal, dieksploitasi oleh aplikasi Android berbahaya, yang mungkin telah ditipu oleh pengguna untuk dipasang dari luar app store. Aplikasi berbahaya memungkinkan penyerang untuk keluar dari kotak pasir aplikasi yang dirancang untuk menampung aktivitasnya, dan mengakses sistem operasi perangkat lainnya. Hanya komponen dari aplikasi exploit yang diperoleh, kata Stone, jadi tidak diketahui apa muatan terakhirnya, bahkan jika tiga kerentanan membuka jalan untuk pengiriman akhirnya.

“Kerentanan pertama dalam rantai ini, file arbitrer membaca dan menulis, adalah dasar dari rantai ini, digunakan empat kali berbeda dan digunakan setidaknya sekali dalam setiap langkah,” tulis Stone. “Komponen Java di perangkat Android cenderung tidak menjadi target paling populer bagi peneliti keamanan meskipun berjalan pada tingkat yang sangat istimewa,” kata Stone.

Selengkapnya: Tech Crunch

Kerentanan keamanan siber ini paling populer di kalangan peretas saat ini – sudahkah Anda menambalnya?

by

Menurut analisis oleh peneliti keamanan siber di Digital Shadows, kerentanan yang paling sering dibahas di antara penjahat siber di forum bawah tanah selama tiga bulan terakhir adalah CVE-2017-11882 – kelemahan keamanan di Microsoft Office yang pertama kali diungkapkan pada 2017.

Ketika berhasil dieksploitasi, kerentanan ini memungkinkan penjahat cyber untuk mengeksekusi kode jarak jauh pada sistem Windows yang rentan, menyediakan cara bagi penyerang untuk menjatuhkan malware secara diam-diam ke mesin.

Kerentanan paling populer kedua selama periode pelaporan adalah Follina (CVE-2022-30190), kerentanan zero-day dengan tingkat keparahan tinggi di Microsoft Word, yang muncul tahun sebelumnya.

Follina memungkinkan penyerang untuk mengeksekusi kode jarak jauh dan menyebarkan malware untuk mendapatkan akses ke sistem; kerentanan telah dieksploitasi secara aktif oleh kelompok peretas yang didukung negara dan geng penjahat dunia maya. Patch tersedia untuk memperbaiki kerentanan ini.

Kerentanan paling populer ketiga adalah CVE-2022-2294, kerentanan zero-day di Google Chrome, pertama kali diungkapkan dan ditambal pada bulan Juli. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan, sehingga tetap menjadi metode serangan populer untuk menargetkan pengguna Google Chrome.

Meskipun secara teratur menerapkan pembaruan keamanan untuk semua jenis perangkat lunak di seluruh jaringan perusahaan dapat menjadi tantangan, ini adalah salah satu hal terbaik yang dapat dilakukan bisnis untuk membantu melindungi jaringan dan pengguna mereka agar tidak menjadi korban serangan siber – terutama jika mereka berfokus pada menambal beberapa kerentanan yang paling sering dieksploitasi.

Selengkapnya: ZDNET

Peretas Mulai Mengeksploitasi Kerentanan Teks Apache Commons “Text4Shell” Kritis

by

Perusahaan keamanan WordPress Wordfence pada hari Kamis mengatakan mulai mendeteksi upaya eksploitasi yang menargetkan cacat yang baru diungkapkan di Apache Commons Text pada 18 Oktober 2022.

Kerentanan, dilacak sebagai CVE-2022-42889 alias Text4Shell, telah diberi peringkat keparahan 9,8 dari kemungkinan 10,0 pada skala CVSS dan memengaruhi versi 1,5 hingga 1,9 dari perpustakaan.

Ini juga mirip dengan kerentanan Log4Shell yang sekarang terkenal karena masalah berakar pada cara substitusi string yang dilakukan selama pencarian DNS, skrip, dan URL dapat menyebabkan eksekusi kode arbitrer pada sistem yang rentan saat meneruskan input yang tidak tepercaya.

“Penyerang dapat mengirim muatan yang dibuat dari jarak jauh menggunakan pencarian ‘script,’ ‘dns,’ dan ‘url’ untuk mencapai eksekusi kode jarak jauh yang sewenang-wenang,” tim Zscaler ThreatLabZ menjelaskan.

Eksploitasi cacat yang berhasil dapat memungkinkan aktor ancaman untuk membuka koneksi shell terbalik dengan aplikasi yang rentan hanya melalui muatan yang dibuat khusus, secara efektif membuka pintu untuk serangan lanjutan.

Pengguna yang memiliki ketergantungan langsung pada Apache Commons Text disarankan untuk meningkatkan ke versi tetap untuk mengurangi potensi ancaman. Menurut Maven Repository, sebanyak 2.593 proyek menggunakan perpustakaan, meskipun Flashpoint mencatat bahwa sangat sedikit dari yang terdaftar menggunakan metode yang rentan.

Cacat Teks Apache Commons juga mengikuti kelemahan keamanan kritis lainnya yang diungkapkan dalam Konfigurasi Apache Commons pada Juli 2022 (CVE-2022-33980, skor CVSS: 9,8), yang dapat mengakibatkan eksekusi kode arbitrer melalui fungsionalitas interpolasi variabel.

Selengkapnya: The Hacker News