Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Bug VMware dengan peringkat keparahan 9,8 dieksploitasi untuk menginstal malware buatan penyihir

by

Peretas telah mengeksploitasi kerentanan yang sekarang ditambal di VMware Workspace ONE Access dalam kampanye untuk menginstal berbagai ransomware dan penambang cryptocurrency, seorang peneliti di perusahaan keamanan Fortinet mengatakan pada hari Kamis.

CVE-2022-22954 adalah kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access yang membawa peringkat keparahan 9,8 dari kemungkinan 10. VMware mengungkapkan dan menambal kerentanan pada 6 April.

Dalam 48 jam, peretas merekayasa balik pembaruan dan mengembangkan eksploitasi kerja yang kemudian mereka gunakan untuk mengkompromikan server yang belum menginstal perbaikan.

Akses VMware Workspace ONE membantu administrator mengonfigurasi rangkaian aplikasi yang dibutuhkan karyawan di lingkungan kerja mereka.

Pada bulan Agustus, para peneliti di Fortiguard Labs melihat lonjakan tiba-tiba dalam upaya eksploitasi dan perubahan besar dalam taktik. Padahal sebelum para peretas memasang muatan yang memanen kata sandi dan mengumpulkan data lain, gelombang baru membawa sesuatu yang lain—khususnya, ransomware yang dikenal sebagai RAR1ransom, penambang cryptocurrency yang dikenal sebagai GuardMiner, dan Mirai, perangkat lunak yang menyatukan perangkat Linux menjadi botnet besar untuk digunakan dalam serangan penolakan layanan terdistribusi.

“Meskipun kerentanan kritis CVE-2022-22954 sudah ditambal pada bulan April, masih ada beberapa kampanye malware yang mencoba mengeksploitasinya,” tulis peneliti Fortiguard Labs Cara Lin.

Penyerang, tambahnya, menggunakannya untuk menyuntikkan muatan dan mencapai eksekusi kode jarak jauh pada server yang menjalankan produk.

Selengkapnya: ars TECHNICA

Enkripsi email Microsoft Office 365 dapat mengekspos konten pesan

by

Peneliti keamanan di WithSecure, sebelumnya F-Secure Business, menemukan bahwa sebagian atau seluruh isi pesan terenkripsi yang dikirim melalui Microsoft Office 365 dimungkinkan untuk disadap karena penggunaan mode operasi sandi blok yang lemah.

Organisasi menggunakan Enkripsi Pesan Office 365 untuk mengirim atau menerima email, baik eksternal maupun internal, untuk memastikan kerahasiaan konten dari tujuan ke sumber.

Namun, fitur tersebut mengenkripsi data menggunakan mode Buku Kode Elektronik (ECB), yang memungkinkan menyimpulkan pesan teks biasa dalam kondisi tertentu.

Masalah utama dengan ECB adalah bahwa area berulang dalam data plaintext memiliki hasil terenkripsi yang sama ketika kunci yang sama digunakan, sehingga menciptakan sebuah pola.

Masalah ini disorot setelah pelanggaran data besar-besaran Adobe pada tahun 2013 ketika puluhan juta kata sandi bocor dan para peneliti menemukan bahwa perusahaan menggunakan mode ECB untuk mengenkripsi data, sehingga memungkinkan untuk mendapatkan kata sandi teks biasa.

Kelemahan ini kembali disorot pada tahun 2020 ketika ditemukan bahwa aplikasi telekonferensi Zoom yang banyak digunakan menggunakan kunci 128-bit yang sama untuk mengenkripsi semua audio dan video menggunakan algoritma AES dengan mode ECB.

Harry Sintonen dari WithSecure menggarisbawahi bahwa dengan Enkripsi Pesan Office 365, konten pesan terenkripsi tidak dapat diuraikan secara langsung, tetapi informasi struktural tentang pesan tersebut dapat ditangkap.

Penyerang yang dapat mengumpulkan beberapa pesan terenkripsi dapat mencari pola yang dapat menyebabkan bagian-bagian pesan menjadi dapat dibaca secara bertahap tanpa memerlukan kunci enkripsi.

Selengkapnya: Bleeping Computer

Hampir 900 server diretas menggunakan Zimbra zero-day flaw

by

Hampir 900 server telah diretas menggunakan kerentanan kritis Zimbra Collaboration Suite (ZCS), yang pada saat itu adalah zero-day tanpa patch selama hampir 1,5 bulan.

Kerentanan yang dilacak sebagai CVE-2022-41352 adalah kelemahan eksekusi kode jarak jauh yang memungkinkan penyerang mengirim email dengan lampiran arsip berbahaya yang menanam web shell di server ZCS sementara, pada saat yang sama, melewati pemeriksaan antivirus.

Menurut perusahaan keamanan siber Kaspersky, berbagai kelompok APT (ancaman persisten lanjutan) secara aktif mengeksploitasi kelemahan tersebut segera setelah dilaporkan di forum Zimbra.

Kaspersky mengatakan kepada BleepingComputer bahwa mereka mendeteksi setidaknya 876 server yang disusupi oleh penyerang canggih yang memanfaatkan kerentanan sebelum dipublikasikan secara luas dan menerima pengenal CVE.

Pekan lalu, laporan Rapid7 memperingatkan tentang eksploitasi aktif CVE-2022-41352 dan mendesak admin untuk menerapkan solusi yang tersedia karena pembaruan keamanan tidak tersedia saat itu.

Pada hari yang sama, bukti konsep (PoC) ditambahkan ke kerangka Metasploit, memungkinkan peretas dengan keterampilan rendah untuk meluncurkan serangan efektif terhadap server yang rentan.

Zimbra telah merilis perbaikan keamanan dengan ZCS versi 9.0.0 P27, mengganti komponen rentan (cpio) dengan Pax dan menghapus bagian lemah yang memungkinkan eksploitasi.

Namun, eksploitasi telah mengambil langkah pada saat itu, dan banyak aktor ancaman sudah mulai meluncurkan serangan oportunistik.

Volexity melaporkan kemarin bahwa analisnya telah mengidentifikasi sekitar 1.600 server ZCS yang mereka yakini telah disusupi oleh pelaku ancaman yang memanfaatkan CVE-2022-41352 untuk menanam webshell.

Selengkapnya: Bleeping Computer

Fortinet mengatakan bug bypass auth kritis dieksploitasi dalam serangan

by

Fortinet telah mengkonfirmasi bahwa kerentanan keamanan bypass otentikasi kritis yang ditambal minggu lalu sedang dieksploitasi di alam liar.

Kelemahan keamanan (CVE-2022-40684) adalah bypass autentikasi pada antarmuka administratif yang memungkinkan pelaku ancaman jarak jauh untuk masuk ke firewall FortiGate, proxy web FortiProxy, dan FortiSwitch Manager (FSWM).

“Sebuah bypass otentikasi menggunakan jalur alternatif atau kerentanan saluran [CWE-288] di FortiOS, FortiProxy dan FortiSwitchManager memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi pada antarmuka administratif melalui permintaan HTTP atau HTTPS yang dibuat khusus,” kata Fortinet dalam sebuah advisory.

Perusahaan tersebut merilis pembaruan keamanan untuk mengatasi kelemahan ini pada hari Kamis. Mereka juga memperingatkan beberapa pelanggannya melalui email untuk menonaktifkan antarmuka pengguna manajemen jarak jauh pada perangkat yang terpengaruh “dengan sangat mendesak.”

Fortinet telah merilis security patch dan meminta pelanggan untuk memperbarui perangkat yang rentan ke FortiOS 7.0.7 atau 7.2.2 dan yang lebih baru, FortiProxy 7.0.7 atau 7.2.1 dan yang lebih baru, dan FortiSwitchManager 7.2.1 atau yang lebih baru untuk mempertahankan perangkat mereka dari serangan.

Fortinet juga memberikan informasi tentang bagaimana pelanggan dapat memblokir serangan yang masuk meskipun mereka tidak dapat segera memasang pembaruan keamanan.

Selengkapnya: Fortiguard | Bleeping Computer

Tidak ada perbaikan yang terlihat untuk celah yang mengganggu pertahanan utama Windows selama bertahun-tahun

by

Pekan lalu, peneliti dari perusahaan keamanan ESET mengungkapkan bahwa sekitar setahun yang lalu, Lazarus, sebuah kelompok peretasan yang didukung oleh pemerintah Korea Utara, mengeksploitasi celah selebar satu mil tahun lalu yang ada di driver signature enforcement (DSE) Microsoft sejak awal.

Dokumen berbahaya yang Lazarus mampu mengelabui target agar dibuka mampu mendapatkan kontrol administratif dari komputer target, tetapi perlindungan kernel modern Windows menghadirkan hambatan besar bagi Lazarus untuk mencapai tujuannya menyerbu kernel.

Jadi Lazarus memilih salah satu langkah tertua dalam buku pedoman eksploitasi Windows — teknik yang dikenal sebagai BYOVD, kependekan dari membawa driver Anda sendiri yang rentan.

Alih-alih menemukan dan mengembangkan beberapa zero-day yang eksotis untuk menembus perlindungan kernel Windows, anggota Lazarus hanya menggunakan akses admin yang sudah mereka miliki untuk menginstal driver yang telah ditandatangani secara digital oleh Dell sebelum ditemukannya kerentanan kritis tahun lalu yang dapat dieksploitasi untuk mendapatkan hak istimewa kernel.

Peneliti ESET Peter Kálnai mengatakan Lazarus mengirim dua target—satu karyawan perusahaan kedirgantaraan di Belanda dan yang lainnya seorang jurnalis politik di Belgia—dokumen Microsoft Word yang telah dijebak dengan kode berbahaya yang menginfeksi komputer yang membukanya.

Tujuan peretas adalah memasang pintu belakang canggih yang disebut Blindingcan, tetapi untuk mewujudkannya, pertama-tama mereka harus menonaktifkan berbagai perlindungan Windows. Jalur yang paling sedikit resistensinya, dalam hal ini, hanyalah menginstal dbutil_2_3.sys, driver Dell buggy, yang bertanggung jawab untuk memperbarui firmware Dell melalui Utilitas Bios kustom Dell.

Selengkapnya: ars TECHNICA

Cacat Zimbra yang belum ditambal sedang diserang memungkinkan peretas untuk melakukan backdoor server

by

Kerentanan eksekusi kode yang tidak ditambal dalam perangkat lunak Kolaborasi Zimbra sedang dieksploitasi secara aktif oleh penyerang yang menggunakan serangan ke server pintu belakang.

Serangan dimulai paling lambat 7 September, ketika seorang pelanggan Zimbra melaporkan beberapa hari kemudian bahwa server yang menjalankan mesin penyaringan spam Amavis perusahaan memproses email yang berisi lampiran berbahaya.

Dalam hitungan detik, pemindai menyalin file Java berbahaya ke server dan kemudian menjalankannya. Dengan itu, penyerang telah menginstal web shell, yang kemudian dapat mereka gunakan untuk masuk dan mengambil kendali server.

Zimbra belum merilis tambalan yang memperbaiki kerentanan. Sebagai gantinya, perusahaan menerbitkan panduan ini yang menyarankan pelanggan untuk memastikan pengarsipan file yang dikenal sebagai pax diinstal.

Kecuali pax diinstal, Amavis memproses lampiran yang masuk dengan cpio, pengarsip alternatif yang mengetahui kerentanan yang tidak pernah diperbaiki.

“Jika paket pax tidak diinstal, Amavis akan kembali menggunakan cpio,” tulis karyawan Zimbra Barry de Graaff. “Sayangnya fall-back diimplementasikan dengan buruk (oleh Amavis) dan akan memungkinkan penyerang yang tidak diautentikasi untuk membuat dan menimpa file di server Zimbra, termasuk webroot Zimbra.”

Posting selanjutnya menjelaskan cara menginstal pax. Utilitas ini dimuat secara default pada distribusi Ubuntu di Linux, tetapi harus diinstal secara manual di sebagian besar distribusi lainnya. Kerentanan Zimbra dilacak sebagai CVE-2022-41352.

Selengkapnya: ars TECHNICA

Fortinet Memperingatkan Cacat Bypass Otentikasi Baru yang Mempengaruhi FortiGate dan FortiProxy

by

Fortinet secara pribadi telah memperingatkan pelanggannya tentang kelemahan keamanan yang memengaruhi firewall FortiGate dan proksi web FortiProxy yang berpotensi memungkinkan penyerang melakukan tindakan tidak sah pada perangkat yang rentan.

Dilacak sebagai CVE-2022-40684 (skor CVSS: 9,6), kelemahan kritis berkaitan dengan kerentanan bypass otentikasi yang dapat mengizinkan musuh yang tidak diautentikasi untuk melakukan operasi sewenang-wenang pada antarmuka administratif melalui permintaan HTTP(S) yang dibuat khusus.
Keamanan cyber

Masalah ini berdampak pada versi berikut, dan telah diatasi di FortiOS versi 7.0.7 dan 7.2.2, dan FortiProxy versi 7.0.7 dan 7.2.1 dirilis minggu ini:

  • FortiOS – Dari 7.0.0 hingga 7.0.6 dan dari 7.2.0 hingga 7.2.1
  • FortiProxy – Dari 7.0.0 hingga 7.0.6 dan 7.2.0

“Karena kemampuan untuk mengeksploitasi masalah ini dari jarak jauh, Fortinet sangat menyarankan semua pelanggan dengan versi rentan untuk melakukan peningkatan segera,” perusahaan memperingatkan dalam peringatan yang dibagikan oleh peneliti keamanan yang menggunakan alias Gitworm di Twitter.

Sebagai solusi sementara, perusahaan merekomendasikan pengguna untuk menonaktifkan Administrasi HTTPS yang terhubung ke internet hingga pemutakhiran dapat dilakukan, atau sebagai alternatif, menerapkan kebijakan firewall untuk “lalu lintas masuk lokal.”

Ketika dihubungi untuk memberikan komentar, Fortinet mengakui nasihat itu dan mencatat bahwa itu menunda pemberitahuan publik sampai pelanggannya menerapkan perbaikan.

“Komunikasi yang tepat waktu dan berkelanjutan dengan pelanggan kami adalah komponen kunci dalam upaya kami untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Komunikasi pelanggan sering kali merinci panduan terbaru dan merekomendasikan langkah selanjutnya untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya.”

Selengkapnya: The Hacker News

Peretas yang Disponsori Negara Kemungkinan Mengeksploitasi MS Exchange 0-Day Melawan ~10 Organisasi

by

Microsoft pada hari Jumat mengungkapkan bahwa satu grup aktivitas pada Agustus 2022 mencapai akses awal dan melanggar server Exchange dengan merantai dua kelemahan zero-day yang baru diungkapkan dalam serangkaian serangan terbatas yang ditujukan pada kurang dari 10 organisasi secara global.

“Serangan ini menginstal web shell Chopper untuk memfasilitasi akses hands-on-keyboard, yang digunakan penyerang untuk melakukan pengintaian Active Directory dan eksfiltrasi data,” kata Microsoft Threat Intelligence Center (MSTIC) dalam analisis baru.

Persenjataan kerentanan diperkirakan akan meningkat dalam beberapa hari mendatang, Microsoft lebih lanjut memperingatkan, karena aktor jahat mengkooptasi eksploitasi ke dalam toolkit mereka, termasuk menyebarkan ransomware, karena “akses yang sangat istimewa yang diberikan sistem Exchange kepada penyerang.”

Raksasa teknologi itu mengaitkan serangan yang sedang berlangsung dengan tingkat kepercayaan menengah ke organisasi yang disponsori negara, menambahkan bahwa mereka sudah menyelidiki serangan ini ketika Zero Day Initiative mengungkapkan kelemahannya ke Microsoft Security Response Center (MSRC) awal bulan lalu pada 8-9 September 2022.

Kedua kerentanan telah secara kolektif dijuluki ProxyNotShell, karena fakta bahwa “itu adalah jalur yang sama dan pasangan SSRF/RCE” sebagai ProxyShell tetapi dengan otentikasi, menunjukkan tambalan yang tidak lengkap.

Masalah, yang dirangkai untuk mencapai eksekusi kode jarak jauh, tercantum di bawah ini:

  • CVE-2022-41040 (skor CVSS: 8,8) – Peningkatan Kerentanan Privilege Server Microsoft Exchange
  • CVE-2022-41082 (skor CVSS: 8,8) – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

Selengkapnya: The Hacker News