Vulnerability

Kerentanan keamanan SureMDM dapat menyebabkan Serangan Rantai Pasokan

February 2, 2022 by Winnie the Pooh

Berbagai kerentanan keamanan telah diungkapkan dalam solusi 42 Gears SureMDM. Ini adalah solusi manajemen perangkat seluler yang dapat dimanipulasi oleh pelaku ancaman untuk melakukan serangan rantai pasokan.

Sebuah perusahaan Cybersecurity bernama Immersive Labs adalah yang pertama kali mengidentifikasi kerentanan dan telah menyebutkan rincian makalah mereka. 42 Gears telah merilis serangkaian pembaruan dari Nov 2021 hingga Jan 2022 untuk mengatasi berbagai kelemahan yang memengaruhi agen Linux dan konsol web mereka.

42 Gears adalah perusahaan manajemen perangkat seluler berbasis di India yang memiliki produk SureMDM yang mendukung manajemen lintas platform yang memungkinkan admin memantau, mengelola, mengontrol, dan mengamankan perangkat milik perusahaan, BYOD, dan COPE dari jarak jauh.

Sesuai informasi yang dibagikan oleh 42 Gears, SureMDM digunakan secara aktif oleh sekitar 10.000 organisasi di seluruh dunia.

Berikut ini adalah daftar kerentanan keamanan yang teridentifikasi:

SureMDM agent spoofing
SureMDM agent authentication bypass
SureMDM dashboard XSS
SureMDM agent remote code execution
SureMDM Linux agent command injection
SureMDM Linux agent remote code execution
SureMDM Linux agent default root credentials
SureMDM Linux agent local privilege escalation
SureMDM Linux Sensitive Information Disclosure

Dengan berbagai kerentanan ini, penyerang akan dapat menonaktifkan program keamanan dan menyebarkan muatan ke perangkat Linux, MacOS, dan Android dengan SureMDM sebagai katalis untuk operasi mereka, kata Kev Breen, Direktur Riset Ancaman di Immersive Labs. Dia juga menambahkan bahwa penyerang dapat mengeksploitasi semua kelemahan yang disebutkan di atas tanpa memiliki akun SureMDM.

Kerentanan ini nantinya dapat digabungkan untuk melakukan serangan rantai pasokan ketika pengguna masuk ke akun SureMDM mereka sehingga menginfeksi dan membahayakan semua perangkat yang dikelola dalam jaringan.

Selngkapnya: The Cybersecurity Times

Aplikasi Olimpiade Cina Yang Wajib Diinstal Memiliki Dua Lubang Keamanan

January 20, 2022 by Winnie the Pooh

Penggunaan aplikasi Olimpiade China, MY2022, adalah wajib bagi semua orang yang menghadiri Olimpiade tahun ini di Beijing, baik sebagai atlet atau hanya menonton dari stadion.

Aplikasi ini mengumpulkan data pribadi yang sensitif – seperti detail paspor, data medis, dan riwayat perjalanan – dan analisis oleh peneliti keamanan mengungkapkan bahwa kode tersebut memiliki dua lubang keamanan yang dapat mengungkap informasi ini:

Citizen Lab, yang juga memainkan peran kunci dalam mengidentifikasi ponsel yang disusupi oleh spyware Pegasus, melakukan analisis.

[Kami menemukan] dua kerentanan keamanan di MY2022 terkait dengan keamanan transmisi data pengguna. Pertama, kami menjelaskan kerentanan di mana MY2022 gagal memvalidasi sertifikat SSL, sehingga gagal memvalidasi kepada siapa ia mengirim data terenkripsi yang sensitif. Kedua, kami menjelaskan transmisi data yang gagal dilindungi oleh MY2022 dengan enkripsi apa pun.

Selain itu, versi Android berisi daftar kata-kata terlarang – meskipun ini belum digunakan secara aktif.

Dibundel dengan MY2022 versi Android, kami menemukan file bernama “illegalwords.txt” yang berisi daftar 2.442 kata kunci yang umumnya dianggap sensitif secara politik di China. Namun, meskipun disertakan dalam aplikasi, kami tidak dapat menemukan fungsi apa pun di mana kata kunci ini digunakan untuk melakukan penyensoran. Tidak jelas apakah daftar kata kunci ini sepenuhnya tidak aktif, dan, jika demikian, apakah daftar tersebut sengaja tidak aktif. Namun, aplikasi berisi fungsi kode yang dirancang untuk menerapkan daftar ini ke arah penyensoran, meskipun saat ini fungsi ini tampaknya tidak dipanggil.

Selengkapnya: 9to5mac

Kerentanan Tingkat Keparahan Tinggi di 3 Plugin WordPress Mempengaruhi 84.000 Situs Web

January 19, 2022 by Eevee

Para peneliti telah mengungkapkan kekurangan keamanan yang mempengaruhi tiga plugin WordPress yang berbeda yang berdampak pada lebih dari 84.000 situs web dan dapat disalahgunakan oleh aktor jahat untuk mengambil alih situs yang rentan.

“Cacat ini memungkinkan penyerang untuk memperbarui opsi situs sewenang-wenang di situs yang rentan, asalkan mereka dapat mengelabui administrator situs untuk melakukan tindakan, seperti mengklik tautan,” kata perusahaan keamanan WordPress Wordfence dalam sebuah laporan yang diterbitkan pekan lalu.

Dilacak sebagai CVE-2022-0215, cacat cross-site request forgery (CSRF) dinilai 8,8 pada skala CVSS dan berdampak pada tiga plugin yang dikelola oleh Xootix –

Popup Login / Pendaftaran (Formulir Inline + Woocommerce),
Side Cart Woocommerce (Ajax), dan
Waitlist Woocommerce (Kembali dalam notifier saham)

Pemalsuan permintaan lintas situs, juga dikenal sebagai serangan satu klik atau sesi berkuda, terjadi ketika pengguna akhir yang diautentikasi ditipu oleh penyerang untuk mengirimkan permintaan web yang dibuat khusus. “Jika korban adalah akun administratif, CSRF dapat membahayakan seluruh aplikasi web,” catatan OWASP dalam dokumentasinya.

Selengkapnya: The Hacker News

Bug Safari membocorkan info akun Google Anda serta riwayat penelusuran

January 18, 2022 by Winnie the Pooh

Ada masalah dengan penerapan API IndexedDB di mesin WebKit Safari, yang dapat mengakibatkan kebocoran aktivitas penjelajahan secara real-time dan bahkan kebocoran identitas pengguna kepada siapa pun yang mengeksploitasi kelemahan ini.

IndexedDB adalah API browser yang banyak digunakan yang merupakan client-side storage system serbaguna tanpa batas kapasitas.

Ini biasanya digunakan untuk menyimpan data aplikasi web untuk dilihat secara offline, sementara modul, alat pengembang, dan ekstensi browser juga dapat menggunakannya untuk menyimpan informasi sensitif.

Untuk mencegah kebocoran data dari serangan skrip lintas situs, IndexedDB mengikuti kebijakan “same-origin”, mengontrol sumber daya mana yang dapat mengakses setiap bagian data.

Namun, analis FingerprintJS menemukan bahwa API IndexedDB tidak mengikuti kebijakan same-origin implementasi WebKit yang digunakan oleh Safari 15 di macOS, yang mengarah pada pengungkapan data sensitif.

Bug pelanggaran privasi ini juga memengaruhi browser web yang menggunakan mesin browser yang sama di versi iOS dan iPadOS terbaru.

Menurut para analis, mengidentifikasi seseorang melalui kelemahan ini memerlukan login dan mengunjungi situs web populer seperti YouTube dan Facebook, atau layanan seperti Google Kalender, dan Google Keep.

Kerentanan dilaporkan ke WebKit Bug Tracker pada 28 November 2021, dan pada saat penulisan ini, masih belum terselesaikan.

Salah satu cara untuk memitigasi masalah ini hingga pembaruan keamanan tersedia adalah dengan memblokir semua JavaScript, tetapi ini adalah tindakan drastis yang pasti akan menyebabkan masalah fungsionalitas di banyak halaman web.

Beralih ke browser web non-WebKit adalah satu-satunya solusi yang layak, tetapi itu hanya berlaku untuk macOS. Di iOS dan iPadOS, semua browser web terpengaruh.

Selengkapnya: Bleeping Computer

Lemahnya Microsoft Defender memungkinkan peretas melewati deteksi malware

January 16, 2022 by Søren

Pelaku ancaman dapat memanfaatkan kelemahan yang memengaruhi antivirus Microsoft Defender di Windows untuk mempelajari lokasi yang dikecualikan dari pemindaian dan menanam malware di sana.

Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.

Seperti solusi antivirus lainnya, Microsoft Defender memungkinkan pengguna menambahkan lokasi (lokal atau di jaringan) pada sistem mereka yang harus dikecualikan dari pemindaian malware.

Orang biasanya membuat pengecualian untuk mencegah antivirus memengaruhi fungsionalitas aplikasi sah yang terdeteksi secara keliru sebagai malware.

Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi penyerang pada sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.

Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.

Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.

Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan karena melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah “permintaan reg” mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.

Selengkapnya: Bleeping Computer

Pengguna Android sekarang dapat menonaktifkan 2G untuk memblokir serangan Stingray

January 16, 2022 by Søren

Google akhirnya meluncurkan opsi di Android yang memungkinkan pengguna untuk menonaktifkan koneksi 2G, yang datang dengan sejumlah masalah privasi dan keamanan yang dieksploitasi oleh simulator situs seluler.

Simulator situs seluler, juga dikenal sebagai “ikan pari” atau IMSI Catcher, adalah perangkat yang menyamar sebagai menara seluler, memaksa ponsel dalam jangkauannya untuk terhubung.

Koneksi ini memungkinkan operator ikan pari ini untuk melakukan serangan man-in-the-middle dan mencegat informasi pribadi yang sensitif seperti: Perangkat IMSI (identitas pelanggan seluler internasional), Metadata panggilan seperti nomor dan durasi yang dihubungi, SMS dan konten panggilan suara, Data penggunaan dan riwayat penelusuran web

Sayangnya, metode penyadapan data ini telah berulang kali dan tanpa pandang bulu digunakan oleh otoritas penegak hukum selama protes damai di negara-negara demokratis di mana undang-undang perlindungan data yang ketat berlaku.

Selain itu, kasus penyebaran pribadi “Stingray” yang terdokumentasi juga telah melimpah dalam beberapa tahun terakhir, sehingga penyalahgunaan kerentanan jaringan komunikasi tersebar luas.

Sebagian besar kerentanan ini telah diatasi dalam 4G, tetapi stasiun pangkalan yang disimulasikan memiliki cara untuk menurunkan koneksi perangkat terdekat ke 2G, pada dasarnya meletakkan dasar untuk mengeksploitasi kelemahan lama.

Selengkapnya: Bleeping Computer

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

January 14, 2022 by Winnie the Pooh

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

December 24, 2021 by Winnie the Pooh

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings