Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Perusahaan keamanan Blumira menemukan vektor serangan Log4j baru yang besar

by

Dalam serangan proof-of-concept mereka, Blumira menemukan bahwa dengan menggunakan salah satu dari banyak eksploitasi Java Naming and Directory Interface (JNDI) yang dapat mereka picu melalui URL jalur file menggunakan koneksi WebSocket ke mesin dengan pustaka Log4j2 yang rentan terinstal.

Semua yang diperlukan untuk memicu keberhasilan adalah permintaan jalur yang dimulai pada pemuatan halaman web. Sederhana, tapi mematikan.

Lebih buruk lagi, itu tidak perlu menjadi localhost. WebSockets memungkinkan koneksi ke IP apa pun. Biarkan saya ulangi, “Any IP” dan itu termasuk ruang IP pribadi.

Selanjutnya, saat halaman dimuat, itu akan memulai koneksi WebSocket lokal, menekan server pendengar yang rentan, dan terhubung melalui jenis koneksi yang diidentifikasi berdasarkan string koneksi JNDI.

Para peneliti melihat yang paling sukses memanfaatkan Java Remote Method Invocation (RMI). port default 1099., meskipun kita sering melihat port kustom digunakan.

Pemindaian port sederhana, teknik yang sudah ada di buku pegangan peretas, WebSocket, adalah jalan termudah menuju serangan yang berhasil.

Kemudian, port terbuka ke layanan lokal atau layanan yang dapat diakses oleh host ditemukan, kemudian dapat menjatuhkan string eksploit JNDI di jalur atau parameter.

“Ketika ini terjadi, host yang rentan memanggil server exploit, memuat kelas penyerang, dan mengeksekusinya dengan java.exe sebagai proses induk.” Kemudian penyerang dapat menjalankan apa pun yang dia inginkan.

Selengkapnya: ZDNet

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic

Penyerang bisa mendapatkan akses root dengan merusak AccountsService Ubuntu

by

Kerentanan keamanan eskalasi hak istimewa lokal dapat memungkinkan penyerang mendapatkan akses root pada sistem Ubuntu dengan mengeksploitasi bug korupsi memori bebas ganda di komponen AccountsService GNOME.

AccountsService adalah layanan D-Bus yang membantu memanipulasi dan menanyakan informasi yang dilampirkan ke akun pengguna yang tersedia di perangkat.

Kerentanan keamanan (bug manajemen memori yang dilacak sebagai CVE-2021-3939) secara tidak sengaja ditemukan oleh peneliti keamanan GitHub Kevin Backhouse saat menguji demo eksploit untuk bug AccountsService lain yang juga memungkinkan untuk meningkatkan hak istimewa untuk melakukan root pada perangkat yang rentan.

Backhouse menemukan bahwa AccountsService salah menangani memori selama beberapa operasi pengaturan bahasa, sebuah kelemahan yang dapat disalahgunakan oleh penyerang lokal untuk meningkatkan hak istimewa.

Bug hanya memengaruhi fork Ubuntu dari AccountsService. Versi yang terpengaruh oleh kerentanan ini termasuk Ubuntu 21.10, Ubuntu 21.04, dan Ubuntu 20.04 LTS.

Cacat eskalasi hak istimewa ini telah diperbaiki oleh Canonical pada bulan November ketika AccountsService versi 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 dirilis. Setelah menerapkan pembaruan, Anda juga perlu me-restart komputer untuk menerapkan perubahan.

Seperti yang dia jelaskan, bukti konsep eksploitasi CVE-2021-3939-nya lambat (bisa beberapa jam) dan tidak akan berfungsi setiap saat. Namun, itu tidak masalah karena dapat dijalankan hingga berhasil, melihat bahwa bug bebas ganda memungkinkan kerusakan AccountsService sebanyak yang diperlukan.

Rincian lebih lanjut tentang bagaimana kerentanan ditemukan dan eksploitasi dikembangkan tersedia di CVE-2021-3939 Backhouse.

Selengkapnya: Bleeping Computer

Bug dalam miliaran WiFi, chip Bluetooth memungkinkan pencurian data dan kata sandi

by

Para peneliti di University of Darmstadt, Brescia, CNIT, dan Secure Mobile Networking Lab, telah menerbitkan makalah yang membuktikan bahwa mengekstrak kata sandi dan memanipulasi lalu lintas pada chip WiFi dengan menargetkan komponen Bluetooth perangkat dapat dilakukan.

Perangkat elektronik konsumen modern seperti smartphone memiliki fitur SoC dengan komponen Bluetooth, WiFi, dan LTE yang terpisah, masing-masing dengan implementasi keamanan tersendiri.

Namun, komponen ini sering berbagi sumber daya yang sama, seperti antena atau spektrum nirkabel.

Berbagi sumber daya ini bertujuan untuk membuat SoC lebih hemat energi dan memberi mereka throughput yang lebih tinggi dan latensi yang rendah dalam komunikasi.

Seperti yang dijelaskan oleh para peneliti dalam makalah yang baru-baru ini diterbitkan, adalah mungkin untuk menggunakan sumber daya bersama ini sebagai jembatan untuk meluncurkan serangan eskalasi hak istimewa lateral melintasi batas-batas chip nirkabel.

Implikasi dari serangan ini termasuk eksekusi kode, pembacaan memori, dan denial of service.

Para peneliti menemukan kerentanan tersebut pada chip yang dibuat oleh Broadcom, Silicon Labs, dan Cypress, yang dapat ditemukan di dalam miliaran perangkat elektronik.

Semua kerentanan telah dilaporkan ke vendor chip, dan beberapa telah merilis pembaruan keamanan.

Namun masih banyak yang belum mengatasi masalah keamanan tersebut, baik karena tidak lagi mendukung produk yang terpengaruh atau karena patch firmware praktis tidak layak.

Sumber: BleepeingComputer

Sementara itu, dan selama masalah terkait perangkat keras ini masih belum diperbaiki, pengguna disarankan untuk mengikuti langkah-langkah perlindungan sederhana ini:

  • Hapus perangkat Bluetooth yang tidak perlu di ponsel Anda
  • Hapus jaringan WiFi yang tidak digunakan dari pengaturan
  • Gunakan data seluler alih-alih WiFi di ruang publik.

Selengkapnya: Bleeping Computer

Log4Shell Memunculkan Mutasi Lebih Berbahaya

by

Internet memiliki kanker ganas yang menyebar secara cepat – atau dikenal sebagai eksploitasi perpustakaan logging Apache Log4j – yang telah bermutasi dengan cepat dan menarik kawanan penyerang sejak diungkapkan secara publik minggu lalu.

Sebagian besar serangan berfokus pada penambangan cryptocurrency, seperti yang terlihat oleh Sophos, Microsoft, dan perusahaan keamanan lainnya. Namun, penyerang secara aktif mencoba menginstal malware yang jauh lebih berbahaya pada sistem yang rentan juga.

Menurut peneliti Microsoft, di luar penambangan cryptocurrency, mereka juga telah melihat instalasi Cobalt Strike, yang dapat digunakan penyerang untuk mencuri kata sandi, merayap lebih jauh ke jaringan yang disusupi dengan gerakan lateral dan mengekstrak data.

Itu bisa menjadi jauh lebih buruk. Peneliti keamanan siber di Check Point memperingatkan pada hari Senin bahwa evolusi telah menyebabkan lebih dari 60 mutasi yang lebih besar dan lebih kuat, semuanya muncul dalam waktu kurang dari sehari.

Check Point mengatakan bahwa mereka menggagalkan lebih dari 845.000 upaya eksploitasi, dengan lebih dari 46 persen dari upaya tersebut dilakukan oleh kelompok jahat yang dikenal. Faktanya, Check Point memperingatkan bahwa terlihat lebih dari 100 upaya untuk mengeksploitasi kerentanan per menit.

Peta di bawah ini mengilustrasikan geografi sasaran teratas.

Sumber: Threat Post

Selengkapnya: Threat Post

Apple iCloud, Twitter, dan Minecraft rentan terhadap eksploitasi zero-day ‘di mana-mana’

by

Sejumlah layanan populer, termasuk Apple iCloud, Twitter, Cloudflare, Minecraft, dan Steam, dilaporkan rentan terhadap eksploitasi zero-day yang memengaruhi perpustakaan logging Java yang populer.

Kerentanan, dijuluki “Log4Shell” oleh para peneliti di LunaSec dan dikreditkan ke Chen Zhaojun dari Alibaba, telah ditemukan di Apache Log4j, sebuah utilitas logging open source yang digunakan di sejumlah besar aplikasi, situs web, dan layanan.

Log4Shell pertama kali ditemukan di Minecraft milik Microsoft, meskipun LunaSec memperingatkan bahwa “banyak, banyak layanan” rentan terhadap eksploitasi ini karena kehadiran “di mana-mana” Log4j di hampir semua aplikasi dan server perusahaan berbasis Java utama.

Dalam sebuah posting blog, perusahaan keamanan siber memperingatkan bahwa siapa pun yang menggunakan Apache Struts “kemungkinan rentan.”

Perusahaan dengan server yang dipastikan rentan terhadap serangan Log4Shell sejauh ini termasuk Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent, dan Elastic, meskipun kemungkinan ada ratusan bahkan ribuan organisasi lain yang terpengaruh.

Dalam sebuah pernyataan yang diberikan kepada TechCrunch, Cloudflare mengatakan telah memperbarui sistem untuk mencegah serangan, menambahkan bahwa tidak ada bukti eksploitasi.

Tim Tanggap Darurat Komputer (CERT) untuk Selandia Baru, CERT Deutsche Telekom, dan layanan pemantauan web Greynoise telah memperingatkan bahwa penyerang secara aktif mencari server yang rentan terhadap serangan Log4Shell.

Menurut yang terakhir, Menurut yang terakhir, sekitar 100 host berbeda sedang memindai internet untuk mencari cara untuk mengeksploitasi kerentanan Log4j.

Apache Software Foundation telah merilis pembaruan keamanan darurat hari ini untuk menambal kerentanan zero-day di Log4j, bersama dengan langkah-langkah mitigasi bagi mereka yang tidak dapat segera memperbarui. Pengembang game Mojang Studios juga telah merilis pembaruan keamanan Minecraft darurat untuk mengatasi bug tersebut.

Selengkapnya: Tech Chrunch

Microsoft, kelemahan Google OAuth dapat disalahgunakan dalam serangan phishing

by

Para peneliti telah menemukan serangkaian metode yang sebelumnya tidak diketahui untuk meluncurkan serangan pengalihan URL terhadap implementasi OAuth 2.0 yang lemah.

Serangan-serangan ini dapat mengarah pada pengabaian deteksi phishing dan solusi keamanan email, dan pada saat yang sama, memberikan legitimasi palsu pada URL phishing kepada para korban.

Kampanye yang relevan dideteksi oleh Proofpoint, dan menargetkan Outlook Web Access, PayPal, Microsoft 365, dan Google Workspace.

OAuth 2.0 adalah protokol otorisasi yang diadopsi secara luas yang memungkinkan aplikasi web atau desktop mengakses sumber daya yang dikendalikan oleh pengguna akhir, seperti email, kontak, informasi profil, atau akun sosial mereka.

Saat mengembangkan aplikasi OAuth, pengembang diberi kebebasan untuk memilih di antara berbagai jenis flow yang tersedia, bergantung pada kebutuhan mereka, seperti yang diilustrasikan di bawah ini.

Sumber: BleepeingComputer

Flow ini mengharuskan pengembang aplikasi untuk menentukan parameter tertentu, seperti ID klien unik, cakupan, dan URL pengalihan dibuka setelah autentikasi berhasil.

Namun, Proofpoint menemukan bahwa penyerang dapat memodifikasi beberapa parameter dalam alur otorisasi yang valid, memicu pengalihan korban ke situs yang disediakan penyerang atau mengarahkan ulang URL di aplikasi OAuth berbahaya yang terdaftar.

Karena ini terjadi setelah korban mengeklik URL yang tampak sah milik Microsoft, korban secara keliru menganggap bahwa URL itu sah, meskipun mereka sedang diarahkan ke situs jahat.

Pengalihan ini dapat dipicu dengan memodifikasi parameter kueri ‘response_type’ agar berisi nilai yang tidak valid, dan korban akan dibawa ke halaman phishing oleh Microsoft setelah autentikasi.

Selengkapnya: Bleeping Computer

Bug SanDisk SecureAccess memungkinkan kata sandi brankas paksa

by

Western Digital telah memperbaiki kerentanan keamanan yang memungkinkan penyerang untuk melakukan brute force sandi SanDisk SecureAccess dan mengakses file yang dilindungi pengguna.

SanDisk SecureAccess (sekarang berganti nama menjadi SanDisk PrivateAccess) memungkinkan penyimpanan dan perlindungan file sensitif pada drive flash USB SanDisk.

“SanDisk SecureAccess 3.02 menggunakan hash kriptografi satu arah dengan salt yang dapat diprediksi sehingga rentan terhadap dictionary attack oleh pengguna jahat,” Western Digital menjelaskan dalam penasihat keamanan yang dikeluarkan Rabu.

“Perangkat lunak ini juga menggunakan hash kata sandi dengan upaya komputasi yang tidak memadai yang memungkinkan penyerang untuk melakukan brute force kata sandi pengguna yang mengarah ke akses tidak sah ke data pengguna.”

Kerentanan keamanan (CVE-2021-36750) yang berasal dari masalah fungsi derivasi utama yang disampaikan di atas telah diatasi dengan rilis SanDisk PrivateAccess Versi 6.3.5, yang sekarang menggunakan PBKDF2-SHA256 bersama dengan salt yang dibuat secara acak.

Anda dapat menemukan informasi mendetail di sini tentang upgrade penginstalan dan migrasi SecureAccess Vault ke PrivateAccess Vault yang baru.

Selengkapnya: Bleeping Computer