Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Ratusan ribu perangkat MikroTik masih rentan terhadap botnet

by

Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.

MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.

Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.

Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.

Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:

  • CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
  • CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
  • CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
  • CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8

Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.

Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.

Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.

Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

14 serangan baru terdeteksi pada web browser

by

Pakar keamanan TI telah mengidentifikasi 14 jenis serangan baru pada web browser yang dikenal sebagai kebocoran lintas situs, atau XS-Leaks.

Menggunakan XS-Leaks, situs web jahat dapat mengambil data pribadi dari pengunjung dengan berinteraksi dengan situs web lain di latar belakang.

Para peneliti dari Ruhr-Universität Bochum (RUB) dan Niederrhein University of Applied Sciences menguji seberapa baik 56 kombinasi browser dan sistem operasi terlindungi dari 34 XS-Leaks yang berbeda. Untuk tujuan ini, mereka mengembangkan situs web XSinator.com, yang memungkinkan mereka memindai browser secara otomatis untuk mencari kebocoran ini.

Peramban populer seperti Chrome dan Firefox, misalnya, rentan terhadap sejumlah besar XS-Leaks. “XS-Leaks seringkali merupakan bug browser yang harus diperbaiki oleh pabrikan,” kata Lukas Knittel, salah satu penulis makalah Bochum.

Para peneliti mempublikasikan temuan mereka secara online dan di “ACM Conference on Computer and Communications Security”, yang diadakan sebagai acara virtual pada pertengahan November 2021.

XS-Leaks melewati apa yang disebut sebagai same-origin policy, salah satu pertahanan utama browser terhadap berbagai jenis serangan. Tujuan dari same-origin policy adalah untuk mencegah informasi dicuri dari situs web tepercaya. Dalam kasus XS-Leaks, penyerang tetap dapat mengenali detail kecil individu dari sebuah situs web. Jika detail ini terkait dengan data pribadi, data tersebut dapat bocor.

Misalnya, email di kotak masuk email web dapat dibaca dari situs jahat, karena fungsi pencarian akan merespons dengan cara yang berbeda tergantung pada apakah ada hasil untuk istilah pencarian atau tidak.

Selengkapnya: RUB

80K Situs WooCommerce Ritel Terekspos oleh Plugin XSS Bug

by

Plugin “Variation Swatches for WooCommerce,” dipasang di 80.000 situs ritel WordPress, berisi kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.

Variasi Swatch dirancang untuk memungkinkan pengecer menggunakan platform WooCommerce untuk situs WordPress untuk menampilkan versi berbeda dari produk yang sama, seperti sweter dalam beberapa warna.

Sayangnya, versi rentan juga dapat memberi pengguna tanpa izin administratif — seperti pelanggan — akses ke pengaturan plugin, menurut peneliti dari Wordfence.

Memberi pengguna dengan izin rendah akses ke fungsi “tawcvs_save_settings” sangat memprihatinkan, katanya, karena akses itu dapat digunakan untuk memperbarui pengaturan plugin dan menyuntikkan skrip web berbahaya yang akan dijalankan setiap kali pemilik situs mengakses area pengaturan plugin.

Kerentanan (CVE-2021-42367) memengaruhi semua pengguna plugin hingga 23 November, sampai plugin ditambal di versi 2.1.2 yang baru.

Untuk mengurangi bug plugin terbaru ini, Chamberland merekomendasikan agar pengguna memperbarui situs mereka dengan versi yang ditambal dari Variasi Swatch untuk WooCommerce.

Selengkapnya: Threat Post

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

by

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

“Zero-day” pada Windows 10 yang baru memberikan hak admin, mendapat tambalan tidak resmi

by

Patch tidak resmi gratis telah dirilis untuk melindungi pengguna Windows dari kerentanan zero-day local privilege escalation (LPE) di Layanan Manajemen Perangkat Seluler yang berdampak pada Windows 10, versi 1809 dan yang lebih baru.

Cacat keamanan berada di bawah pengaturan “Akses kantor atau sekolah”, dan melewati patch yang dirilis oleh Microsoft pada bulan Februari untuk mengatasi bug pengungkapan informasi yang dilacak sebagai CVE-2021-24084.

Namun, peneliti keamanan Abdelhamid Naceri (yang juga melaporkan kerentanan awal) menemukan bulan ini bahwa cacat yang tidak sepenuhnya ditambal juga dapat dieksploitasi untuk mendapatkan hak admin setelah mengungkapkan bug yang baru ditemukan pada bulan Juni secara publik.

“Yaitu, seperti yang diajarkan HiveNightmare/SeriousSAM kepada kami, pengungkapan file sewenang-wenang dapat ditingkatkan ke eskalasi hak istimewa lokal jika Anda tahu file mana yang harus diambil dan apa yang harus dilakukan dengannya,” co-founder 0patch Mitja Kolsek menjelaskan hari ini.

“Kami mengkonfirmasi ini dengan menggunakan prosedur yang dijelaskan dalam posting blog ini oleh Raj Chandel sehubungan dengan bug Abdelhamid – dan dapat menjalankan kode sebagai administrator lokal.”

Sementara Microsoft kemungkinan besar juga memperhatikan pengungkapan Naceri pada bulan Juni, perusahaan tersebut belum menambal bug LPE ini, mengekspos sistem Windows 10 dengan pembaruan keamanan November 2021 terbaru untuk serangan.

Selengkapnya: Bleeping Computer

Bug penyadapan Mediatek berdampak pada 30% dari semua smartphone Android

by

MediaTek memperbaiki kerentanan keamanan yang memungkinkan penyerang menguping panggilan telepon Android, menjalankan perintah, atau meningkatkan hak istimewa mereka ke tingkat yang lebih tinggi.

MediaTek adalah salah satu perusahaan semikonduktor terbesar di dunia, dengan chip mereka hadir di 43% dari semua smartphone pada kuartal kedua tahun 2021.

Kerentanan ini ditemukan oleh Check Point, dengan tiga di antaranya (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) diperbaiki di Buletin Keamanan MediaTek Oktober 2021, dan yang kerentanan keempat (CVE-2021-0673) diperbaiki oleh pembaruan keamanan yang akan datang bulan depan.

Kelemahan ini berarti bahwa semua ponsel cerdas yang menggunakan chip MediaTek rentan terhadap serangan penyadapan atau infeksi malware yang tidak memerlukan interaksi pengguna jika pembaruan keamanan tidak diinstal.

Kemungkinan sejumlah besar perangkat lama yang tidak lagi didukung oleh vendor tidak akan pernah menerima pembaruan keamanan.

Prosesor MediaTek modern menggunakan unit pemrosesan audio khusus yang disebut Digital Signal Processor (DSP) untuk mengurangi beban CPU dan meningkatkan kualitas dan kinerja pemutaran audio.

Unit ini menerima permintaan pemrosesan audio dari aplikasi di ruang pengguna Android melalui driver dan sistem IPC. Secara teoritis, aplikasi yang tidak memiliki hak istimewa dapat mengeksploitasi kelemahan untuk memanipulasi penangan permintaan dan menjalankan kode pada chip audio.

Driver audio tidak berkomunikasi dengan DSP secara langsung tetapi dengan pesan IPI yang diteruskan ke System control processor (SCP).

Dengan merekayasa balik Android API yang bertanggung jawab untuk komunikasi audio, Check Point mempelajari lebih lanjut tentang cara kerja sistem, yang mengarah pada penemuan 4 kerentanan diatas.

Selengkapnya: Bleeping Computer

Malware mencoba mengeksploitasi Penginstal Windows zero-day baru

by

Pembuat malware telah mulai menguji eksploitasi bukti konsep yang menargetkan Penginstal Microsoft Windows zero-day baru yang diungkapkan secara publik oleh peneliti keamanan Abdelhamid Naceri selama akhir pekan.

“Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini,” kata Jaeson Schultz, Pemimpin Teknis untuk Talos Security Intelligence & Research Group Cisco.

Namun, seperti yang dikatakan oleh Kepala Penjangkauan Cisco Talos Nick Biasini kepada BleepingComputer, upaya eksploitasi ini adalah bagian dari serangan volume rendah yang kemungkinan difokuskan pada pengujian dan tweaker eksploitasi untuk kampanye besar-besaran.

Kerentanan yang dimaksud adalah bug elevasi hak istimewa lokal yang ditemukan sebagai pintasan ke tambalan yang dirilis Microsoft selama Patch Selasa November 2021 untuk mengatasi cacat yang dilacak sebagai CVE-2021-41379.

Pada hari Minggu, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru ini, dengan mengatakan itu berfungsi pada semua versi Windows yang didukung.

Jika berhasil dieksploitasi, bypass ini memberi penyerang hak istimewa SISTEM pada perangkat terbaru yang menjalankan rilis Windows terbaru, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Dengan memanfaatkan zero-day ini, penyerang dengan akses terbatas ke sistem yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral dalam jaringan korban.

“Solusi terbaik yang tersedia pada saat penulisan ini adalah menunggu Microsoft merilis patch keamanan, karena kompleksitas kerentanan ini,” jelas Naceri.

Selengkapnya: Bleeping Computer