Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Jaringan Industri Terekspos Melalui Teknologi Operasional Berbasis Cloud

by

Manfaat menggunakan platform manajemen berbasis cloud untuk memantau dan mengonfigurasi perangkat sistem kontrol industri (ICS) sangat jelas — efisiensi, penghematan biaya, dan diagnostik yang lebih baik hanya sebagai permulaan. Tetapi penelitian baru menemukan kerentanan kritis dalam platform ini yang dapat digunakan untuk melumpuhkan operasi jika dibiarkan tanpa tanggung jawab.

Analisis oleh tim peneliti Team82 Claroty yang baru menemukan kerentanan mencolok dalam sistem industri CODESYS dan WAGO, yang menggunakan otomatisasi berbasis cloud untuk teknologi operasional (OT) — segmen yang sering disebut sebagai “Industri 4.0.”

Kerentanan, jika dieksploitasi, dapat menyebabkan konsekuensi serius, termasuk menguasai peralatan dan operasi industri.

Sumber: Claroty

Beberapa jenis eksploitasi dapat dilakukan, tetapi Claroty menandai beberapa catatan. Dalam satu bukti konsep, mereka dapat memodifikasi paket CODESYS Package Designer untuk mengambil kredensial cloud pengguna; serangan melibatkan rekayasa sosial pengguna yang masuk untuk menginstalnya.

Serangan itu akan memungkinkan akses ke konsol manajemen berbasis cloud CODESYS, dimana musuh dapat lebih jauh mengeksploitasi PLC terkelola yang terhubung ke konsol.

WAGO dan CODESYS dengan cepat merespons dengan mitigasi dan patch untuk semua kerentanan yang dilaporkan.

Selengkapnya: Threat Post

Kebijakan perangkat lunak baru China mempersenjatai penelitian keamanan siber

by

Peretasan server Microsoft Exchange yang baru saja dikaitkan AS dengan China dapat menjadi kejadian yang lebih umum dan berbahaya dengan pengumuman aturan baru China untuk kerentanan perangkat lunak.

Peraturan, yang mulai berlaku pada bulan September, memaksa perusahaan asing untuk mengungkapkan kesalahan ini jika mereka ingin melakukan bisnis di China. Dengan melakukan itu, mereka mempersenjatai proses penemuan kerentanan dan memiliki konsekuensi keamanan nasional yang signifikan bagi AS dan sekutunya.

Kerentanan, ketika dieksploitasi dengan benar, memungkinkan penyerang mengakses sesuatu yang seharusnya tidak dapat mereka jangkau. Di A.S., komunitas aktif peneliti keamanan siber, yang diberi insentif oleh program hadiah perusahaan dan kompetisi keamanan siber yang menguntungkan, secara sukarela mengungkapkan informasi tentang kerentanan kepada perusahaan atau pemerintah A.S.

Institut Nasional Standar dan Teknologi mengelola proses ini, mengeluarkan nomor ID dan mendaftarkan kerentanan di Database Kerentanan Nasional. Peretas pemerintah menemukan kerentanan mereka sendiri, baik dengan melakukan lusinan jam penelitian atau dengan membelinya dari vendor.

Tetapi aturan baru China tentang kerentanan perangkat lunak mencoba mengubah sistem ini. Kebijakan baru membuat komunitas keamanan siber global berada dalam jalur penemuan kerentanan China dengan mewajibkan perusahaan yang melakukan bisnis di China untuk mengungkapkan kerentanan mereka kepada pemerintah.

Selengkapnya: The Hill

Kerentanan Windows 10 baru memungkinkan siapa saja untuk mendapatkan hak istimewa admin

by

Windows 10 dan Windows 11 rentan terhadap peningkatan kerentanan hak istimewa lokal setelah menemukan bahwa pengguna dengan hak istimewa rendah dapat mengakses file database Registry yang sensitif.

Registry Windows bertindak sebagai repositori konfigurasi untuk sistem operasi Windows dan berisi kata sandi hash, penyesuaian pengguna, opsi konfigurasi untuk aplikasi, kunci dekripsi sistem, dan banyak lagi.

File database yang terkait dengan Windows Registry disimpan di bawah folder C:\Windows\system32\config dan dipecah menjadi file yang berbeda seperti SYSTEM, SECURITY, SAM, DEFAULT, dan SOFTWARE.

Karena file ini berisi informasi sensitif tentang semua akun pengguna di perangkat dan token keamanan yang digunakan oleh fitur Windows, file tersebut harus dibatasi agar tidak dilihat oleh pengguna biasa tanpa hak istimewa yang lebih tinggi.

Hal ini terutama berlaku untuk file Security Account Manager (SAM) karena berisi kata sandi hash untuk semua pengguna di sistem, yang dapat digunakan oleh pelaku ancaman untuk mengasumsikan identitas mereka.

Peneliti keamanan Jonas Lykkegaard mengatakan kepada BleepingComputer bahwa dia menemukan file Registry Windows 10 dan Windows 11 yang terkait dengan Security Account Manager (SAM), dan semua database Registry lainnya, dapat diakses oleh grup ‘Pengguna’ yang memiliki hak istimewa rendah pada perangkat.

Dengan izin file yang rendah ini, aktor ancaman dengan hak istimewa terbatas pada perangkat dapat mengekstrak kata sandi hash NTLM untuk semua akun di perangkat dan menggunakan hash tersebut dalam serangan pass-the-hash untuk mendapatkan hak istimewa yang lebih tinggi.

Serangan ini ditunjukkan dalam video di bawah yang dibuat oleh Delpy dan dibagikan dengan BleepingComputer yang menunjukkan Mimikatz menggunakan hash NTLM untuk mendapatkan hak debug.

Selengkapnya: Bleeping Computer

Microsoft menemukan zero-day SolarWinds kritis di bawah serangan aktif

by

SolarWinds, perusahaan yang menjadi pusat serangan rantai pasokan yang membahayakan sembilan agensi AS dan 100 perusahaan swasta, berusaha keras untuk mengatasi ancaman keamanan baru: kerentanan zero-day kritis dalam lini produk Serv-U-nya.

Microsoft menemukan eksploitasi dan secara pribadi melaporkannya ke SolarWinds, kata perusahaan dalam sebuah nasihat yang diterbitkan pada hari Jumat. SolarWinds mengatakan serangan itu sama sekali tidak terkait dengan serangan rantai pasokan yang ditemukan pada bulan Desember.

Hanya SolarWinds Serv-U Managed File Transfer dan Serv-U Secure FTP—dan dengan ekstensi, Serv-U Gateway, komponen dari kedua produk tersebut—yang terpengaruh oleh kerentanan ini, yang memungkinkan penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Penyerang dapat memperoleh akses istimewa ke mesin yang dieksploitasi yang menghosting produk Serv-U dan kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau menjalankan program pada sistem yang terpengaruh. Kerentanan ada di Serv-U versi 15.2.3 HF1 terbaru, dirilis pada 5 Mei, dan semua versi sebelumnya.

SolarWinds telah mengeluarkan perbaikan terbaru untuk mengurangi serangan sementara perusahaan bekerja pada solusi permanen. Orang yang menjalankan Serv-U versi 15.2.3 HF1 harus menerapkan hotfix (HF) 2; mereka yang menggunakan Serv-U 15.2.3 harus menerapkan Serv-U 15.2.3 HF1 dan kemudian menerapkan Serv-U 15.2.3 HF2; dan yang menjalankan versi Serv-U sebelum 15.2.3 harus meningkatkan ke Serv-U 15.2.3, menerapkan Serv-U 15.2.3 HF1, dan kemudian menerapkan Serv-U 15.2.3 HF2.

Perusahaan mengatakan pelanggan harus segera menginstal perbaikan.

Selengkapnya: Ars Technica

Pembaruan Adobe memperbaiki 28 kerentanan dalam 6 produk

by

Adobe telah merilis rilis pembaruan keamanan Patch Tuesday raksasa yang memperbaiki kerentanan di Adobe Dimension, Illustrator, Framemaker, Acrobat, Reader, dan Bridge.

Daftar lengkap Produk Adobe yang menerima pembaruan keamanan hari ini dan jumlah kerentanan tetap di bawah ini:

  • APSB21-40 | Adobe Dimension: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-42 | Adobe Illustrator: 2 Kerentanan Kritis dan 1 Penting telah diperbaiki.
  • APSB21-45 | Adobe Framemaker: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-51 | Adobe Acrobat and Reader: 14 Kerentanan Kritis dan 5 Penting telah diperbaiki.
  • APSB21-53 | Adobe Bridge: 4 Kerentanan kritis dan 1 Sedang telah diperbaiki.

Secara total, Adobe memperbaiki 28 kerentanan dengan pembaruan hari ini.

Hampir semua kerentanan Kritis dapat menyebabkan eksekusi kode, memungkinkan pelaku ancaman untuk menjalankan perintah pada komputer yang rentan.

Dari pembaruan keamanan Adobe yang dirilis hari ini, Adobe Acrobat dan Reader memiliki perbaikan paling banyak, dengan 19 kerentanan.

Meskipun tidak ada kerentanan zero-day yang diketahui secara aktif dieksploitasi, Adobe menyarankan pelanggan untuk memperbarui ke versi terbaru sesegera mungkin.

Urgensi ini karena aktor ancaman dapat membandingkan versi perangkat lunak yang lebih lama dengan versi yang ditambal untuk menentukan kode apa yang rentan dan membuat eksploitasi untuk menargetkan kerentanan ini.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

by

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Sumber: CyberArk Labs

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

by

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

  • CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

  • CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

  • CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

by

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software