Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Pembaruan Adobe memperbaiki 28 kerentanan dalam 6 produk

by

Adobe telah merilis rilis pembaruan keamanan Patch Tuesday raksasa yang memperbaiki kerentanan di Adobe Dimension, Illustrator, Framemaker, Acrobat, Reader, dan Bridge.

Daftar lengkap Produk Adobe yang menerima pembaruan keamanan hari ini dan jumlah kerentanan tetap di bawah ini:

  • APSB21-40 | Adobe Dimension: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-42 | Adobe Illustrator: 2 Kerentanan Kritis dan 1 Penting telah diperbaiki.
  • APSB21-45 | Adobe Framemaker: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-51 | Adobe Acrobat and Reader: 14 Kerentanan Kritis dan 5 Penting telah diperbaiki.
  • APSB21-53 | Adobe Bridge: 4 Kerentanan kritis dan 1 Sedang telah diperbaiki.

Secara total, Adobe memperbaiki 28 kerentanan dengan pembaruan hari ini.

Hampir semua kerentanan Kritis dapat menyebabkan eksekusi kode, memungkinkan pelaku ancaman untuk menjalankan perintah pada komputer yang rentan.

Dari pembaruan keamanan Adobe yang dirilis hari ini, Adobe Acrobat dan Reader memiliki perbaikan paling banyak, dengan 19 kerentanan.

Meskipun tidak ada kerentanan zero-day yang diketahui secara aktif dieksploitasi, Adobe menyarankan pelanggan untuk memperbarui ke versi terbaru sesegera mungkin.

Urgensi ini karena aktor ancaman dapat membandingkan versi perangkat lunak yang lebih lama dengan versi yang ditambal untuk menentukan kode apa yang rentan dan membuat eksploitasi untuk menargetkan kerentanan ini.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

by

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Sumber: CyberArk Labs

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

by

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

  • CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

  • CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

  • CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

by

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

by

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi bug zero day untuk menghapus perangkat My Book Live secara massal

by

Penghapusan massal perangkat penyimpanan Western Digital My Book Live minggu lalu melibatkan eksploitasi tidak hanya satu kerentanan tetapi juga bug keamanan kritis kedua yang memungkinkan peretas melakukan reset pabrik dari jarak jauh tanpa kata sandi, sebuah penyelidikan menunjukkan.

Kerentanannya luar biasa karena membuatnya sepele untuk menghapus data pengguna yang kemungkinan berukuran petabyte. Lebih penting lagi adalah bahwa, menurut kode yang rentan itu sendiri, pengembang Western Digital secara aktif menghapus kode yang memerlukan kata sandi pengguna yang valid sebelum mengizinkan pengaturan ulang pabrik untuk melanjutkan.

Kerentanan yang tidak terdokumentasi berada dalam file bernama system_factory_restore. Ini berisi skrip PHP yang melakukan reset, memungkinkan pengguna untuk mengembalikan semua konfigurasi default dan menghapus semua data yang tersimpan di perangkat.

“Vendor yang mengomentari otentikasi di titik akhir pemulihan sistem benar-benar tidak membuat segalanya terlihat baik bagi mereka,” HD Moore, pakar keamanan dan CEO platform penemuan jaringan Rumble, mengatakan kepada Ars. “Sepertinya mereka sengaja mengaktifkan bypass.”

Untuk mengeksploitasi kerentanan, penyerang harus mengetahui format permintaan XML yang memicu reset. Itu “tidak semudah menekan URL acak dengan permintaan GET, tetapi [itu] juga tidak terlalu jauh,” kata Moore.

My Book Live adalah perangkat penyimpanan seukuran buku yang menggunakan jack Ethernet untuk terhubung ke jaringan rumah dan kantor sehingga komputer yang terhubung memiliki akses ke data di dalamnya.

Selengkapnya: Ars Technica

Kerentanan Cisco ASA dieksploitasi secara aktif setelah eksploitasi dirilis

by

Peretas memindai dan secara aktif mengeksploitasi kerentanan di perangkat Cisco ASA setelah eksploitasi PoC dipublikasikan di Twitter.

Pada hari Kamis, para peneliti dari Tim Offensive Positive Technologies menerbitkan eksploitasi PoC untuk kerentanan Cisco ASA CVE-2020-3580 di Twitter.

Kerentanan Cisco ASA ini adalah kerentanan cross-site scripting (XSS) yang dilacak sebagai CVE-2020-3580.

Cisco pertama kali mengungkapkan kerentanan dan mengeluarkan perbaikan pada Oktober 2020. Namun, patch awal untuk CVE-2020-3580 tidak lengkap, dan perbaikan lebih lanjut dirilis pada April 2021.

Kerentanan ini dapat memungkinkan aktor ancaman yang tidak diautentikasi untuk mengirim email phishing yang ditargetkan atau tautan berbahaya ke pengguna perangkat Cisco ASA untuk menjalankan perintah JavaScript di browser pengguna.

“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode skrip dalam konteks antarmuka atau memungkinkan penyerang mengakses informasi sensitif berbasis browser,” kata penasihat Cisco.

Karena pelaku ancaman sekarang secara aktif mengeksploitasi kerentanan tersebut, sangat penting bagi administrator untuk segera menambal perangkat Cisco ASA yang rentan sehingga pelaku ancaman tidak dapat mengeksploitasinya.

Selengkapnya: Bleeping Computer

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

by

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading