Vulnerability

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

July 7, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi bug zero day untuk menghapus perangkat My Book Live secara massal

June 30, 2021 by Winnie the Pooh

Penghapusan massal perangkat penyimpanan Western Digital My Book Live minggu lalu melibatkan eksploitasi tidak hanya satu kerentanan tetapi juga bug keamanan kritis kedua yang memungkinkan peretas melakukan reset pabrik dari jarak jauh tanpa kata sandi, sebuah penyelidikan menunjukkan.

Kerentanannya luar biasa karena membuatnya sepele untuk menghapus data pengguna yang kemungkinan berukuran petabyte. Lebih penting lagi adalah bahwa, menurut kode yang rentan itu sendiri, pengembang Western Digital secara aktif menghapus kode yang memerlukan kata sandi pengguna yang valid sebelum mengizinkan pengaturan ulang pabrik untuk melanjutkan.

Kerentanan yang tidak terdokumentasi berada dalam file bernama system_factory_restore. Ini berisi skrip PHP yang melakukan reset, memungkinkan pengguna untuk mengembalikan semua konfigurasi default dan menghapus semua data yang tersimpan di perangkat.

“Vendor yang mengomentari otentikasi di titik akhir pemulihan sistem benar-benar tidak membuat segalanya terlihat baik bagi mereka,” HD Moore, pakar keamanan dan CEO platform penemuan jaringan Rumble, mengatakan kepada Ars. “Sepertinya mereka sengaja mengaktifkan bypass.”

Untuk mengeksploitasi kerentanan, penyerang harus mengetahui format permintaan XML yang memicu reset. Itu “tidak semudah menekan URL acak dengan permintaan GET, tetapi [itu] juga tidak terlalu jauh,” kata Moore.

My Book Live adalah perangkat penyimpanan seukuran buku yang menggunakan jack Ethernet untuk terhubung ke jaringan rumah dan kantor sehingga komputer yang terhubung memiliki akses ke data di dalamnya.

Selengkapnya: Ars Technica

Kerentanan Cisco ASA dieksploitasi secara aktif setelah eksploitasi dirilis

June 28, 2021 by Winnie the Pooh

Peretas memindai dan secara aktif mengeksploitasi kerentanan di perangkat Cisco ASA setelah eksploitasi PoC dipublikasikan di Twitter.

Pada hari Kamis, para peneliti dari Tim Offensive Positive Technologies menerbitkan eksploitasi PoC untuk kerentanan Cisco ASA CVE-2020-3580 di Twitter.

Kerentanan Cisco ASA ini adalah kerentanan cross-site scripting (XSS) yang dilacak sebagai CVE-2020-3580.

Cisco pertama kali mengungkapkan kerentanan dan mengeluarkan perbaikan pada Oktober 2020. Namun, patch awal untuk CVE-2020-3580 tidak lengkap, dan perbaikan lebih lanjut dirilis pada April 2021.

Kerentanan ini dapat memungkinkan aktor ancaman yang tidak diautentikasi untuk mengirim email phishing yang ditargetkan atau tautan berbahaya ke pengguna perangkat Cisco ASA untuk menjalankan perintah JavaScript di browser pengguna.

“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode skrip dalam konteks antarmuka atau memungkinkan penyerang mengakses informasi sensitif berbasis browser,” kata penasihat Cisco.

Karena pelaku ancaman sekarang secara aktif mengeksploitasi kerentanan tersebut, sangat penting bagi administrator untuk segera menambal perangkat Cisco ASA yang rentan sehingga pelaku ancaman tidak dapat mengeksploitasinya.

Selengkapnya: Bleeping Computer

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

June 21, 2021 by Winnie the Pooh

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

June 16, 2021 by Winnie the Pooh

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

Peretas Dapat Mengeksploitasi Aplikasi Pra-Instal Samsung untuk Memata-matai Pengguna

June 14, 2021 by Winnie the Pooh

Beberapa kelemahan keamanan kritis telah diungkapkan dalam aplikasi Android pra-instal Samsung, yang, jika berhasil dieksploitasi, dapat memungkinkan musuh mengakses data pribadi tanpa persetujuan pengguna dan mengambil kendali perangkat.

“Dampak bug ini memungkinkan penyerang mengakses dan mengedit kontak korban, panggilan, SMS/MMS, menginstal aplikasi dengan hak administrator perangkat, atau membaca dan menulis file atas nama pengguna sistem yang dapat mengubah pengaturan perangkat,” Sergey Toshin, pendiri startup keamanan seluler Oversecured, mengatakan dalam sebuah analisis yang diterbitkan hari Kamis.

Toshin melaporkan kelemahan tersebut ke Samsung pada Februari 2021, setelah itu tambalan dikeluarkan oleh pabrikan sebagai bagian dari pembaruan keamanan bulanan untuk April dan Mei. Daftar tujuh kerentanan adalah sebagai berikut :

CVE-2021-25356 – third-party authentication bypass in Managed Provisioning
CVE-2021-25388 – Arbitrary app installation vulnerability in Knox Core
CVE-2021-25390 – Intent redirection in PhotoTable
CVE-2021-25391 – Intent redirection in Secure Folder
CVE-2021-25392 – Possible to access notification policy file of DeX
CVE-2021-25393 – Possible to read/write access to arbitrary files as a system user (affects the Settings app)
CVE-2021-25397 – Arbitrary file write in TelephonyUI

Pemilik perangkat Samsung disarankan untuk menerapkan pembaruan firmware terbaru dari perusahaan untuk menghindari potensi risiko keamanan.

Selengkapnya: The Hacker News

Bug chip Apple M1 yang tidak dapat diperbaiki memungkinkan obrolan lintas proses, merusak model keamanan OS

May 27, 2021 by Winnie the Pooh

Chip M1 berbasis Arm milik Apple, yang banyak dipuji karena kinerjanya, mengandung cacat desain yang dapat dimanfaatkan untuk memungkinkan berbagai proses berkomunikasi secara diam-diam satu sama lain, yang melanggar prinsip keamanan sistem operasi.

M1RACLES, sebutan untuk bug, tidak menimbulkan risiko keamanan yang besar karena kebocoran informasi sudah dimungkinkan melalui berbagai saluran sampingan lainnya. Namun, itu menambahkan cara lain untuk malware yang ada pada perangkat keras yang terpengaruh untuk melakukan komunikasi rahasia.

Cacat muncul dari fakta bahwa register sistem Arm yang dikodekan sebagai s3_5_c15_c10_1 berisi dua bit yang dapat dibaca dan ditulis pada EL0 (Tingkat Pengecualian 0, hak istimewa tingkat aplikasi) dari semua inti secara bersamaan. Dalam sistem yang aman, obrolan lintas proses dibatasi untuk menjaga rahasia agar tidak terungkap.

“Sepasang berbahaya dari proses kerja sama dapat membangun saluran yang kuat dari status dua-bit ini, dengan menggunakan protokol clock-and-data (misalnya satu sisi menulis 1x untuk mengirim data, sisi lain menulis 00 untuk meminta bit berikutnya),” jelas Hector Martin, pendiri dan pimpinan proyek Ashai Linux.

Martin telah menerbitkan skrip bukti konsep untuk mendemonstrasikan cara membaca dan menulis data ke register sistem yang terlalu banyak bicara dan skrip bukti konsep untuk menyiapkan saluran rahasia pada sistem M1.

Selengkapnya: The Register

Kerentanan dalam produk VMware memiliki tingkat keparahan 9.8 dari 10

May 27, 2021 by Winnie the Pooh

Pusat data di seluruh dunia memiliki masalah baru yang harus dihadapi — kerentanan kode jarak jauh dalam produk VMware yang banyak digunakan.

Cacat keamanan, yang diungkapkan dan diperbaiki VMware pada hari Selasa, berada di vCenter Server, alat yang digunakan untuk mengelola virtualisasi di pusat data besar.

Server vCenter digunakan untuk mengelola produk host vSphere dan ESXi VMware, yang menurut beberapa peringkat merupakan solusi virtualisasi terpopuler pertama dan kedua di pasar. Enlyft, situs yang menyediakan kecerdasan bisnis, menunjukkan bahwa lebih dari 43.000 organisasi menggunakan vSphere.

Penasihat VMware mengatakan bahwa mesin vCenter yang menggunakan konfigurasi default memiliki bug yang, di banyak jaringan, memungkinkan eksekusi kode berbahaya saat mesin dapat dijangkau pada port yang terpapar ke Internet. Kerentanan dilacak sebagai CVE-2021-21985 dan memiliki skor keparahan 9,8 dari 10.

Shodan, layanan yang membuat katalog situs yang tersedia di Internet, menunjukkan bahwa ada hampir 5.600 mesin vCenter yang dapat diakses publik. Sebagian besar atau semua dari mereka berada di pusat data besar yang berpotensi menampung terabyte data sensitif.

Shodan menunjukkan bahwa pengguna teratas dengan server vCenter yang terekspos di Internet adalah Amazon, Hetzner Online GmbH, OVH SAS, dan Google.

vCenter versi 6.5, 6.7, dan 7.0 semuanya terpengaruh. Organisasi dengan mesin yang rentan harus memprioritaskan tambalan ini. Mereka yang tidak dapat langsung menginstal harus mengikuti saran solusi Beaumont. VMware memiliki lebih banyak panduan solusi di sini.

Selengkapnya : Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings