Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

FBI: APT Secara Aktif Memanfaatkan Lubang Keamanan VPN Fortinet

by

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan bahwa pelaku negara-bangsa ancaman persisten tingkat lanjut (APT) secara aktif mengeksploitasi kerentanan keamanan yang diketahui dalam sistem operasi keamanan siber Fortinet FortiOS, yang memengaruhi produk SSL VPN perusahaan tersebut.

Menurut peringatan yang dikeluarkan hari Jumat oleh FBI dan CISA, penyerang siber memindai perangkat di port 4443, 8443, dan 10443, mencari implementasi keamanan Fortinet yang belum ditambal. Secara khusus, APT mengeksploitasi kerentanan CVE-2018-13379, CVE-2019-5591 dan CVE-2020-12812.

Bug yang dilacak sebagai CVE-2018-13379 adalah masalah jalur-traversal di Fortinet FortiOS, di mana portal web SSL VPN memungkinkan penyerang yang tidak terautentikasi mengunduh file sistem melalui permintaan sumber daya HTTP yang dibuat secara khusus.

Cacat CVE-2019-5591 adalah kerentanan konfigurasi default di FortiOS yang memungkinkan penyerang tidak terautentikasi pada subnet yang sama mencegat informasi sensitif dengan meniru identitas server LDAP.

Dan terakhir, CVE-2020-12812 adalah kerentanan otentikasi yang tidak tepat di SSL VPN di FortiOS, yang memungkinkan pengguna untuk berhasil masuk tanpa dimintai faktor kedua dari otentikasi (FortiToken) jika mereka mengubah kasus nama pengguna mereka.

“Penyerang semakin menargetkan aplikasi eksternal yang penting – VPN semakin menjadi sasaran tahun lalu,” kata Zach Hanley, red team engineer senior di Horizon3.AI, melalui email. “Ketiga kerentanan yang menargetkan Fortinet VPN ini memungkinkan penyerang mendapatkan kredensial yang valid, melewati otentikasi multifaktor (MFA), dan lalu lintas otentikasi man-in-the-middle (MITM) untuk mencegat kredensial.”

Hanley menambahkan, “Tema umum di sini adalah: setelah mereka berhasil, mereka akan terlihat seperti pengguna biasa.”

Bug ini populer di kalangan penyerang dunia maya secara umum, karena jejak Fortinet yang tersebar luas, catat para peneliti.

Selengkapnya: Threat Post

CPU AMD Zen 3 Rentan Terhadap Kerentanan Seperti Spectre

by

AMD telah menerbitkan whitepaper tentang potensi kerentanan keamanan yang memengaruhi prosesor Zen 3 terbaru perusahaan. Eksploitasi saluran samping mirip dengan Spectre yang memengaruhi sebagian besar prosesor Intel tiga tahun lalu.

Dengan Zen 3, AMD memperkenalkan teknologi baru yang disebut Predictive Store Forwarding (PSF), yang membantu meningkatkan kinerja eksekusi kode dengan memprediksi hubungan antara beban dan penyimpanan. Dalam sebagian besar kasus, prediksi PSF tepat sasaran. Namun, masih ada kemungkinan kecil bahwa prediksi tersebut mungkin tidak akurat, yang menghasilkan spekulasi CPU yang salah.

Arsitek CPU AMD telah menemukan bahwa spekulasi PSF yang buruk setara dengan Spectre v4. Perangkat lunak yang mengandalkan isolasi atau “sandboxing” sangat berisiko jika menghasilkan spekulasi yang salah. AMD menyediakan dua skenario di mana prediksi PSF yang salah dapat terjadi.

“Pertama, ada kemungkinan bahwa pasangan store/load memiliki ketergantungan untuk sementara tetapi kemudian berhenti memiliki ketergantungan. Ini dapat terjadi jika alamat penyimpanan atau pemuatan berubah selama pelaksanaan program.”

“Sumber kedua dari prediksi PSF yang salah dapat terjadi jika ada alias dalam struktur prediktor PSF. Prediktor PSF dirancang untuk melacak pasangan store/load berdasarkan bagian RIP mereka. Ada kemungkinan bahwa pasangan store/load yang memiliki ketergantungan dapat alias dalam prediktor dengan pasangan store/load lain yang tidak. Hal ini dapat mengakibatkan spekulasi yang salah saat pasangan store/load kedua dijalankan.”

Selengkapnya: Tom’s Hardware

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

by Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

OpenSSL memperbaiki DoS yang parah, kerentanan validasi sertifikat

by

Proyek OpenSSL telah mengeluarkan peringatan untuk dua kerentanan tingkat keparahan tinggi CVE-2021-3449 dan CVE-2021-3450 yang bersembunyi di produk OpenSSL.

OpenSSL adalah library perangkat lunak yang umum digunakan untuk membangun aplikasi jaringan dan server yang perlu membangun komunikasi yang aman.

Kerentanan ini meliputi:

  • CVE-2021-3449: Cacat Denial of Service (DoS) karena dereferensi penunjuk NULL yang hanya memengaruhi instance server OpenSSL, bukan klien.
  • CVE-2021-3450: Kerentanan validasi sertifikat Certificate Authority (CA) yang tidak tepat yang memengaruhi instance server dan klien.

Kerentanan DoS (CVE-2021-3449) di server OpenSSL TLS dapat menyebabkan server macet jika selama negosiasi ulang klien mengirim pesan ClientHello berbahaya.

Kerentanan hanya memengaruhi server OpenSSL yang menjalankan versi antara 1.1.1 dan 1.1.1j (keduanya inklusif) yang memiliki TLSv1.2 dan negosiasi ulang yang diaktifkan.

Namun, karena ini adalah konfigurasi default pada versi server OpenSSL ini, banyak server aktif yang berpotensi rentan. Klien OpenSSL tidak terpengaruh.

Untungnya, semua yang diperlukan untuk memperbaiki bug DoS ini adalah perbaikan satu baris, yang terdiri dari pengaturan peer_sigalgslen ke nol.

Kedua kerentanan diperbaiki di OpenSSL 1.1.1k dan pengguna disarankan untuk meningkatkan ke versi ini untuk melindungi instance mereka.

Sumber: Bleeping Computer

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

by

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Cisco mengatasi bug kritis di klien Jabber untuk Windows, macOS dan beberapa OS lain

by

Cisco telah mengatasi kerentanan eksekusi program arbitrer kritis yang berdampak pada beberapa versi perangkat lunak klien Cisco Jabber untuk Windows, macOS, Android, dan iOS.

Cisco Jabber adalah aplikasi konferensi web dan pesan instan yang memungkinkan pengguna mengirim pesan melalui Extensible Messaging and Presence Protocol (XMPP).

Kerentanan tersebut dilaporkan oleh Olav Sortland Thoresen dari Watchcom. Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa cacat tersebut saat ini tidak dieksploitasi di alam liar.

Cacat keamanan yang dilacak sebagai CVE-2021-1411 dinilai oleh Cisco dengan skor keparahan 9,9 / 10, dan itu disebabkan oleh validasi input yang tidak tepat dari konten pesan masuk.

Untungnya, untuk mengeksploitasi bug kritis ini, penyerang perlu diautentikasi ke server XMPP yang digunakan oleh perangkat lunak yang rentan untuk mengirim pesan XMPP perusak yang berbahaya ke perangkat target mereka.

Selain itu, kerentanan tidak memengaruhi perangkat lunak klien Cisco Jabber yang dikonfigurasi untuk mode Pesan Tim atau Hanya Telepon.

Namun, eksploitasi CVE-2021-1411 yang berhasil — yang tidak memerlukan interaksi pengguna — dapat mengaktifkan penyerang jarak jauh yang diautentikasi untuk mengeksekusi program sewenang-wenang di perangkat Windows, macOS, Android, atau iOS yang menjalankan perangkat lunak klien Jabber yang belum ditambal.

Selengkapnya: Bleeping Computer

Raksasa Energi Shell Menjadi Korban Serangan Accellion

by

Raksasa energi Royal Dutch Shell adalah salah satu korban lainnya dari serangkaian serangan terhadap pengguna produk File Transfer Appliance (FTA) warisan Accellion, yang telah memengaruhi banyak perusahaan dan dikaitkan dengan FIN11 dan geng ransomware Clop.

Para penyerang “memperoleh akses ke “berbagai file” yang berisi data pribadi dan perusahaan dari Shell dan beberapa pemangku kepentingannya”, kata perusahaan itu. Namun, karena implementasi Accellionnya, sistem TI intinya tidak terpengaruh oleh pelanggaran tersebut, “karena layanan transfer file diisolasi dari infrastruktur digital Shell lainnya”, kata perusahaan itu.

Shell, perusahaan terbesar kelima di dunia, juga mengungkapkan beberapa afiliasi perusahaan petrokimia dan energi global terkena dampaknya.

Menurut perusahaan, setelah mengetahui insiden tersebut, Shell segera mengatasi kerentanan tersebut dengan penyedia layanan dan tim keamanan sibernya, dan memulai penyelidikan untuk lebih memahami sifat dan tingkat insiden tersebut.

Shell tidak mengatakan secara spesifik bagaimana penyerang mengakses implementasi Accellion-nya, tetapi pelanggaran tersebut kemungkinan besar terkait dengan serangkaian serangan terhadap kerentanan di Accellion FTA, produk lawas berusia 20 tahun yang digunakan oleh perusahaan besar di seluruh dunia.

Accellion mengungkapkan bahwa ia menyadari kerentanan keamanan zero-day pada produk tersebut pada pertengahan Desember, dan kemudian berusaha menambalnya.

Selengkapnya: The Threat Post

Kerentanan kritis F5 BIG-IP sekarang ditargetkan dalam serangan yang sedang berlangsung

by

Pada hari Kamis, perusahaan keamanan siber NCC Group mengatakan bahwa mereka berhasil mendeteksi eksploitasi liar dari kerentanan kritis yang baru-baru ini ditambal di perangkat jaringan F5 BIG-IP dan BIG-IQ.

Upaya eksploitasi telah dimulai awal minggu ini dan telah meningkat selama 24 jam terakhir, dengan aktivitas pemindaian massal terdeteksi oleh NCC Group dan Bad Packets.

“Mulai minggu ini dan terutama dalam 24 jam terakhir (18 Maret 2021) kami telah mengamati berbagai upaya eksploitasi terhadap infrastruktur honeypot kami,” kata Rich Warren dan Sander Laarhoven dari NCC Group.

Kerentanan keamanan yang coba dieksploitasi oleh penyerang ini adalah eksekusi perintah jarak jauh (RCE) yang tidak diautentikasi yang dilacak sebagai CVE-2021-22986, dan ini memengaruhi sebagian besar versi perangkat lunak F5 BIG-IP dan BIG-IQ.

Beberapa peneliti keamanan telah membagikan kode eksploitasi bukti konsep setelah merekayasa balik patch BIG-IP.

Eksploitasi bug yang berhasil (dengan tingkat keparahan 9.8 / 10) dapat menyebabkan gangguan sistem secara penuh, termasuk perpindahan lateral ke jaringan internal dan intersepsi lalu lintas aplikasi pengontrol.

Sumber: Bleeping Computer