Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

by

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Cisco mengatasi bug kritis di klien Jabber untuk Windows, macOS dan beberapa OS lain

by

Cisco telah mengatasi kerentanan eksekusi program arbitrer kritis yang berdampak pada beberapa versi perangkat lunak klien Cisco Jabber untuk Windows, macOS, Android, dan iOS.

Cisco Jabber adalah aplikasi konferensi web dan pesan instan yang memungkinkan pengguna mengirim pesan melalui Extensible Messaging and Presence Protocol (XMPP).

Kerentanan tersebut dilaporkan oleh Olav Sortland Thoresen dari Watchcom. Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa cacat tersebut saat ini tidak dieksploitasi di alam liar.

Cacat keamanan yang dilacak sebagai CVE-2021-1411 dinilai oleh Cisco dengan skor keparahan 9,9 / 10, dan itu disebabkan oleh validasi input yang tidak tepat dari konten pesan masuk.

Untungnya, untuk mengeksploitasi bug kritis ini, penyerang perlu diautentikasi ke server XMPP yang digunakan oleh perangkat lunak yang rentan untuk mengirim pesan XMPP perusak yang berbahaya ke perangkat target mereka.

Selain itu, kerentanan tidak memengaruhi perangkat lunak klien Cisco Jabber yang dikonfigurasi untuk mode Pesan Tim atau Hanya Telepon.

Namun, eksploitasi CVE-2021-1411 yang berhasil — yang tidak memerlukan interaksi pengguna — dapat mengaktifkan penyerang jarak jauh yang diautentikasi untuk mengeksekusi program sewenang-wenang di perangkat Windows, macOS, Android, atau iOS yang menjalankan perangkat lunak klien Jabber yang belum ditambal.

Selengkapnya: Bleeping Computer

Raksasa Energi Shell Menjadi Korban Serangan Accellion

by

Raksasa energi Royal Dutch Shell adalah salah satu korban lainnya dari serangkaian serangan terhadap pengguna produk File Transfer Appliance (FTA) warisan Accellion, yang telah memengaruhi banyak perusahaan dan dikaitkan dengan FIN11 dan geng ransomware Clop.

Para penyerang “memperoleh akses ke “berbagai file” yang berisi data pribadi dan perusahaan dari Shell dan beberapa pemangku kepentingannya”, kata perusahaan itu. Namun, karena implementasi Accellionnya, sistem TI intinya tidak terpengaruh oleh pelanggaran tersebut, “karena layanan transfer file diisolasi dari infrastruktur digital Shell lainnya”, kata perusahaan itu.

Shell, perusahaan terbesar kelima di dunia, juga mengungkapkan beberapa afiliasi perusahaan petrokimia dan energi global terkena dampaknya.

Menurut perusahaan, setelah mengetahui insiden tersebut, Shell segera mengatasi kerentanan tersebut dengan penyedia layanan dan tim keamanan sibernya, dan memulai penyelidikan untuk lebih memahami sifat dan tingkat insiden tersebut.

Shell tidak mengatakan secara spesifik bagaimana penyerang mengakses implementasi Accellion-nya, tetapi pelanggaran tersebut kemungkinan besar terkait dengan serangkaian serangan terhadap kerentanan di Accellion FTA, produk lawas berusia 20 tahun yang digunakan oleh perusahaan besar di seluruh dunia.

Accellion mengungkapkan bahwa ia menyadari kerentanan keamanan zero-day pada produk tersebut pada pertengahan Desember, dan kemudian berusaha menambalnya.

Selengkapnya: The Threat Post

Kerentanan kritis F5 BIG-IP sekarang ditargetkan dalam serangan yang sedang berlangsung

by

Pada hari Kamis, perusahaan keamanan siber NCC Group mengatakan bahwa mereka berhasil mendeteksi eksploitasi liar dari kerentanan kritis yang baru-baru ini ditambal di perangkat jaringan F5 BIG-IP dan BIG-IQ.

Upaya eksploitasi telah dimulai awal minggu ini dan telah meningkat selama 24 jam terakhir, dengan aktivitas pemindaian massal terdeteksi oleh NCC Group dan Bad Packets.

“Mulai minggu ini dan terutama dalam 24 jam terakhir (18 Maret 2021) kami telah mengamati berbagai upaya eksploitasi terhadap infrastruktur honeypot kami,” kata Rich Warren dan Sander Laarhoven dari NCC Group.

Kerentanan keamanan yang coba dieksploitasi oleh penyerang ini adalah eksekusi perintah jarak jauh (RCE) yang tidak diautentikasi yang dilacak sebagai CVE-2021-22986, dan ini memengaruhi sebagian besar versi perangkat lunak F5 BIG-IP dan BIG-IQ.

Beberapa peneliti keamanan telah membagikan kode eksploitasi bukti konsep setelah merekayasa balik patch BIG-IP.

Eksploitasi bug yang berhasil (dengan tingkat keparahan 9.8 / 10) dapat menyebabkan gangguan sistem secara penuh, termasuk perpindahan lateral ke jaringan internal dan intersepsi lalu lintas aplikasi pengontrol.

Sumber: Bleeping Computer

Microsoft Mengeluarkan Alat Mitigasi Lokal Microsoft Exchange Sekali Klik

by

Microsoft bekerja secara aktif dengan pelanggan melalui tim dukungan pelanggan, host pihak ketiga, dan jaringan mitra kami untuk membantu mereka mengamankan lingkungan mereka dan menanggapi ancaman terkait dari serangan di lokasi Exchange Server baru-baru ini. Berdasarkan keterlibatan ini, kami menyadari bahwa ada kebutuhan akan solusi otomatis yang sederhana, mudah digunakan, yang akan memenuhi kebutuhan pelanggan yang menggunakan versi Exchange Server lokal saat ini dan di luar dukungan.

Microsoft telah meluncurkan alat mitigasi satu klik yang baru, Alat Mitigasi Lokal Microsoft Exchange untuk membantu pelanggan yang tidak memiliki tim keamanan atau TI khusus untuk menerapkan pembaruan keamanan ini. Dengan mengunduh dan menjalankan alat ini, yang mencakup Pemindai Keamanan Microsoft terbaru, pelanggan akan secara otomatis mengurangi CVE-2021-26855 di server Exchange mana pun yang digunakan. Alat ini bukan pengganti untuk pembaruan keamanan Exchange tetapi merupakan cara tercepat dan termudah untuk mengurangi risiko tertinggi ke Server Exchange di tempat yang tersambung ke internet sebelum menambal.

Kami menyarankan bahwa semua pelanggan yang belum menerapkan pembaruan keamanan Exchange di tempat:

1. Unduh alat ini.
2. Jalankan di server Exchange Anda segera.
3. Kemudian, ikuti panduan yang lebih detail di sini untuk memastikan bahwa Exchange lokal Anda terlindungi.
4. Jika Anda sudah menggunakan Microsoft Safety Scanner, itu masih aktif dan kami menyarankan agar ini tetap berjalan karena dapat digunakan untuk membantu mitigasi tambahan.

Setelah dijalankan, alat Jalankan EOMT.ps1 akan melakukan tiga operasi:

1. Kurangi serangan yang diketahui saat ini menggunakan CVE-2021-26855 menggunakan konfigurasi Tulis Ulang URL.
2. Pindai Exchange Server menggunakan Microsoft Safety Scanner.
3. Mencoba membalikkan perubahan apa pun yang dibuat oleh ancaman yang teridentifikasi.

Sebelum menjalankan alat tersebut, Anda harus memahami:

    • Alat Mitigasi Exchange On-premises efektif melawan serangan yang telah kita lihat sejauh ini, tetapi tidak dijamin dapat mengurangi semua kemungkinan teknik serangan di masa mendatang. Alat ini hanya boleh digunakan sebagai mitigasi sementara sampai server Exchange Anda dapat diperbarui sepenuhnya seperti yang diuraikan dalam panduan kami sebelumnya.
      Kami merekomendasikan skrip ini daripada skrip ExchangeMitigations.ps1 sebelumnya karena disetel berdasarkan kecerdasan ancaman terbaru. Jika Anda sudah memulai dengan skrip lain, tidak masalah untuk beralih ke skrip ini.
      Ini adalah pendekatan yang disarankan untuk penyebaran Exchange dengan akses Internet dan bagi mereka yang ingin mencoba remediasi otomatis.
      Sejauh ini, kami belum mengamati dampak apa pun pada fungsionalitas Exchange Server saat metode mitigasi ini diterapkan.

    • Untuk informasi teknis, contoh, dan panduan lebih lanjut, harap tinjau dokumentasi GitHub.

    Source : Microsoft

    Bug kernel Linux berusia 15 tahun memungkinkan penyerang mendapatkan hak akses root

    by

    Tiga kerentanan yang ditemukan di subsistem iSCSI dari kernel Linux dapat memungkinkan penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

    Bug keamanan ini hanya dapat dieksploitasi secara lokal, yang berarti bahwa penyerang potensial harus mendapatkan akses ke perangkat yang rentan dengan mengeksploitasi kerentanan lain atau menggunakan vektor serangan alternatif.

    Peneliti GRIMM menemukan bug 15 tahun setelah diperkenalkan pada tahun 2006 selama tahap pengembangan awal subsistem kernel iSCSI.
    Menurut peneliti keamanan GRIMM Adam Nichols, kelemahan tersebut mempengaruhi semua distribusi Linux, tetapi untungnya, modul kernel scsi_transport_iscsi yang rentan tidak dimuat secara default.
    Namun, bergantung pada distribusi Linux yang mungkin ditargetkan penyerang, modul dapat dimuat dan dieksploitasi untuk eskalasi hak istimewa.

    “Kernel Linux memuat modul baik karena perangkat keras baru terdeteksi atau karena fungsi kernel mendeteksi bahwa ada modul yang hilang,” kata Nichols.
    “Kasus pemuatan otomatis implisit yang terakhir lebih mungkin untuk disalahgunakan dan dengan mudah dipicu oleh penyerang, memungkinkan mereka untuk meningkatkan permukaan serangan di kernel.”
    Pada sistem CentOS 8, RHEL 8, dan Fedora, pengguna yang tidak memiliki hak istimewa dapat secara otomatis memuat modul yang diperlukan jika paket rdma-core diinstal, “tambah Nichols.
    “Pada sistem Debian dan Ubuntu, paket rdma-core hanya akan secara otomatis memuat dua modul kernel yang diperlukan jika perangkat keras RDMA tersedia. Dengan demikian, cakupan kerentanannya jauh lebih terbatas.”

    Penyerang dapat menyalahgunakan bug untuk melewati fitur keamanan yang memblokir eksploitasi seperti Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), dan Kernel Page-Table Isolation (KPTI).

    Tiga kerentanan dapat menyebabkan peningkatan lokal hak istimewa, kebocoran informasi, dan penolakan layanan:

    CVE-2021-27365: heap buffer overflow (Eskalasi Hak Istimewa Lokal, Kebocoran Informasi, Denial of Service)
    CVE-2021-27363: kebocoran penunjuk kernel (Kebocoran Informasi)
    CVE-2021-27364: pembacaan di luar batas (Kebocoran Informasi, Penolakan Layanan)

    Ketiga kerentanan ditambal pada kernel versi 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260, dan tambalan tersedia di kernel Linux jalur utama pada 7 Maret. Tidak ada patch yang akan dirilis untuk versi kernel yang tidak didukung EOL seperti 3.x dan 2.6.23. kami sarankan untuk segera melakukan patch pada kernel anda.

    Source : Bleeping Computer

    PoC baru untuk bug Microsoft Exchange membuat serangan dapat menjangkau siapa pun

    by

    Awal pekan ini, seorang peneliti keamanan bernama Nguyen Jang menerbitkan entri blog yang merinci eksploitasi bukti konsep (POC) untuk kerentanan Microsoft Exchange ProxyLogon. Jang juga membagikan eksploitasi yang sengaja rusak di GitHub yang memerlukan beberapa perbaikan agar berfungsi dengan benar.

    Namun, PoC memberikan informasi yang cukup sehingga peneliti keamanan dan pelaku ancaman dapat menggunakannya untuk mengembangkan eksploitasi eksekusi kode jarak jauh fungsional untuk server Microsoft Exchange.

    Segera setelah PoC diterbitkan, Jang menerima email dari GitHub milik Microsoft yang menyatakan bahwa PoC telah dihapus karena melanggar Kebijakan Penggunaan yang Dapat Diterima.

    Akhir pekan ini, seorang peneliti keamanan yang berbeda menerbitkan ProxyLogon PoC baru yang memerlukan sedikit modifikasi untuk mengeksploitasi server Microsoft Exchange yang rentan dan meletakkan shell web di atasnya.

    Will Dorman, Analis Kerentanan di CERT / CC, menguji kerentanan pada server Microsoft Exchange dan memberi tahu BleepingComputer bahwa itu bekerja dengan sedikit modifikasi.

    “Sekarang sudah dalam jangkauan ‘script kiddie'”, Dorman memperingatkan dalam diskusi mengenai PoC.

    Dengan eksploitasi untuk kerentanan Microsoft Exchange yang tersedia untuk umum, semakin penting bagi administrator untuk menambal server mereka sesegera mungkin.

    Selengkapnya: Bleeping Computer

    F5 mendesak pelanggan untuk menambal bug RCE pre-auth BIG-IP yang penting

    by

    F5 Networks, penyedia terkemuka perlengkapan jaringan perusahaan, telah mengumumkan empat kerentanan eksekusi kode jarak jauh (RCE) kritis yang memengaruhi sebagian besar versi perangkat lunak BIG-IP dan BIG-IQ.

    F5 BIG-IP perangkat lunak dan pelanggan perangkat keras termasuk pemerintah, perusahaan Fortune 500, bank, penyedia layanan internet, dan merek konsumen (termasuk Microsoft, Oracle, dan Facebook), dengan perusahaan mengklaim bahwa “48 dari Fortune 50 mengandalkan F5”.

    Empat kerentanan kritis yang tercantum di bawah ini juga mencakup cacat keamanan RCE pre-auth (CVE-2021-22986) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada perangkat BIG-IP yang disusupi:

    • CVE-2021-22986: iControl REST unauthenticated remote command execution (9.8/10)
    • CVE-2021-22987: Appliance Mode TMUI authenticated remote command execution
    • CVE-2021-22991: TMM buffer-overflow (9.0/10)
    • CVE-2021-22992: Advanced WAF/ASM buffer-overflow (9.0/10)

    Eksploitasi yang berhasil dari kerentanan BIG-IP RCE yang kritis dapat menyebabkan gangguan sistem penuh, termasuk intersepsi lalu lintas aplikasi pengontrol dan perpindahan lateral ke jaringan internal.

    F5 juga menerbitkan peringatan keamanan pada tiga kerentanan RCE lainnya (dua tinggi dan satu medium, dengan peringkat keparahan CVSS antara 6,6 dan 8,8), memungkinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sistem sewenang-wenang.

    Tujuh kerentanan diperbaiki dalam versi BIG-IP berikut: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, dan 11.6.5.3.

    Sumber: Bleeping Computer