Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Microsoft November 2020 Patch Tuesday tiba dengan perbaikan untuk Windows zero-day

by

Microsoft merilis roll-up patch keamanan bulanan yang dikenal sebagai Patch Tuesday hari ini.

Bulan ini, Microsoft memperbaiki 112 bug keamanan di berbagai produk, dari Microsoft Edge hingga Windows WalletService. Tambalan bulan ini juga menyertakan perbaikan untuk kerentanan zero-day Windows yang dieksploitasi secara aktif.

Dilacak sebagai CVE-2020-17087, zero-day diungkapkan pada 30 Oktober oleh tim keamanan Google Project Zero dan TAG. Google mengatakan kerentanan ini sedang dieksploitasi bersama dengan Chrome zero-day untuk menargetkan pengguna Windows 7 dan Windows 10.

Penyerang akan menggunakan zero-day Chrome untuk menjalankan kode berbahaya di dalam Chrome dan kemudian menggunakan zero-day Windows untuk keluar dari sandbox keamanan Chrome dan meningkatkan hak istimewa kode untuk menyerang OS yang mendasarinya.

Menurut penasihat keamanan Microsoft untuk CVE-2020-17087, zero-day terletak pada kernel Windows dan memengaruhi semua versi OS Windows yang saat ini didukung. Ini termasuk semua versi setelah Windows 7, dan semua distribusi Windows Server.

Selain zero-day Windows, ada 111 kerentanan lain yang perlu ditambal juga, termasuk 24 bug yang memungkinkan serangan remote code execution (RCE) di aplikasi seperti Excel, Microsoft Sharepoint, Microsoft Exchange Server, Jaringan Windows Sistem File, komponen Windows GDI +, layanan spooler pencetakan Windows, dan bahkan di Microsoft Teams.

Meskipun sesegera mungkin menginstal patch adalah pendekatan yang aman bagi sebagian besar pengguna, administrator sistem dari jaringan besar disarankan untuk menguji patch tersebut sebelum diterapkan secara menyeluruh untuk menghindari bug atau perubahan yang merusak sistem internal.

Sumber: ZDNet

Bug plugin WordPress memungkinkan penyerang membajak hingga 100 ribu situs

by

Admin situs WordPress yang menggunakan plugin Ultimate Member didesak untuk memperbaruinya ke versi terbaru untuk memblokir serangan yang mencoba mengeksploitasi beberapa kerentanan kritis dan mudah untuk dieksploitasi yang dapat menyebabkan pengambilalihan situs.

Ultimate Member adalah plugin WordPress yang “extensible” dengan lebih dari 100.000 instalasi aktif dan dirancang untuk mempermudah tugas manajemen profil dan keanggotaan.

Plugin ini memberikan dukungan untuk membuat situs web yang memungkinkan pendaftaran mudah dan membangun komunitas online dengan hak istimewa khusus untuk berbagai peran pengguna.

Dalam laporan yang diterbitkan hari ini oleh tim Intelijen Ancaman Wordfence, analis ancaman Chloe Chamberland mengatakan bahwa tiga kelemahan keamanan yang diungkapkan oleh Wordfence dapat memungkinkan penyerang untuk meningkatkan hak istimewa mereka ke admin dan sepenuhnya mengambil alih situs WordPress menggunakan instalasi Ultimate Member yang rentan.

Setelah mengungkapkan kerentanan kepada tim pengembang plugin pada 26 Oktober, ketiga bug eskalasi hak istimewa telah diperbaiki dengan rilis Ultimate Member 2.1.12 pada 29 Oktober.

Dua dari bug menerima peringkat tingkat keparahan CVSS maksimum 10/10 karena merupakan bug eskalasi hak istimewa yang tidak diautentikasi melalui meta pengguna (memberikan akses admin setelah pendaftaran) dan peran pengguna (peran admin dipilih selama pendaftaran).

Yang ketiga diberi peringkat 9.8/10 karena memerlukan akses wp-admin ke halaman profile.php situs tetapi masih dianggap penting karena memungkinkan penyerang terotentikasi untuk meningkatkan hak istimewa ke admin dengan sedikit usaha.

Pengguna Ultimate Member didesak untuk memperbarui plugin ke versi 2.1.12 sesegera mungkin untuk mencegah serangan.

Selengkapnya: Bleeping Computer

Masalah keamanan zoom

by

Tampaknya banyak orang-orang yang menggunakan platform konferensi video Zoom untuk rapat, kelas, dan bahkan pertemuan sosial selama PSBB karena Covid-19.

Baru-baru ini, Zoom menambahkan otentikasi dua faktor sebagai opsi keamanan akun, memberi pengguna senjata ampuh untuk menjaga akun mereka aman dari pengambilalihan.

Tapi ada sisi negatifnya. Kemudahan penggunaan Zoom memudahkan pembuat onar untuk “me-ngebom” rapat Zoom yang terbuka. Para profesional keamanan informasi mengatakan keamanan Zoom memiliki banyak celah, meskipun beberapa telah diperbaiki selama beberapa bulan terakhir.

Apakah semua ini berarti Zoom tidak aman untuk digunakan? Tidak. Kecuali jika Anda membahas rahasia negara atau perusahaan, atau mengungkapkan informasi kesehatan pribadi kepada pasien, Zoom seharusnya baik-baik saja.

Tips keamanan zoom

– Bergabunglah dengan rapat Zoom melalui browser web Anda daripada menggunakan perangkat lunak desktop Zoom. Versi browser web mendapatkan peningkatan keamanan lebih cepat.

“Versi web berada di dalam sandbox di browser dan tidak memiliki izin yang dimiliki aplikasi yang dipasang, sehingga membatasi jumlah kerusakan yang dapat ditimbulkan,” kata perusahaan keamanan informasi Kaspersky.

– Jika Anda mengadakan rapat Zoom, minta peserta rapat tersebut masuk menggunakan kata sandi. Itu akan membuat kemungkinan adanya Zoom-bombing jauh lebih kecil.

– Atur otentikasi dua faktor untuk akun Zoom Anda

Zoom menciptakan “permukaan serangan” yang sangat besar dan peretas akan datang dengan segala cara yang mereka bisa. Mereka telah mendaftarkan banyak domain palsu terkait Zoom dan sedang mengembangkan malware bertema Zoom.

Pada link berikut, Tom’s Guide telah membuat daftar masalah keamanan dan privasi Zoom dari yang terbaru ke yang terlama.

Sumber: Tom’s Guide

Apple memperbaiki tiga zero-day iOS yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan hari ini untuk iOS untuk menambal tiga kerentanan zero-day yang ditemukan sedang disalahgunakan dalam serangan terhadap penggunanya.

Menurut Shane Huntley, Direktur Grup Analisis Ancaman Google, tiga zero-day iOS memiliki kaitan dengan tiga zero-day Chrome [1, 2, 3] dan hari nol Windows yang sebelumnya telah diungkapkan Google selama dua minggu terakhir.

Meskipun tidak diketahui apakah zero-days telah digunakan terhadap target yang dipilih atau secara massal, pengguna iOS disarankan untuk memperbarui ke iOS 14.2, hanya untuk berjaga-jaga.

Bug keamanan yang sama juga telah diperbaiki di iPadOS 14.2 dan watchOS 5.3.8, 6.2.9, dan 7.1, dan juga untuk iPhone generasi lama melalui iOS 12.4.9, juga dirilis hari ini.

Menurut ketua tim Google Project Zero Ben Hawkes, yang timnya telah menemukan dan melaporkan serangan tersebut ke Apple, tiga zero-day iOS tersebut adalah:

  1. CVE-2020-27930 – masalah eksekusi kode jarak jauh di komponen iOS FontParser yang memungkinkan penyerang menjalankan kode dari jarak jauh pada perangkat iOS.
  2. CVE-2020-27932 – kerentanan eskalasi hak istimewa di kernel iOS yang memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa tingkat kernel.
  3. CVE-2020-27950 – kebocoran memori di kernel iOS yang memungkinkan penyerang untuk mengambil konten dari memori kernel perangkat iOS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cisco mengungkapkan zero-day VPN AnyConnect

by

Cisco telah mengungkapkan kerentanan zero-day dalam perangkat lunak Cisco AnyConnect Secure Mobility Client dengan kode eksploitasi proof-of-concept yang tersedia untuk umum.

Meskipun pembaruan keamanan belum tersedia untuk kerentanan eksekusi kode arbitrary ini, Cisco sedang berupaya mengatasi zero-day, dengan perbaikan yang akan datang di rilis klien AnyConnect mendatang.

Namun, kelemahan keamanan Cisco AnyConnect Secure Mobility Client belum dieksploitasi di dunia nyata menurut Cisco Product Security Incident Response Team (PSIRT).

Kerentanan dengan tingkat keparahan tinggi yang dilacak sebagai CVE-2020-3556 ada di saluran komunikasi antarproses (IPC) dari Cisco AnyConnect Client dan dapat memungkinkan penyerang lokal dan terotentikasi untuk mengeksekusi skrip berbahaya melalui pengguna yang ditargetkan.

Ini memengaruhi semua versi klien AnyConnect untuk Windows, Linux, dan macOS dengan konfigurasi yang rentan – klien iOS dan Android seluler tidak terpengaruh oleh kerentanan ini.

Meskipun tidak ada solusi yang tersedia untuk mengatasi CVE-2020-3556, ini dapat dikurangi dengan menonaktifkan fitur Pembaruan Otomatis.

Permukaan serangan juga dapat dikurangi secara drastis dengan mematikan pengaturan konfigurasi Enable Scripting pada perangkat yang mengaktifkannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Google menambal Chrome zero-day kedua dalam dua minggu

by

Google telah merilis pembaruan keamanan hari ini untuk browser web Chrome-nya yang menambal sepuluh bug keamanan, termasuk satu kerentanan zero-day yang saat ini aktif dieksploitasi di alam liar.

Diidentifikasi sebagai CVE-2020-16009, zero-day ini ditemukan oleh Grup Analisis Ancaman (TAG) Google, tim keamanan di Google yang bertugas melacak pelaku ancaman dan operasi mereka yang sedang berlangsung.

Dengan cara khas Google, detail tentang zero-day dan grup yang mengeksploitasi bug belum dipublikasikan – untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lain mengembangkan eksploitasi mereka sendiri untuk zero-day yang sama.

Namun, dalam changelog singkat yang diterbitkan hari ini, Google mengatakan kerentanan zero-day ini berada di V8, komponen Chrome yang menangani kode JavaScript.

Pengguna Chrome disarankan untuk memperbarui browser mereka ke versi 86.0.4240.183 segera.

Berita selengkapnya dapat dibaca pada tautan di bawa ini;
Source: ZDNet

CERT/CC meluncurkan bot Twitter untuk memberi nama random pada bug keamanan

by

Dalam upaya untuk mengurangi penggunaan nama kerentanan yang sensasional dan menakutkan, tim CERT/CC meluncurkan bot Twitter yang akan menetapkan nama secara random dan netral ke setiap bug keamanan yang menerima pengenal CVE.

Dinamakan Vulnonim, bot dioperasikan oleh Pusat Koordinasi CERT (CERT/CC) di Universitas Carnegie Mellon, tim CERT pertama yang dibuat, dan sekarang menjadi kolaborator dan mitra tim resmi US-CERT DHS.

Ide untuk bot ini muncul setelah diskusi yang tampaknya tak berujung seputar topik “jika kerentanan harus memiliki nama?”

Selama beberapa dekade, semua kelemahan keamanan utama telah diberi pengenal CVE oleh MITRE Corporation. ID ini biasanya dalam format CVE-[TAHUN]-[NOMOR], seperti CVE-2019-0708. Perusahaan dan peneliti menyadari bahwa bug yang mereka temukan memiliki lebih banyak peluang untuk lebih menonjol jika bug itu memiliki nama yang terdengar keren.

Dalam sebuah posting blog, tim CERT/CC memutuskan untuk mengedepankan solusi untuk menempatkan beberapa urutan dalam penamaan kerentanan. Jawaban mereka adalah bot Vulnonim, yang akan menetapkan nama kode dua kata dalam format kata sifat-kata sifat untuk setiap ID CVE yang baru ditetapkan.

Leigh Metcalf, anggota tim CERT/CC berpendapat bahwa manusia pada dasarnya membutuhkan istilah yang mudah diingat untuk menggambarkan bug keamanan karena “manusia tidak dikondisikan dengan baik untuk mengingat angka,” seperti yang digunakan untuk ID CVE.

“Tujuan kami adalah untuk menciptakan nama netral yang menyediakan sarana bagi orang untuk mengingat kerentanan tanpa menyiratkan betapa menakutkan (atau tidak menakutkan) kerentanan tertentu yang dimaksud,” kata Metcalf.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Grup peretas menggunakan Solaris zero-day untuk menerobos jaringan perusahaan

by

Mandiant, unit investigasi firma keamanan FireEye, telah menerbitkan rincian tentang aktor ancaman baru yang mereka sebut UNC1945. Perusahaan keamanan tersebut mengatakan menggunakan kerentanan zero-day dalam sistem operasi Oracle Solaris sebagai bagian dari intrusi ke jaringan perusahaan.

Target reguler serangan UNC1945 termasuk perusahaan telekomunikasi, keuangan, dan konsultasi, kata tim Mandiant dalam sebuah laporan yang diterbitkan tanggal 2 November 2020.

Dilacak sebagai CVE-2020-14871, zero-day ini adalah kerentanan dalam Solaris Pluggable Authentication Module (PAM) yang memungkinkan UNC1945 untuk melewati prosedur otentikasi dan memasang backdoor bernama SLAPSTICK di server Solaris yang terpapar internet.

Mandiant mengatakan para peretas kemudian menggunakan backdoor ini sebagai titik masuk untuk meluncurkan operasi pengintaian di dalam jaringan perusahaan dan berpindah secara lateral ke sistem lain.

Untuk menghindari deteksi, Mandiant mengatakan kelompok itu mengunduh dan menginstal mesin virtual QEMU yang menjalankan versi Tiny Core Linux OS.

Sumber: FireEye

Mandiant mengatakan pihaknya mengamati kelompok tersebut menggunakan bermacam-macam pengujian penetrasi sumber terbuka dan alat keamanan, tetapi juga jenis malware khusus. Perusahaan juga percaya bahwa UNC1945 membeli EVILSUN (alat yang memungkinkan mereka untuk mengeksploitasi zero-day Solaris dan menanam backdoor SLAPSTICK) dari forum peretasan publik seharga $3.000 (Rp 43 juta).

Zero-day (CVE-2020-14871) telah di-patch bulan lalu di patch keamanan Oracle Oktober 2020.

Berita selengkapnya serta IoC dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Fire Eye