Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

VMware Memberi Perbaikan untuk Bug Zero-Day yang Sebelumnya Kritis

by

VMware telah menambal bug zero-day yang terungkap pada akhir November – escalation-of-privileges yang memengaruhi Workspace One dan platform lainnya, untuk sistem operasi Windows dan Linux. VMware juga telah merevisi peringkat keparahan CVSS untuk bug menjadi “penting”, turun dari kritis.

Cybersecurity and Infrastructure Security Agency (CISA) A.S. awalnya menandai kerentanan keamanan yang belum ditambal pada 23 November, yang memengaruhi 12 versi VMware di seluruh portofolio Cloud Foundation, Identity Manager, vRealize Suite Lifecycle Manager, dan Workspace One. Itu dilaporkan ke perusahaan oleh National Security Agency (NSA).

Dilacak sebagai CVE-2020-4006, bug tersebut memungkinkan injeksi perintah, menurut nasihat perusahaan. Meskipun bug tersebut awalnya diberi nilai 9,1 dari 10 pada skala keparahan CVSS, penyelidikan lebih lanjut menunjukkan bahwa penyerang mana pun akan memerlukan kata sandi yang disebutkan dalam pembaruan, membuatnya jauh lebih sulit untuk dieksploitasi secara efektif. Peringkatnya sekarang 7,2, menjadikannya “penting” daripada “kritis”.

“Akun ini bersifat internal untuk produk yang terkena dampak dan kata sandi ditetapkan pada saat penerapan,” menurut penasehat. “Aktor jahat harus memiliki sandi ini untuk mencoba mengeksploitasi CVE-2020-4006.” Kata sandi perlu diperoleh melalui taktik seperti phishing atau brute forcing / credential stuffing, tambahnya.

Saat kerentanan terungkap pada bulan November, perusahaan mengeluarkan solusi “untuk solusi sementara guna mencegah eksploitasi CVE-2020-4006”, dengan konsekuensi bahwa perubahan pengaturan yang dikelola konfigurator dapat dilakukan saat solusi tersebut diterapkan.

sumber : ThreatPost

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

by

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet

Kerentanan Oracle yang menjalankan kode berbahaya sedang aktif dieksploitasi

by

Penyerang menargetkan kerentanan Oracle WebLogic yang baru-baru ini ditambal. Kerentanan ini memungkinkan mereka mengeksekusi kode yang mereka inginkan, termasuk malware yang menjadikan server bagian dari botnet yang mencuri kata sandi dan informasi sensitif lainnya.

WebLogic adalah aplikasi enterprise Java yang mendukung berbagai database. Server WebLogic adalah hadiah yang didambakan oleh para peretas, yang sering menggunakannya untuk menambang cryptocurrency, memasang ransomware, atau sebagai jalan masuk untuk mengakses bagian lain dari jaringan perusahaan.

Dilacak sebagai CVE-2020-14882, ini adalah kerentanan kritis yang ditambal Oracle pada bulan Oktober tahun ini. Ini memungkinkan penyerang untuk mengeksekusi kode berbahaya melalui Internet dengan sedikit usaha atau keterampilan dan tanpa otentikasi. Kode eksploitasi tersedia untuk umum delapan hari setelah Oracle mengeluarkan tambalan.

Menurut Paul Kimayong, seorang peneliti di Juniper Networks, peretas secara aktif menggunakan lima variasi serangan berbeda untuk mengeksploitasi server yang masih rentan terhadap CVE-2020-14882.

Di antara variasinya adalah salah satu yang menginstal bot DarkIRC. Setelah terinfeksi, server menjadi bagian dari botnet yang dapat menginstal malware pilihannya, menambang cryptocurrency, mencuri kata sandi, dan melakukan serangan denial-of-service.

Varian exploit lainnya memasang payload lain seperti, Serangan Cobalt, Perlbot, Penafsir meteran, Mirai.

CVE-2020-14882 memengaruhi versi WebLogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Siapa pun yang menggunakan salah satu versi ini harus segera menginstal patch yang dikeluarkan Oracle pada bulan Oktober. Orang-orang juga harus menambal CVE-2020-14750, kerentanan terpisah namun terkait yang diperbaiki Oracle dalam pembaruan darurat dua minggu setelah menerbitkan tambalan untuk CVE-2020-14882.

Sumber: Ars Technica

Peretas memposting eksploit untuk lebih dari 49.000 VPN Fortinet yang rentan

by

Seorang peretas telah memposting daftar eksploit satu baris untuk mencuri kredensial VPN dari hampir 50.000 perangkat Fortinet VPN.

Yang ada dalam daftar target rentan adalah domain milik bank dan organisasi pemerintah dari seluruh dunia.

Kerentanan yang dirujuk di sini adalah CVE-2018-13379, kelemahan jalur traversal yang memengaruhi sejumlah besar perangkat VPN Fortinet FortiOS SSL yang belum ditambal.

Dengan memanfaatkan kerentanan ini, penyerang jarak jauh yang tidak diautentikasi dapat mengakses file sistem melalui permintaan HTTP yang dibuat secara khusus.

Eksploit yang diposting oleh peretas memungkinkan penyerang mengakses file sslvpn_websession dari Fortinet VPN untuk mencuri kredensial login. Kredensial yang dicuri ini kemudian dapat digunakan untuk menyusupi jaringan dan menyebarkan ransomware.

Minggu ini, analis intelijen ancaman Bank_Security menemukan utas forum peretas di mana aktor ancaman berbagi 49.577 daftar perangkat dari target yang dapat dieksploitasi.

Setelah menganalisis daftar tersebut, ditemukan bahwa target yang rentan termasuk domain pemerintah dari seluruh dunia, dan yang dimiliki oleh bank dan perusahaan pembiayaan ternama.

Fortinet telah mengeluarkan pernyataan sehubungan dengan kerentanan ini:

“Keamanan pelanggan kami adalah prioritas pertama kami. Pada Mei 2019 Fortinet mengeluarkan peringatan PSIRT mengenai kerentanan SSL yang telah diatasi, dan juga telah berkomunikasi langsung dengan pelanggan dan lagi melalui posting blog perusahaan pada Agustus 2019 dan Juli 2020 sangat merekomendasikan upgrade,” kata juru bicara Fortinet kepada BleepingComputer.

“Dalam seminggu terakhir, kami telah berkomunikasi dengan semua pelanggan dan memberi tahu mereka lagi tentang kerentanan dan langkah-langkah untuk memitigasi. Meskipun kami tidak dapat memastikan bahwa vektor serangan untuk grup ini terjadi melalui kerentanan ini, kami terus mendorong pelanggan untuk menerapkan upgrade dan mitigasi. Untuk mendapatkan informasi lebih lanjut, silakan kunjungi blog kami yang telah diperbarui dan segera merujuk ke penasihat [PSIRT] Mei 2019,” tutup Fortinet.

Sumber: Bleeping Computer

Situs Drupal rentan terhadap serangan ekstensi ganda

by

Tim di balik sistem manajemen konten (CMS) Drupal telah merilis pembaruan keamanan minggu ini untuk menambal kerentanan kritis yang mudah dieksploitasi dan dapat memberi penyerang akses penuh pada situs yang rentan. Drupal, yang saat ini merupakan CMS keempat yang paling banyak digunakan di internet setelah WordPress, Shopify, dan Joomla, memberi peringkat kerentanan “Kritis”, yang menyarankan pemilik situs untuk menambal sesegera mungkin.

Dilacak sebagai CVE-2020-13671, kerentanan ini sangat mudah dieksploitasi dan mengandalkan trik “ekstensi ganda” yang bagus. Penyerang dapat menambahkan ekstensi kedua ke file berbahaya, mengunggahnya di situs Drupal melalui bidang unggahan terbuka, dan mengeksekusi program jahat.

Misalnya, file berbahaya seperti malware.php dapat diubah namanya menjadi malware.php.txt. Ketika diunggah di situs Drupal, file tersebut akan diklasifikasikan sebagai file teks daripada file PHP tetapi Drupal akan mengeksekusi kode PHP berbahaya saat mencoba membaca file teks tersebut.

sumber : ZDNET

Aplikasi Pesan Go SMS Pro Mengekspos File Media Pribadi Pengguna

by

Aplikasi Android yang populer menggunakan alamat Web yang mudah ditebak saat pengguna mengirim foto pribadi, video, dan pesan suara. Kerentanan keamanan di Go SMS Pro, aplikasi perpesanan Android populer, mengekspos foto pribadi, video, dan pesan suara dari jutaan pengguna, lapor peneliti. Peneliti dengan Trustwave SpiderLabs menemukan kelemahan Go SMS Pro versi 7.91, yang memiliki lebih dari 100 juta pengguna. Meskipun tidak jelas versi lain mana yang terpengaruh, diyakini versi sebelumnya dan versi yang akan datang rentan terhadap masalah yang sama, kata mereka.

Go SMS Pro, seperti banyak aplikasi messenger lainnya, memungkinkan orang mengirim media pribadi ke pengguna lain. Jika penerima memiliki aplikasi, media akan muncul di dalam aplikasi. Jika penerima tidak memiliki Go SMS Pro, file media dikirim sebagai alamat Web melalui SMS dan kemudian dibuka di dalam browser. Peneliti menemukan tautan ini dapat diakses tanpa otentikasi atau otorisasi apa pun, sehingga siapa pun yang memiliki tautan dapat melihat kontennya. Mereka juga mempelajari bahwa tautan URL berurutan (heksadesimal) dan dapat diprediksi, yang berarti penyerang dapat menaikkan nilai dalam URL tertentu untuk melihat atau mendengarkan pesan media pengguna lain tanpa otentikasi.

Trustwave menemukan kerentanan pada bulan Agustus dan berusaha menghubungi vendor aplikasi beberapa kali. Perusahaan tidak menanggapi, artinya kerentanan ini masih menimbulkan risiko bagi pengguna. Peneliti menyarankan agar tidak mengirim file media yang mungkin berisi data sensitif sampai Bug diperbaiki.

sumber : DarkReading

Peretas dapat menginstal firmware berbahaya pada PC menggunakan bug Intel yang baru saja diperbaiki

by

Awal pekan ini, Intel memperbaiki serangkaian bug yang memungkinkan penyerang menginstal firmware berbahaya di jutaan komputer yang menggunakan CPU-nya.

Kerentanan tersebut memungkinkan peretas dengan akses fisik untuk mengganti perlindungan yang dibangun Intel ke dalam CPU modern yang mencegah firmware tidak resmi berjalan selama proses boot. Dikenal sebagai Boot Guard, ukuran ini dirancang untuk menghubungkan rantai kepercayaan langsung ke silikon untuk memastikan bahwa semua firmware yang dimuat ditandatangani secara digital oleh produsen komputer. Boot Guard melindungi dari kemungkinan seseorang merusak chip flash yang tersambung ke SPI yang menyimpan UEFI, yang merupakan bagian rumit dari firmware yang menjembatani firmware perangkat PC dengan sistem operasinya.

Jenis peretasan ini biasanya terjadi ketika penyerang memasang perangkat keras ke bagian dalam komputer dan menggunakan Dediprog atau alat pemrograman chip serupa untuk mengganti firmware resmi dengan firmware berbahaya.

Penyerang yang dapat melewati Boot Guard dapat melakukan sejumlah aktivitas berbahaya. salah satunya mendapatkan kunci yang digunakan untuk mengenkripsi hard drive. Dengan itu, penyerang bisa mendapatkan versi yang didekripsi dari semua data yang disimpan di komputer tanpa memerlukan kata sandi pengguna.

Penyerang juga dapat menginfeksi komputer dengan rootkit, kode berbahaya yang sulit dideteksi — yang akan berjalan dalam mode pengelolaan sistem hingga boot ulang berikutnya. Implan SMM semacam itu adalah jenis yang dilaporkan dimiliki oleh NSA.

Intel tidak mengatakan bagaimana cara memperbaiki kerentanan yang berasal dari pengaturan sekering yang tidak dapat diatur ulang. Hudson mencurigai bahwa Intel melakukan perubahan menggunakan firmware yang berjalan di Intel Management Engine, koprosesor keamanan dan manajemen di dalam chipset CPU yang menangani akses ke sekering OTP.

Source : arstechnica

Pompa infus Alaris milik BD ditandai karena adanya kerentanan keamanan siber

by

Unit pompa infus Alaris BD telah menjadi subjek pemberitahuan penarikan di bawah keputusan persetujuan yang diubah dengan FDA. Penasihat Medis ICS yang dikeluarkan oleh DHS pada hari Kamis tidak terkait dengan masalah tersebut. Sebaliknya, pemberitahuan tersebut berkaitan dengan kerentanan sesi jaringan yang memengaruhi proses otentikasi antara versi tertentu dari Unit PC Alaris dan Manajer Sistem.

Penyerang dengan akses ke jaringan yang terkait dengan perangkat BD yang terpengaruh dapat mengeksploitasi kerentanan untuk membuat sesi jaringan langsung antara Alaris PC Unit dan Manajer Sistem, asalkan mereka dapat mengarahkan permintaan otentikasi dan menyelesaikan jabat tangan otentikasi, sejenis pemeriksaan identitas.

Eksploitasi yang berhasil memungkinkan serangan DoS yang menyebabkan penurunan fungsi nirkabel Unit PC. Pengguna kemudian perlu mengoperasikan Unit PC secara manual tetapi akan terus berfungsi seperti yang diprogram.

Mungkin tidak ada pengguna yang akan menghadapi masalah tersebut. BD belum menerima laporan serangan dunia nyata dan telah mengatasi kerentanan di lebih dari 60% penginstalan Manajer Sistem melalui peningkatan server normalnya. Sebuah patch untuk perangkat lunak Unit PC direncanakan. Untuk sementara, BD menyarankan pengguna untuk mempertimbangkan mitigasi termasuk penggunaan firewall dan penonaktifan protokol dan layanan akun yang tidak perlu.