Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Cisco mengungkapkan zero-day VPN AnyConnect

by

Cisco telah mengungkapkan kerentanan zero-day dalam perangkat lunak Cisco AnyConnect Secure Mobility Client dengan kode eksploitasi proof-of-concept yang tersedia untuk umum.

Meskipun pembaruan keamanan belum tersedia untuk kerentanan eksekusi kode arbitrary ini, Cisco sedang berupaya mengatasi zero-day, dengan perbaikan yang akan datang di rilis klien AnyConnect mendatang.

Namun, kelemahan keamanan Cisco AnyConnect Secure Mobility Client belum dieksploitasi di dunia nyata menurut Cisco Product Security Incident Response Team (PSIRT).

Kerentanan dengan tingkat keparahan tinggi yang dilacak sebagai CVE-2020-3556 ada di saluran komunikasi antarproses (IPC) dari Cisco AnyConnect Client dan dapat memungkinkan penyerang lokal dan terotentikasi untuk mengeksekusi skrip berbahaya melalui pengguna yang ditargetkan.

Ini memengaruhi semua versi klien AnyConnect untuk Windows, Linux, dan macOS dengan konfigurasi yang rentan – klien iOS dan Android seluler tidak terpengaruh oleh kerentanan ini.

Meskipun tidak ada solusi yang tersedia untuk mengatasi CVE-2020-3556, ini dapat dikurangi dengan menonaktifkan fitur Pembaruan Otomatis.

Permukaan serangan juga dapat dikurangi secara drastis dengan mematikan pengaturan konfigurasi Enable Scripting pada perangkat yang mengaktifkannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Google menambal Chrome zero-day kedua dalam dua minggu

by

Google telah merilis pembaruan keamanan hari ini untuk browser web Chrome-nya yang menambal sepuluh bug keamanan, termasuk satu kerentanan zero-day yang saat ini aktif dieksploitasi di alam liar.

Diidentifikasi sebagai CVE-2020-16009, zero-day ini ditemukan oleh Grup Analisis Ancaman (TAG) Google, tim keamanan di Google yang bertugas melacak pelaku ancaman dan operasi mereka yang sedang berlangsung.

Dengan cara khas Google, detail tentang zero-day dan grup yang mengeksploitasi bug belum dipublikasikan – untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lain mengembangkan eksploitasi mereka sendiri untuk zero-day yang sama.

Namun, dalam changelog singkat yang diterbitkan hari ini, Google mengatakan kerentanan zero-day ini berada di V8, komponen Chrome yang menangani kode JavaScript.

Pengguna Chrome disarankan untuk memperbarui browser mereka ke versi 86.0.4240.183 segera.

Berita selengkapnya dapat dibaca pada tautan di bawa ini;
Source: ZDNet

CERT/CC meluncurkan bot Twitter untuk memberi nama random pada bug keamanan

by

Dalam upaya untuk mengurangi penggunaan nama kerentanan yang sensasional dan menakutkan, tim CERT/CC meluncurkan bot Twitter yang akan menetapkan nama secara random dan netral ke setiap bug keamanan yang menerima pengenal CVE.

Dinamakan Vulnonim, bot dioperasikan oleh Pusat Koordinasi CERT (CERT/CC) di Universitas Carnegie Mellon, tim CERT pertama yang dibuat, dan sekarang menjadi kolaborator dan mitra tim resmi US-CERT DHS.

Ide untuk bot ini muncul setelah diskusi yang tampaknya tak berujung seputar topik “jika kerentanan harus memiliki nama?”

Selama beberapa dekade, semua kelemahan keamanan utama telah diberi pengenal CVE oleh MITRE Corporation. ID ini biasanya dalam format CVE-[TAHUN]-[NOMOR], seperti CVE-2019-0708. Perusahaan dan peneliti menyadari bahwa bug yang mereka temukan memiliki lebih banyak peluang untuk lebih menonjol jika bug itu memiliki nama yang terdengar keren.

Dalam sebuah posting blog, tim CERT/CC memutuskan untuk mengedepankan solusi untuk menempatkan beberapa urutan dalam penamaan kerentanan. Jawaban mereka adalah bot Vulnonim, yang akan menetapkan nama kode dua kata dalam format kata sifat-kata sifat untuk setiap ID CVE yang baru ditetapkan.

Leigh Metcalf, anggota tim CERT/CC berpendapat bahwa manusia pada dasarnya membutuhkan istilah yang mudah diingat untuk menggambarkan bug keamanan karena “manusia tidak dikondisikan dengan baik untuk mengingat angka,” seperti yang digunakan untuk ID CVE.

“Tujuan kami adalah untuk menciptakan nama netral yang menyediakan sarana bagi orang untuk mengingat kerentanan tanpa menyiratkan betapa menakutkan (atau tidak menakutkan) kerentanan tertentu yang dimaksud,” kata Metcalf.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Grup peretas menggunakan Solaris zero-day untuk menerobos jaringan perusahaan

by

Mandiant, unit investigasi firma keamanan FireEye, telah menerbitkan rincian tentang aktor ancaman baru yang mereka sebut UNC1945. Perusahaan keamanan tersebut mengatakan menggunakan kerentanan zero-day dalam sistem operasi Oracle Solaris sebagai bagian dari intrusi ke jaringan perusahaan.

Target reguler serangan UNC1945 termasuk perusahaan telekomunikasi, keuangan, dan konsultasi, kata tim Mandiant dalam sebuah laporan yang diterbitkan tanggal 2 November 2020.

Dilacak sebagai CVE-2020-14871, zero-day ini adalah kerentanan dalam Solaris Pluggable Authentication Module (PAM) yang memungkinkan UNC1945 untuk melewati prosedur otentikasi dan memasang backdoor bernama SLAPSTICK di server Solaris yang terpapar internet.

Mandiant mengatakan para peretas kemudian menggunakan backdoor ini sebagai titik masuk untuk meluncurkan operasi pengintaian di dalam jaringan perusahaan dan berpindah secara lateral ke sistem lain.

Untuk menghindari deteksi, Mandiant mengatakan kelompok itu mengunduh dan menginstal mesin virtual QEMU yang menjalankan versi Tiny Core Linux OS.

Sumber: FireEye

Mandiant mengatakan pihaknya mengamati kelompok tersebut menggunakan bermacam-macam pengujian penetrasi sumber terbuka dan alat keamanan, tetapi juga jenis malware khusus. Perusahaan juga percaya bahwa UNC1945 membeli EVILSUN (alat yang memungkinkan mereka untuk mengeksploitasi zero-day Solaris dan menanam backdoor SLAPSTICK) dari forum peretasan publik seharga $3.000 (Rp 43 juta).

Zero-day (CVE-2020-14871) telah di-patch bulan lalu di patch keamanan Oracle Oktober 2020.

Berita selengkapnya serta IoC dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Fire Eye

WordPress Menambal Bug RCE Keparahan Tinggi Berusia 3 Tahun

by

WordPress merilis pembaruan 5.5.2 untuk platform perangkat lunak penerbitan web nya.

Pembaruan ini menambal bug dengan tingkat keparahan tinggi, yang dapat memungkinkan penyerang jauh yang tidak diautentikasi untuk mengambil alih situs web yang ditargetkan melalui serangan denial-of-service yang telah disesuaikan.

Secara keseluruhan, Rilis Keamanan dan Pemeliharaan WordPress menangani 10 bug keamanan dan juga membawa banyak peningkatan fitur ke platform. WordPress mengatakan pembaruan tersebut adalah “rilis keamanan dan pemeliharaan siklus pendek” sebelum rilis utama berikutnya versi 5.6. Dengan pembaruan ini, semua versi sejak WordPress 3.7 juga akan menjadi yang terbaru.

Peneliti yang menemukan bug tersebut, Omar Ganiev, pendiri DeteAct, mengatakan kepada Threatpost bahwa dampak kerentanan mungkin tinggi, tetapi kemungkinan musuh dapat mereproduksi serangan di alam liar rendah.

Baik WordPress maupun Ganiev tidak percaya bahwa kerentanan telah dieksploitasi di alam liar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Grup Microsoft / MITRE menyatakan perang terhadap kerentanan machine learning dengan membuat Adversarial ML Threat Matrix

by

Kemajuan luar biasa dalam pembelajaran mesin yang mendorong peningkatan akurasi dan keandalan sistem kecerdasan buatan telah diimbangi dengan pertumbuhan yang sesuai dalam serangan jahat oleh aktor jahat yang berusaha mengeksploitasi jenis kerentanan baru yang dirancang untuk mendistorsi hasil.

Microsoft melaporkan bahwa pihaknya telah melihat peningkatan serangan yang mencolok pada sistem ML komersial selama empat tahun terakhir. Laporan lain juga memperhatikan masalah ini. 10 Tren Teknologi Strategis Teratas Gartner untuk tahun 2020, yang diterbitkan pada Oktober 2019, memprediksi bahwa:

Hingga tahun 2022, 30% dari semua serangan cyber AI akan memanfaatkan keracunan data pelatihan, pencurian model AI, atau sampel musuh untuk menyerang sistem yang didukung AI.

Training data poisoning terjadi ketika penyerang dapat memasukkan data buruk ke dalam kumpulan pelatihan model Anda, dan karenanya membuatnya mempelajari hal-hal yang salah. Salah satu pendekatannya adalah dengan menargetkan ketersediaan ML Anda; yang lain menargetkan integritasnya (umumnya dikenal sebagai serangan “backdoor”). Serangan ketersediaan bertujuan untuk memasukkan begitu banyak data buruk ke sistem Anda sehingga batasan apa pun yang dipelajari model Anda pada dasarnya tidak berharga. Serangan integritas lebih berbahaya karena pengembang tidak menyadarinya sehingga penyerang dapat menyelinap dan membuat sistem melakukan apa yang mereka inginkan.

Membangun framework

Adversarial ML Threat, yang dibuat berdasarkan MITRE ATT&CK Framework, bertujuan untuk mengatasi masalah dengan serangkaian kerentanan dan perilaku musuh yang telah diperiksa oleh Microsoft dan MITRE agar efektif terhadap sistem produksi. Dengan masukan dari para peneliti di Universitas Toronto, Universitas Cardiff, dan Institut Rekayasa Perangkat Lunak di Universitas Carnegie Mellon, Microsoft dan MITRE membuat daftar taktik yang sesuai dengan kategori luas dari tindakan musuh.

Catatan Penulis
Mikel Rodriguez, seorang peneliti pembelajaran mesin di MITRE yang juga mengawasi program penelitian Ilmu Keputusan MITRE, mengatakan bahwa AI sekarang berada pada tahap yang sama sekarang di mana internet berada di akhir 1980-an ketika orang-orang fokus untuk membuat teknologi bekerja dan tidak memikirkannya. banyak tentang implikasi jangka panjang untuk keamanan dan privasi. Itu, katanya, adalah kesalahan yang bisa kita pelajari.

Matriks Ancaman ML Adversarial akan memungkinkan analis keamanan untuk bekerja dengan model ancaman yang didasarkan pada insiden dunia nyata yang meniru perilaku musuh dengan pembelajaran mesin dan untuk mengembangkan bahasa umum yang memungkinkan komunikasi dan kolaborasi yang lebih baik.

Source : Diginomica

Google merisilis zero-day baru yang sedang dieksploitasi hacker

by

Google telah menjatuhkan rincian kerentanan yang sebelumnya tidak diungkapkan di Windows, yang dikatakan oleh peretas secara aktif mengeksploitasi. Akibatnya, Google memberi Microsoft waktu seminggu untuk memperbaiki kerentanan tersebut. Tenggat waktu itu datang dan pergi, dan Google menerbitkan detail kerentanan siang ini.

Kerentanan tersebut tidak memiliki nama tetapi diberi label CVE-2020-17087, dan memengaruhi setidaknya Windows 7 dan Windows 10.

Project Zero Google, kelompok elit pemburu bug keamanan yang membuat penemuan tersebut, mengatakan bahwa bug tersebut memungkinkan penyerang untuk meningkatkan tingkat akses pengguna mereka di Windows. Penyerang menggunakan kerentanan Windows sehubungan dengan bug terpisah di Chrome, yang diungkapkan dan diperbaiki Google minggu lalu. Bug baru ini memungkinkan penyerang untuk keluar dari kotak pasir Chrome, biasanya diisolasi dari aplikasi lain, dan menjalankan malware di sistem operasi.

Namun tidak jelas siapa penyerang atau motif mereka. Direktur Threat Intelligence Google Shane Huntley mengatakan bahwa serangan itu “ditargetkan” dan tidak terkait dengan pemilihan AS.

Seorang juru bicara Microsoft juga menambahkan bahwa serangan yang dilaporkan “sangat terbatas dan bertarget di internet, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas.”

Ini adalah yang terbaru dari daftar kelemahan utama yang memengaruhi Windows tahun ini. Microsoft mengatakan pada bulan Januari bahwa Badan Keamanan Nasional membantu menemukan bug kriptografi di Windows 10, meskipun tidak ada bukti eksploitasi. Namun pada bulan Juni dan September, Homeland Security mengeluarkan peringatan atas dua bug Windows “kritis” – satu yang memiliki kemampuan untuk menyebar ke seluruh internet, dan yang lainnya dapat memperoleh akses penuh ke seluruh jaringan Windows.

Source : Techcrunch

Bug Containerd Mengekspos Kredensial Akun Cloud

by

Kerentanan keamanan dapat dimanfaatkan untuk memaksa platform cloud containerd untuk mengungkap registri host atau kredensial akun cloud pengguna.

Containerd menyebut dirinya sebagai alat runtime yang “mengelola siklus hidup kontainer lengkap dari sistem hostnya, mulai dari transfer dan penyimpanan gambar hingga eksekusi kontainer dan pengawasan hingga penyimpanan tingkat rendah hingga lampiran jaringan dan seterusnya. Dengan demikian, ia menawarkan visibilitas yang dalam ke lingkungan cloud pengguna, di berbagai vendor.

Kerentanan ini (CVE-2020-15157) terletak dalam proses pengambilan gambar kontainer, menurut Gal Singer, peneliti di Aqua.

“Gambar kontainer adalah kombinasi dari file manifes dan beberapa file lapisan individu,” tulisnya dalam posting baru-baru ini. “File manifes [dalam format Gambar V2 Schema 2]… dapat berisi ‘lapisan asing’ yang ditarik dari registri jarak jauh. Saat menggunakan containerd, jika registri jarak jauh merespons dengan kode status HTTP 401, bersama dengan header HTTP tertentu, host akan mengirimkan token autentikasi yang dapat dicuri.”

Non-Trivial Exploitation

Peneliti Brad Geesaman di Darkbit, yang melakukan penelitian tentang kerentanan (yang ia sebut “ContainerDrip”), mengumpulkan proof-of-concept (PoC) untuk vektor serangan terkait.

“Pertanyaannya menjadi: ‘Bagaimana caranya membuat mereka mengirim kredensial mereka kepada saya [untuk otentikasi registri jarak jauh]?'” Katanya dalam sebuah posting awal bulan ini. “Ternyata, yang harus Anda lakukan adalah menanyakan pertanyaan yang tepat.”

Containerd telah menambal kerentanan ini, yang terdaftar dengan tingkat keparahan medium, di versi 1.2.4; containerd 1.3.x tidak rentan.

Untuk detail teknis dan PoC dapat dilihat pada tautan berikut:
Source: The Threat Post