Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Plugin WordPress All in One SEO Diperbarui untuk Memperbaiki Kesalahan XSS

by

Kerentanan skrip lintas situs dalam plug-in WordPress SEO All in One dapat dieksploitasi ke situs web yang dibajak. Plugin telah diinstal lebih dari dua juta kali. Pengembang telah memperbaiki masalah di All in One SEO Pack versi 3.6.2.

Catatan Editor

[Neely]
Jika Anda mengandalkan firewall aplikasi WordPress, pastikan ia memiliki signature exploit untuk mengeksploitasi kelemahan ini. Jangan lupa untuk memperbarui plugin. Masalah intinya adalah kurangnya sanitasi input yang memungkinkan injeksi HTML.

[Murray]
Pengembang web (dan lainnya) bertanggung jawab tidak hanya untuk kualitas semua kode yang mereka tulis, tetapi juga untuk kualitas semua kode yang mereka masukkan dari sumber lain. Ini terbukti sangat bermasalah bagi pengembang situs web yang menggunakan “WordPress plug-in.”

Baca Berita selengkapanya pada tautan di bawah ini:
Source: Wordfence | The Register

Karyawan Adalah Celah Cyber Security Yang Paling Rentan

by

Seperti yang telah diberitakan sebelumnya, pada hari Rabu minggu lalu Twitter mengalami insiden peretasan besar yang berdampak pada beberapa akun bercentang biru-nya.

Peretasan ini diduga karena adanya seorang karyawan Twitter yang jatuh kedalam serangan social engineering yang dilakukan oleh seorang peretas. Kejadian ini berujung dengan para penipu yang mendapatkan sejumlah uang dalam bentuk Bitcoin dan rusaknya reputasi brand Twitter sendiri.

Ini bukan pertama kalinya Twitter menjadi korban serangan social engineering. Pada tahun 2019, CEO Twitter Jack Dorsey menjadi target dari berbagai jenis serangan social engineering yang dikenal sebagai SIM swapping. Dalam insiden itu, Dorsey kehilangan kendali atas nomor ponsel pribadinya dan Twitter handle setelah peretas menggunakan informasi pribadinya, termasuk informasi tentang operator seluler yang ia gunakan, untuk mentransfer kendali atas nomornya kepada para peretas.

Masalah Yang Sulit Dipecahkan

Tidak ada organisasi yang kebal dalam serangan siber, penyerang terus menemukan cara untuk memanfaatkan kelemahan manusia untuk dapat masuk ke sebuah sistem perusahaan.

Ini adalah masalah yang terkenal di dunia TI, dan ini adalah masalah yang sulit untuk dipecahkan. Ada lebih dari selusin jenis serangan social engineering. Yang paling umum adalah email “phising”, di mana pesan yang diduga dari kolega atau manajer meminta untuk mengatur ulang kata sandi atau membantu mengakses sebuah sistem.

Masalahnya adalah, semakin banyak orang menggunakan Internet, semakin banyak pula informasi yang dapat diperoleh peretas untuk melakukan serangannya. Dalam kasus Twitter, pelanggaran awal telah ditelusuri sampai ke akses peretas dari sebuah obrolan internal di Slack. Pengetahuan tentang struktur perusahaan Twitter dan peran serta gaya komunikasi karyawannya mungkin membuat serangan itu lebih canggih dan membantu rencana serta memengaruhi dampak pelanggaran.

Praktik ini, umumnya dikenal oleh para ahli sebagai pengintaian siber, menguatkan lebih dari 90 persen serangan siber yang sukses saat ini, menurut laporan dari Verizon.

The New York Times telah melaporkan bahwa sosok bayangan yang dikenal sebagai “Kirk” adalah biang keladi di balik serangan Twitter baru-baru ini. Meskipun belum diketahui taktik social engineering mana yang dimanfaatkan untuk mendapatkan akses itu, kampanye Kirk pasti melibatkan salah satu teknik soceng (Social Engineering).

Perangkat cybersecurity generasi berikutnya perlu berfokus pada kebersihan dunia maya, secara aktif menyediakan pengelihatan tentang informasi apa saja yang berkaitan dengan perusahaan dan karyawannya yang tersedia di publik, dan menemukan cara untuk mengurangi atau menghilangkan jejak itu, melindungi tidak hanya perusahaan tetapi juga privasi dan integritas masing-masing individu.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Slate

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

by

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

Akun Backdoor Ditemukan Di 29 Perangkat FTTH Dari Vendor Cina C-Data

by

Dua peneliti keamanan mengatakan bahwa mereka menemukan kerentanan yang parah dan apa yang tampaknya menjadi backdoor yang disengaja dalam firmware dari 29 perangkat FTTH OLT dari vendor populer C-Data.

FTTH adalah singkatan dari Fiber-To-The-Home, sementara OLT adalah singkatan dari Optical Line Termination.

Istilah FTTH OLT mengacu pada peralatan jaringan yang memungkinkan penyedia layanan internet untuk membawa kabel fiber optik sedekat mungkin dengan pengguna (end-user).

Dalam sebuah laporan yang diterbitkan minggu lalu, peneliti keamanan Pierre Kim dan Alexandre Torres mengatakan mereka menemukan tujuh kerentanan dalam firmware perangkat OLTH FTT yang diproduksi oleh vendor China C-Data.

Kim dan Torres mengatakan mereka mengkonfirmasi kerentanan dengan menganalisis firmware terbaru yang berjalan pada dua perangkat, tetapi mereka percaya bahwa kerentanan yang sama berdampak pada 27 model OLT FTTH lainnya, karena mereka menjalankan firmware yang sama.

Kerentanan yang terburuk dan paling mengganggu dari ketujuh kerentanan adalah keberadaan akun backdoor Telnet yang di-hardcode dalam firmware.

Akun tersebut memungkinkan penyerang untuk terhubung ke perangkat melalui server Telnet yang berjalan pada antarmuka WAN (sisi internet) perangkat. Kim dan Torres mengatakan bahwa akun tersebut memberikan akses penuh CLI administrator kepada penyerang.

Kedua peneliti mengatakan mereka menemukan empat kombinasi username-password yang disembunyikan di dalam firmware C-Data, dengan akun backdoor berbeda per perangkat, berdasarkan pada model perangkat dan versi firmware.

suma123/panger123
debug/debug124
root/root126
guest/[empty]

Namun akses CLI backdoor awal ini kemudian dapat digunakan untuk mengeksploitasi kerentanan lain. Sebagai contoh, Kim dan Torres mengatakan seorang penyerang juga dapat mengeksploitasi bug kedua untuk mendapatkan daftar kredensial dalam cleartext di Telnet CLI untuk semua administrator perangkat lainnya; kredensial yang dapat digunakan di kemudian hari jika akun backdoor dihapus.

Di bawah ini adalah daftar model C-Data FTTH OLT yang rentan:

  • 72408A
  • 9008A
  • 9016A
  • 92408A
  • 92416A
  • 9288
  • 97016
  • 97024P
  • 97028P
  • 97042P
  • 97084P
  • 97168P
  • FD1002S
  • FD1104
  • FD1104B
  • FD1104S
  • FD1104SN
  • FD1108S
  • FD1108SN
  • FD1204S-R2
  • FD1204SN
  • FD1204SN-R2
  • FD1208S-R2
  • FD1216S-R1
  • FD1608GS
  • FD1608SN
  • FD1616GS
  • FD1616SN
  • FD8000

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kerentanan Keamanan Baru Pada Zoom Memungkinkan Peretas Menargetkan PC Windows 7

by

Celah baru telah ditemukan pada perangkat lunak konferensi video Zoom yang membuat pengguna Windows 7 dalam bahaya.

Para peneliti di perusahaan cybersecurity Slovenia, ACROS Security, telah mengungkapkan kerentanan yang sebelumnya tidak diketahui pada perangkat lunak Zoom. Kerentanan ini memungkinkan seorang penyerang untuk, dari jarak jauh, mengambil alih komputer korban yang menjalankan versi lama dari sistem operasi Microsoft Windows.

Kerentanan “zero-day” ini mempengaruhi perangkat lunak Zoom yang berjalan pada Windows 7, atau bahkan sistem operasi yang lebih lama.

ACROS Security mencatat bahwa siapa pun yang berhasil mengeksploitasi kerentanan ini dapat mengakses file di komputer yang rentan, dan bahkan mengambil alih seluruh perangkat.

Microsoft telah berusaha meyakinkan pengguna Windows 7 untuk meningkatkan ke versi perangkat lunak yang lebih baru dalam beberapa tahun terakhir, namun hanya sedikit yang mau melakukan peningkatan versi – meskipun mereka telah menawarkan upgrade gratis ke Windows 10.

Mereka juga mengungkapkan akan mengakhiri dukungan teknis untuk Windows 7 pada 15 Januari 2020 yang lalu, yang berarti tidak akan ada lagi patch dan pembaruan keamanan untuk Windows 7.

“Zoom menganggap serius semua laporan kerentanan keamanan yang potensial,” kata juru bicara Zoom dalam sebuah pernyataan. “Pagi ini kami menerima laporan tentang masalah yang berdampak pada pengguna yang menjalankan Windows 7 dan versi yang lebih lama. Kami telah mengkonfirmasi masalah ini dan saat ini sedang mengerjakan patch untuk menyelesaikan masalah ini dengan cepat.”

Masalah ini adalah yang terbaru dalam sejumlah kekhawatiran keamanan pada platform Zoom, yang telah meledak dalam popularitas pada tahun 2020 berkat booming kerja jarak jauh yang disebabkan oleh pandemi global.

Zoom telah merilis tambalan untuk klien Windows-nya untuk mengatasi kerentanan zero-day yang dijelaskan oleh ARCOS Security. Pembaruan dapat diunduh dari halaman pengunduhan klien Zoom. Versi yang ditambal adalah Zoom untuk Windows v5.1.3.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Radar

Fitur Windows 10 Ini Dapat Digunakan Untuk Menyembunyikan Serangan Malware

by

Para peneliti telah menemukan living-off-the-land binary baru (LOLBin) di Windows 10 yang dapat dieksploitasi untuk menyembunyikan serangan malware.

Banyak LOLBins hadir di Windows 10, yang semuanya mempunyai fungsi yang sah. Namun, dengan hak istimewa, peretas dapat menyalahgunakan binary ini untuk menerobos fasilitas keamanan dan melakukan serangan tanpa sepengetahuan korban.

LOLBin (desktopimgdownldr.exe) baru, yang ditemukan oleh perusahaan keamanan SentinelOne, biasanya bertanggung jawab atas tugas yang tidak berbahaya untuk mengatur desktop kustom dan penguncian layar latar belakang.

Ditemukan di folder system32 Windows 10, binary ini dilaporkan dapat digunakan sebagai “pengunduh tersembunyi” – sebuah alternatif untuk LOLBin certutil.exe yang telah dikenal luas.

Sementara binary secara tradisional akan menimpa gambar desktop yang ada (sehingga memberitahukan pengguna mengenai pengaktifannya), seorang hacker dapat menghindari ini dengan menghapus registri segera setelah menjalankan binery. Dengan cara ini, file jahat dapat dikirim ke sistem tanpa terdeteksi.

Meskipun binery dirancang untuk dijalankan hanya oleh pengguna yang memiliki hak istimewa, pengguna standar juga dapat menyalahgunakan fungsi tertentu untuk menjalankan LOLBin tanpa status administrator.

Lebih lanjut, ketika dipicu oleh pengguna standar, executable gagal mengubah gambar latar belakang (karena pengguna tidak memiliki otorisasi yang diperlukan), tidak meninggalkan artefak lain selain file yang diunduh.

Untuk mengurangi ancaman yang ditimbulkan, SentinelOne menyarankan para profesional keamanan memperbarui daftar pantauan mereka dan memperlakukan LOLBin yang baru ditemukan sebagaimana mereka akan menggunakan alternatif certutil.exe yang telah banyak dieksploitasi.

Berita selengkapnya dapat dibaca pada tautan di bawah:
Source: Tech Radar

Microsoft Merilis Pembaruan Keamanan Darurat Untuk Memperbaiki Dua Bug Dalam Codec Windows

by

Microsoft telah menerbitkan dua pembaruan keamanan out-of-band untuk menambal dua kerentanan di Microsoft Windows Codecs Library pada hari Selasa lalu.

Dilacak sebagai CVE-2020-1425 & CVE-2020-1457, kedua bug tersebut hanya berdampak pada distribusi Windows 10 dan Windows Server 2019.

Dalam penasihat keamanan yang diterbitkan pada hari Rabu, Microsoft mengatakan dua kelemahan keamanan dapat dieksploitasi dengan bantuan file gambar yang dibuat khusus.

Jika gambar yang cacat dibuka di dalam aplikasi yang memanfaatkan Libary Codec Windows bawaan untuk menangani konten multimedia, maka penyerang akan diizinkan untuk menjalankan kode berbahaya pada komputer Windows dan berpotensi mengambil alih perangkat.

Patch telah dikerahkan ke sistem pelanggan melalui pembaruan ke Library Codec Windows, dikirim melalui aplikasi Windows Store – bukan mekanisme Pembaruan Windows.

“Pengguna tidak perlu mengambil tindakan apa pun untuk menerima pembaruan,” kata Microsoft.

Redmond mengatakan bug dilaporkan secara pribadi dan mereka belum pernah digunakan di dunia nyata sebelum patch rilis kemarin.

Pembuat OS mengatakan mereka mengetahui bug setelah sebuah laporan dari Trend Micro’s Zero Day Initiative, sebuah program yang menjadi penengah komunikasi antara peneliti keamanan dan perusahaan besar. Microsoft memuji Abdul-Aziz Hariri yang pertama kali menemukan bug ini, sebelum meneruskannya ke tim ZDI.

Source: ZDNet

Kompromi Copy-paste – Taktik, Teknik, dan Prosedur yang Digunakan Untuk Menargetkan Beberapa Jaringan di Australia

by

Pada hari kamis lalu (18/06) Pusat Keamanan Siber Australia (ACSC) mengumumkan bahwa Pemerintah Australia saat ini menyadari adanya penargetan berkelanjutan pemerintah dan perusahaan Australia oleh aktor berbasis negara yang canggih. Di dalam pengunguman tersebut ACSC juga mengeluarkan peringatan kepada organisasi-organisasi Australia, agar keduanya menyadari ancaman ini dan mengambil langkah segera untuk meningkatkan pertahanan jaringan mereka.

Peringatan ACSC yang berjudul ‘Copy-paste compromises’ berasal dari aktor yang menggunakan kode eksploit proof-of-concept, web shells, dan alat-alat lain yang disalin hampir identik dari sumber terbuka (open source).

Aktor ini telah diidentifikasi memanfaatkan sejumlah vektor akses awal, dengan yang paling umum adalah eksploitasi infrastruktur public-facing – terutama melalui penggunaan kerentanan eksekusi kode jarak jauh dalam versi Telerik UI yang tidak ditambal (patched).

Aktor ini juga telah menunjukkan kemampuan untuk dengan cepat memanfaatkan kode eksploitasi proof-of-concepts yang telah dipublikasikan untuk menargetkan jaringan yang diminati dan secara teratur melakukan pengintaian terhadap jaringan target untuk mencari layanan yang rentan, berpotensi mempertahankan daftar layanan public-facing agar dapat dengan cepat menargetkan kerentanan baru yang dirilis di masa mendatang.

Ketika eksploitasi infrastruktur public-facing tidak berhasil, ACSC telah mengidentifikasi aktor akan menggunakan berbagai teknik spearphishing. Spearphishing ini berbentuk:
– tautan ke situs web pemanen kredensial
– email dengan tautan ke file jahat, atau dengan file jahat yang langsung dilampirkan
– tautan yang mendorong pengguna untuk memberikan token OAuth Office 365 kepada aktor
– penggunaan layanan pelacakan email untuk mengidentifikasi email yang telah dibuka dan click-through event

Setelah akses awal tercapai, aktor memanfaatkan campuran open source dan alat khusus untuk bertahan, dan berinteraksi dengan, jaringan korban. Meskipun alat ditempatkan di dalam jaringan, aktor tersebut berpindah ke remote access yang sah menggunakan kredensial curian. Agar berhasil menanggapi ancaman terkait, semua akses harus diidentifikasi dan dihapus.

Dalam berinteraksi dengan jaringan korban, aktor diidentifikasi menggunakan situs web resmi Australia yang dikompromikan sebagai server C2 mereka. Terutama, perintah dan kontrol dilakukan menggunakan web shells dan lalu lintas HTTP/HTTPS. Teknik ini membuat pemblokiran geografis tidak efektif dan menambahkan legitimasi ke lalu lintas jaringan yang jahat selama penyelidikan.

Untuk memitigasi ancaman ini, ACSC telah merekomendasikan para IT Administrator di organisasi untuk:
– Melakukan tambalan (patching) dengan cepat untuk seluruh perangkat lunak, sistem operasi, dan perangkat yang menghadap ke internet (internet facing)
– Penggunaan otentikasi multi-faktor di semua layanan akses jarak jauh
– Meninjau dan menerapkan panduan ACSC pada Windows Event Logging and Forwarding dan System Monitoring.

Advisory selengkapnya dapat dibaca pada tautan berikut:
Source: ACSC