Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

perbaikan vulnerability ios 16.3.1 macos ventura 13.2.1

by

Pembaruan macOS Ventura 13.2.1, iPadOS 16.3.1, dan iOS 16.3.1 yang dirilis Apple hari ini mencakup perbaikan bug minor dan mengatasi vulnerability keamanan, dan karena salah satu vulnerability diketahui dapat dieksploitasi secara liar, penting untuk memperbarui ke perangkat lunak baru sesegera mungkin.

Menurut catatan keamanan Apple untuk pembaruan, Perangkat lunak memperbaiki masalah WebKit yang dapat memungkinkan konten web yang dibuat dengan jahat menghasilkan eksekusi kode arbitrer. Apple mengatakan bahwa “menyadari laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.”

vulnerability itu adalah masalah kebingungan jenis yang menurut Apple telah diatasi dengan pemeriksaan yang lebih baik.

Meskipun tidak ada perbaikan penting lainnya di ‌macOS Ventura‌ 13.2.1, pembaruan iOS 16.3.1 menambahkan perbaikan Siri Find My, mengatasi masalah dengan pengaturan iCloud, dan memperkenalkan pengoptimalan Deteksi Kecelakaan tambahan untuk model iPhone 14.

sumber : macrumors

Italia Memperingatkan Hacker yang Menargetkan Kerentanan Server yang Diketahui

by

Ribuan server komputer menjadi sasaran serangan peretasan ransomware global yang menargetkan server VMware (VMW.N) ESXi, Badan Keamanan Siber Nasional (ACN) Italia mengatakan pada hari Minggu, memperingatkan organisasi untuk mengambil tindakan untuk melindungi sistem mereka.

Serangan berusaha mengeksploitasi kerentanan perangkat lunak dalam skala besar. Perusahaan perangkat lunak mengetahui laporan tersebut dan mengeluarkan tambalan pada Februari 2021 ketika menemukan kerentanan yang sekarang sedang dieksploitasi, mendesak pelanggan untuk menerapkan tambalan jika mereka belum melakukannya.

Kepada pengguna yang terpengaruh diperingatkan untuk segera mengambil tindakan agar tidak terkunci dari sistem mereka. Pejabat keamanan dunia maya AS mengatakan mereka menilai dampak dari insiden yang dilaporkan.

Selengkapnya: Reuters

Cisco Memperbaiki Bug yang Memugkinkan Persistensi Backdoor di Antara Reboot

by

Cisco telah merilis pembaruan keamanan minggu ini untuk mengatasi vulnerability tingkat tinggi di lingkungan hosting aplikasi Cisco IOx yang dapat dieksploitasi dalam serangan injeksi perintah.

Security flaw (CVE-2023-20076) disebabkan oleh sanitasi parameter yang tidak lengkap yang diteruskan selama proses aktivasi aplikasi. Itu ditemukan dan dilaporkan oleh peneliti keamanan Sam Quinn dan Kasimir Schulz dengan Trellix Advanced Research Center.

Eksploitasi yang berhasil dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna memungkinkan pelaku ancaman terautentikasi dari jarak jauh untuk menjalankan perintah dengan izin root pada sistem operasi yang mendasarinya.

“Seorang penyerang dapat mengeksploitasi vulnerability ini dengan menyebarkan dan mengaktifkan aplikasi di lingkungan hosting aplikasi Cisco IOx dengan file payload aktivasi buatan,” Cisco menjelaskan dalam penasihat keamanan yang diterbitkan pada hari Rabu.

Perusahaan mengatakan vulnerability mempengaruhi perangkat Cisco yang menjalankan software IOS XE, tetapi hanya jika mereka tidak mendukung buruh pelabuhan asli.

Selain perangkat berbasis IOS XE yang dikonfigurasi dengan IOx, daftar perangkat yang terpengaruh juga mencakup router ISR Industri Seri 800, modul komputasi CGR1000, gateway komputasi industri IC3000, router industri WPAN IR510, dan titik akses Cisco Catalyst (COS-AP).

Perusahaan juga mengonfirmasi bahwa flaw CVE-2023-20076 tidak memengaruhi sakelar Seri Catalyst 9000, perangkat lunak iOS XR dan NX-OS, atau produk Meraki.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan tidak menemukan bukti bahwa kerentanan ini dieksploitasi secara liar.

Pada bulan Januari, Cisco memperingatkan pelanggan tentang kerentanan bypass otentikasi kritis (CVE-2023-20025) dengan kode eksploit publik yang memengaruhi beberapa model router VPN akhir masa pakainya.

Satu minggu kemudian, Censys menemukan lebih dari 20.000 router Cisco RV016, RV042, RV042G, dan RV082 yang belum ditambal terhadap CVE-2023-20025 dan terkena serangan.

sumber : bleepingcomputer

Vulnerability Dapat Mengarah ke DoS, Eksekusi Kode

by Leave a Comment

F5 memperingatkan tentang vulnerability string format tingkat keparahan tinggi di BIG-IP yang dapat memungkinkan penyerang yang diautentikasi menyebabkan kondisi denial-of-service (DoS) dan berpotensi mengeksekusi kode arbitrer.

Dilacak sebagai CVE-2023-22374, cacat keamanan berdampak pada iControl SOAP, API terbuka yang memungkinkan komunikasi antar sistem, yang berjalan sebagai root.

Antarmuka SOAP dapat diakses dari jaringan, baik melalui port manajemen BIG-IP dan/atau alamat IP mandiri, dan dibatasi untuk akun administratif.

Namun, perusahaan cybersecurity menjelaskan, penyerang tidak dapat membaca memori kecuali mereka memiliki akses ke syslog.

Penyerang dapat merusak layanan dengan menggunakan penentu ‘%s’, dan dapat menggunakan penentu ‘%n’ untuk menulis data arbitrer ke sembarang penunjuk di tumpukan, yang berpotensi menyebabkan eksekusi kode jarak jauh, kata perusahaan keamanan siber.

Menurut penasehat F5, penyerang yang ingin mengeksploitasi kelemahan untuk eksekusi kode pertama-tama harus mengumpulkan informasi tentang lingkungan yang menjalankan komponen yang rentan. Namun, hanya bidang kontrol, bukan bidang data, yang diekspos oleh bug ini.

vulnerability berdampak pada BIG-IP versi 13.1.5, 14.1.4.6 hingga 14.1.5, 15.1.5.1 hingga 15.1.8, 16.1.2.2 hingga 16.1.3, dan 17.0.0. Saat ini tidak ada tambalan yang tersedia untuk vulnerability tersebut, tetapi F5 mengatakan perbaikan terbaru teknik tersedia.

Karena cacat hanya dapat dieksploitasi oleh pengguna yang diautentikasi, akses ke API SOAP iControl harus dibatasi untuk pengguna tepercaya.

CVE-2023-22374 memiliki skor CVSS 7,5 untuk sistem BIG-IP dalam mode penerapan standar, dan skor CVSS 8,5 untuk instans IP-BIG dalam mode aplikasi.

BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX, dan Traffix SDC tidak terpengaruh.

KeePass membantah kerentanan yang memungkinkan pencurian kata sandi secara diam-diam

by

Tim pengembangan di balik perangkat lunak manajemen kata sandi open-source KeePass memperdebatkan apa yang digambarkan sebagai kerentanan yang baru ditemukan yang memungkinkan penyerang untuk secara diam-diam mengekspor seluruh database dalam teks biasa.

KeePass adalah pengelola kata sandi sumber terbuka yang sangat populer yang memungkinkan Anda mengelola kata sandi menggunakan basis data yang disimpan secara lokal, daripada yang dihosting di cloud, seperti LastPass atau Bitwarden.

Kerentanan baru sekarang dilacak sebagai CVE-2023-24055, dan memungkinkan pelaku ancaman dengan akses tulis ke sistem target untuk mengubah file konfigurasi KeePass XML dan menyuntikkan pemicu berbahaya yang akan mengekspor database, termasuk semua nama pengguna dan kata sandi dalam teks jelas.

Setelah ini dilaporkan dan diberi CVE-ID, pengguna meminta tim pengembangan di belakang KeePass untuk menambahkan permintaan konfirmasi sebelum ekspor basis data senyap seperti yang dipicu melalui file konfigurasi yang dimodifikasi secara berbahaya atau menyediakan versi aplikasi yang datang tanpa fitur ekspor .

Sementara tim CERT Belanda dan Belgia juga telah mengeluarkan penasehat keamanan mengenai CVE-2023-24055, tim pengembangan KeePass berpendapat bahwa ini tidak boleh diklasifikasikan sebagai kerentanan karena penyerang dengan akses tulis ke perangkat target juga dapat memperoleh informasi yang terkandung dalam database KeePass melalui cara lain.

Faktanya, halaman “Masalah Keamanan” di Pusat Bantuan KeePass telah menjelaskan masalah “Akses Tulis ke File Konfigurasi” setidaknya sejak April 2019 sebagai “sebenarnya bukan kerentanan keamanan KeePass.”

Selengkapnya: Bleeping Computer

Lebih dari 29.000 Perangkat QNAP Unpatched Terhadap Kelemahan Baru

by

Puluhan ribu perangkat penyimpanan terpasang jaringan (NAS) QNAP sedang menunggu untuk ditambal terhadap kelemahan keamanan kritis yang ditangani oleh perusahaan Taiwan pada hari Senin.

Pelaku ancaman jarak jauh dapat mengeksploitasi kerentanan injeksi SQL ini (CVE-2022-27596) untuk menyuntikkan kode berbahaya dalam serangan yang menargetkan perangkat QNAP yang terpapar Internet dan tidak terhubung.

Perusahaan merekomendasikan pelanggan dengan perangkat yang terpengaruh (menjalankan QTS 5.0.1 dan QuTS hero h5.0.1) untuk meningkatkan ke QTS 5.0.1.2234 build 20221201 atau lebih baru dan QuTS hero h5.0.1.2248 build 20221215 atau lebih baru untuk mengamankan mereka dari serangan.

Untuk memperbarui perangkat Anda, Anda harus masuk sebagai pengguna admin, buka “Panel Kontrol → Sistem → Pembaruan Firmware,” klik opsi “Periksa Pembaruan” di bawah bagian “Pembaruan Langsung” dan tunggu pengunduhan dan pemasangan untuk menyelesaikan.

Puluhan ribu perangkat yang belum ditambal terkena serangan
“Censys telah mengamati 67.415 host dengan indikasi menjalankan sistem berbasis QNAP; sayangnya, kami hanya dapat memperoleh nomor versi dari 30.520 host. Namun, jika sarannya benar, lebih dari 98% perangkat QNAP yang teridentifikasi akan rentan terhadap serangan ini ,” kata peneliti keamanan senior Mark Ellzey.

“Kami menemukan bahwa dari 30.520 host dengan versi, hanya 557 yang menjalankan QuTS Hero lebih besar dari atau sama dengan ‘h5.0.1.2248’ atau QTS lebih besar dari atau sama dengan ‘5.0.1.2234,’ artinya 29.968 host dapat terpengaruh oleh kerentanan ini.”

Anda juga harus menonaktifkan koneksi SSH dan Telnet, mengubah nomor port sistem, mengubah kata sandi perangkat, dan mengaktifkan perlindungan akses IP dan akun menggunakan prosedur langkah demi langkah yang terperinci ini.

selengkapnya : bleepingcomputer

Para peneliti akan merilis eksploit VMware vRealize Log RCE, patch sekarang

by

Peneliti keamanan dengan Tim Serangan Horizon3 akan merilis eksploit yang menargetkan rantai kerentanan minggu depan untuk mendapatkan eksekusi kode jarak jauh pada peralatan VMware vRealize Log Insight yang belum ditambal.

Sekarang dikenal sebagai VMware Aria Operations for Logs, vRealize Log Insight memudahkan admin VMware untuk menganalisis dan mengelola terabyte infrastruktur dan log aplikasi.

Pada hari Selasa, VMware menambal empat kerentanan keamanan dalam alat analisis log ini, dua di antaranya kritis dan memungkinkan penyerang mengeksekusi kode dari jarak jauh tanpa autentikasi.

Keduanya ditandai sebagai tingkat keparahan kritis dengan skor dasar CVSS 9,8/10 dan dapat dimanfaatkan oleh pelaku ancaman dalam serangan dengan kompleksitas rendah yang tidak memerlukan autentikasi.

Salah satunya (CVE-2022-31706) adalah kerentanan traversal direktori yang dapat disalahgunakan untuk menyuntikkan file ke dalam sistem operasi peralatan yang terpengaruh, dan yang kedua (dilacak sebagai CVE-2022-31704) adalah cacat kontrol akses yang rusak yang dapat juga dapat dieksploitasi dengan menyuntikkan file perusak yang berbahaya ke dalam serangan RCE.

VMware juga mengatasi kerentanan deserialisasi (CVE-2022-31710) yang memicu penolakan status layanan dan bug pengungkapan informasi (CVE-2022-31711) yang dapat dieksploitasi untuk mengakses sesi sensitif dan info aplikasi.

​Pada hari Kamis, Tim Serangan Horizon3 memperingatkan admin VMware bahwa mereka telah dapat membuat eksploit yang menghubungkan tiga dari empat kelemahan yang ditambal oleh VMware minggu ini untuk mengeksekusi kode dari jarak jauh sebagai root.

Semua kerentanan dapat dieksploitasi dalam konfigurasi default peralatan VMware vRealize Log Insight. Eksploitasi dapat digunakan untuk mendapatkan akses awal ke jaringan organisasi (melalui peralatan yang terpapar Internet) dan untuk pergerakan lateral dengan kredensial tersimpan.

Selengkapnya: Bleeping Computer

Penasihat Teknis: Rantai Eksploitasi “Proxy*Hell” di Alam Liar

by

Pada akhir November 2022, para pakar Bitdefender Labs mulai melihat peningkatan serangan menggunakan rantai eksploitasi ProxyNotShell/OWASSRF yang menargetkan penerapan Microsoft Exchange lokal.

Serangan SSRF di server Microsoft Exchange adalah beberapa kerentanan yang paling populer dan sering dieksploitasi. Pihaknya memutuskan merilis penasehat teknis yang menjelaskan serangan ini dan juga mendokumentasikan beberapa serangan baru-baru ini yang terdeteksi secara liar.

Arsitektur Berorientasi Layanan (SOA)
Merupakan pendekatan desain perangkat lunak yang melibatkan pengorganisasian sistem sebagai kumpulan layanan yang berkomunikasi satu sama lain melalui antarmuka yang terdefinisi dengan baik. Salah satu manfaat utama SOA adalah memungkinkan fleksibilitas dan skalabilitas yang lebih besar dengan menghapus batasan aplikasi.

Microsoft Exchange
Microsoft Exchange adalah contoh aplikasi yang menggunakan layanan proxy untuk melindungi backend sensitif dari jaringan publik yang tidak terpercaya.

Layanan Akses Klien (CAS) adalah lapisan yang bertanggung jawab untuk menerima semua bentuk koneksi klien (front-end) dan memproyeksikannya ke layanan back-end.

Pemalsuan Permintaan Sisi Server (SSRF)
Pemalsuan permintaan sisi server (SSRF) adalah jenis serangan yang memungkinkan penyerang mengirim permintaan buatan dari server yang rentan ke server lain, atas nama server yang rentan.

Ini memungkinkan penyerang mengakses sumber daya atau informasi yang sebaliknya tidak dapat diakses secara langsung oleh mereka dan memungkinkan mereka melakukan tindakan atas nama server yang rentan.

Serangan proxy di Microsoft Exchange
Sebagian besar kerentanan yang ditemukan peneliti keamanan didasarkan pada implementasi yang cacat. Kerentanan arsitektur sulit diperbaiki dalam sistem produksi, terutama untuk perangkat lunak yang didistribusikan secara luas dimana kompatibilitas mundur merupakan fitur penting, seperti server Microsoft Exchange.

Serangan Nyata
Berikut adalah beberapa serangan kehidupan nyata yang telah dideteksi oleh para ahli Bitdefender Labs pada akhir November 2022 terdiri dari beberapa kasus diantaranya alat administrasi remote, broker akses awsal, ransomware kuba, pencurian kredensial. Terdapat kami peningkatan penggunaan ProxyNotShell/OWASSRF untuk eksekusi perintah jahat.

Selengkapnya: Bitdefender