Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Speaker Google Home Memungkinkan Peretas Mengintai Percakapan

by

Bug di speaker pintar Google Home memungkinkan pemasangan akun backdoor yang dapat digunakan untuk mengontrol dari jarak jauh dan mengubahnya menjadi perangkat pengintai dengan mengakses umpan mikrofon.

Tahun lalu, seorang peneliti menerima $107.500 karena menemukan masalah tersebut dan melaporkannya ke Google. Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukkan bagaimana kelemahan tersebut dapat dimanfaatkan.

Proses Kompromi
Dalam eksperimennya, peneliti menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi Google Home dapat mengirim perintah secara remote melalui cloud API.

Melalui pemindaian Nmap, ditemukan port untuk API HTTP lokal Google. Jadi peneliti menyiapkan proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Lalu lintas HTTPS (terenkripsi) yang diambil (downrightnifty.me)

Menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan “cloud ID” dari API lokalnya. Dengan informasi ini, mereka dapat mengirim permintaan tautan ke server Google.

Untuk menambahkan pengguna jahat ke perangkat target, analis mengimplementasikan proses penautan dalam skrip Python yang mengotomatiskan pengelupasan data perangkat lokal dan mereproduksi permintaan penautan.

Permintaan penautan yang membawa data ID perangkat (downrightnifty.me)

Kemungkinan Implikasi
Selain melakukan tindakan melalui speaker Google Home secara remote, seperti mengontrol saklar pintar, melakukan pembelian online, membuka kunci pintu dan kendaraan, peneliti menemukan cara untuk menyalahgunakan perintah panggilan telepon.

Perutean berbahaya yang menangkap audio mikrofon (downrightnifty.me)

Jika LED perangkat menyala biru saat melakukan panggilan, merupakan indikasi bahwa beberapa aktivitas sedang berlangsung. Jika korban menyadarinya, mereka mungkin menganggap perangkat sedang memperbarui firmware-nya.

Hal ini juga memungkinkan untuk memutar media pada speaker pintar yang disusupi, mengganti nama, memaksa reboot, memaksa melupakan jaringan Wi-Fi tersimpan, memaksa pemasangan Bluetooth atau Wi-Fi baru, dan banyak lagi.

Perbaikan Google
Google memperbaiki semua masalah pada April 2021 dengan tambalan mencakup sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan di Beranda.

Deauthenticating Google Home masih dimungkinkan, tetapi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat diakses.

Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas dalam menangani perintah panggilan telepon.

Selengkapnya: BLEEPINGCOMPUTER

ENLBufferPwn: Kerentanan Kritis Diungkapkan Dalam Game 3DS, Wii U, dan Switch

by

Peretas Nintendo, PabloMK7, telah merilis ENLBufferPwn, sebuah eksploit termasuk bukti kode konsep, yang menunjukkan kerentanan kritis di beberapa game pihak pertama Nintendo. Video demo eksploit menunjukkan bahwa Anda dapat mengambil kendali penuh atas konsol target, cukup dengan mengajak mereka bergabung dalam game multipemain.

Game yang terpengaruh termasuk Mario Kart 7, Mario Kart 8, Splatoon 1, 2, 3, Nintendo Switch Sports, dan judul pihak pertama Nintendo lainnya. Kecuali game Switch dan 3DS yang terdaftar, karena telah menerima pembaruan penambalan kerentanan.

Apa itu ENLBufferPwn untuk Nintendo Switch, Wii U, dan 3DS?
ENLBufferPwn adalah kerentanan dalam kode jaringan umum dari beberapa game Nintendo pihak pertama sejak Nintendo 3DS yang memungkinkan penyerang mengeksekusi kode secara remote di konsol korban hanya dengan membawa game online. Kerentanan ini mendapatkan skor 9,8/10 (Kritis) dalam kalkulator CVSS 3.1.

Selama tahun 2021, hal ini banyak ditemukan secara mandiri dan dilaporkan ke Nintendo. Kemudian Nintendo menambal kerentanan di banyak game yang rentan. PabloMK7 menambahkan, apabila dikombinasikan dengan kerentanan OS lainnya, pengambilalihan konsol remote penuh dapat dicapai.


Detail Teknis ENLBufferPwn
Menurut readme eksploit, kerentanan ENLBufferPwn mengeksploitasi buffer overflow di kelas C++ NetworkBuffer yang ada di pustaka jaringan enl (Net di Mario Kart 7) yang digunakan oleh banyak game Nintendo pihak pertama.

Konsekuensi dari buffer overflow bervariasi pada game, dari modifikasi sederhana yang tidak berbahaya, memori game, hingga tindakan yang lebih parah seperti mengambil kendali penuh atas konsol.

Eksploitasi dapat digunakan untuk mengganggu pemain lain di game online, seperti menekan tombol home secara remote pada pengontrol mereka di tengah permainan

Bisakah meretas Nintendo Switch dengan ENLBufferPwn?
Eksploit tidak dapat dengan mudah dimanfaatkan untuk meretas Nintendo Switch karena perlu dirantai dengan kerentanan lain untuk mendapatkan eskalasi hak istimewa, dan sejauh ini tidak ada eksploitasi kernel yang diketahui publik di firmware terbaru.

Fakta bahwa ini mengharuskan untuk bergabung dengan game online, kemungkinan Nintendo memiliki banyak cara untuk mencegah hal ini. Menambal game bukan satu-satunya. Saat eksploitasi tersebut diungkapkan kepada publik, itu sudah mati.

Mengenai 3DS dan Wii U, keduanya dapat diretas dengan cukup mudah, sehingga manfaat peretasan terbatas dalam konteks itu, dari perspektif pengguna akhir.

Selengkapnya: Wololo.net

Security Flaw Windows Kritis Dapat Menyaingi WannaCry

by

Kerentanan yang lebih serius daripada EternalBlue telah ada di Windows selama beberapa waktu, sebelum akhirnya ditemukan dan ditambal, ungkap para ahli.

Beritanya tidak ada orang tahu persis betapa berbahayanya itu. Pada kenyataannya, ini memungkinkan pelaku ancaman untuk menjalankan kode berbahaya tanpa memerlukan otentikasi. Lebih jauh lagi, ini dapat menyebar, memungkinkan pelaku ancaman untuk memicu reaksi berantai dari eksploitasi yang menggandakan diri pada titik akhir rentan lainnya. Dengan kata lain, malware yang menyalahgunakan cacat tersebut dapat menyebar ke seluruh perangkat seperti api.
Bagi mereka yang memiliki memori lebih pendek, EternalBlue adalah zero-day buatan NSA untuk Windows yang melahirkan WannaCry, mungkin ancaman ransomware global paling dahsyat yang pernah muncul.

Ketika Microsoft pertama kali menambalnya tiga bulan lalu, diyakini bahwa cacat tersebut hanya memungkinkan pelaku ancaman untuk mengambil beberapa informasi sensitif dari perangkat, dan dengan demikian, memberi label sebagai “penting”. Sekarang, perusahaan mengubah peringkat tersebut, melabelinya sebagai “kritis”, dengan skor keparahan 8,1.

Tidak seperti EternalBlue, yang merupakan zero-day dan meninggalkan pakar keamanan dan pembuat perangkat lunak yang berebut untuk membuat perbaikan, tambalan untuk kelemahan ini telah tersedia selama tiga bulan sekarang, jadi efeknya seharusnya agak terbatas.

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

by

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

‘Vulnerabilities’ Ditemukan di Sebagian Besar Pengontrol Industri

by

Tiga perempat perangkat yang menjaga fasilitas seperti instalasi pengelolahan air dan listrik tetap aman dan beroperasi memiliki kerentanan keamanan siber yang parah dan belum diperbaiki.

Ini adalah poin data terbaru tentang ancaman yang, ketika memanfaatkannya, dapat menyebabkan banyak malapetaka:

  • The Student worm memusnahkan sekitar seperlima sentrifugal nuklir Iran lebih dari satu dekade lalu dengan menargetkan pengontrol industri.
  • Industroyer malware menyerang sistem kontrol industri pada tahun 2016 untuk mematikan listrik ke beberapa bagian Kyiv, Ukraina, selama satu jam
  • Seorang peretas secara singkat mampu meningkatkan tingkat alkali di pabrik pengelolahan air di Oldsmar, Florida, tahun lalu ke tingkat yang berbahaya bagi manusia. Untungnya, seorang operator pabrik memperhatikan peretas tersebut dan dapat dengan cepat menggagalkannya.

Mengapa begitu rentan?
Usia sistem ini berarti mereka kadang-kadang berjalan pada perangkat lunak yang tidak lagi diperbarui dan didukung oleh produsen, Bort, pendiri perusahaan keamanan siber SCYTHE, memberi tahu saya. Perangkat dirancang dengan mempertimbangkan ketersediaan dan keamanan, bukan keamanan.

Namun, tidak semua angka microsodt begitu suram.

  • Perusahaan menemukan bahwa pengungkapan kerentanan paling parah pada peralatan kontrol industri yang diproduksi oleh vendor populer melonjak 78 persen dari tahun 2020 ke 2022.
  • Itu tidak berarti ada lebih banyak kerentanan — hanya saja lebih banyak yang ditemukan dan diungkapkan.
  • “Itu sangat positif,” kata Vasu Jakkal, wakil presiden korporat untuk keamanan, kepatuhan, identitas, manajemen, dan privasi di Microsoft kepada saya.

Apa yang orang lain lakukan tentang hal itu
Banyak upaya pemerintah untuk mengamankan perangkat dan sistem ini digabungkan ke dalam inisiatif lain.

Misalnya, Badan keamanan siber dan infrastruktur telah mengundang pakar industri sistem kontrol industri untuk bergabung dalam program untuk berkolaborasi guna mengurangi ancaman siber.

Satu program khusus sistem kontrol industri yang mendapatkan hasil yang baik dari Energy Department’s Office of Cybersecurity, Energy Security and Emergency Response adalah inisiatif yang secara sukarela menghubungkan vendor dengan Laboratorium Nasional unutk mengirimkan peralatan untuk pengujian keamanan, kata Bort

Sementara itu, di Eropa, peraturan keamanan siber yang diusulkan yang dikenal sebagai Undang-Undang Ketahanan Siber akan mewajibkan produk perangkat lunak dan perangkat keras untuk memenuhi tolok ukur keamanan tertentu berdasarkan seberapa “kritis” mereka dianggao.

sumber : The Washington Post

NSA Mengatakan Peretas Cina Mengeksploitasi Bug Zero-day

by

Badan Keamanan Nasional AS memperingatkan bahwa peretas yang didukung pemerintah China mengeksploitasi kerentanan zero-day di dua produk jaringan Citrix yang banyak digunakan untuk mendapatkan akses ke jaringan yang ditargetkan.

Kerentanan yang dilacak sebagai CVE-2022-27518, memengaruhi Citrix ADC, pengontrol pengiriman aplikasi, dan Citrix Gateway, alat akses jarak jauh, dan keduanya populer di jaringan perusahaan. Kerentanan dengan peringkat kritis memungkinkan penyerang yang tidak diautentikasi untuk menjalankan kode berbahaya dari jarak jauh pada perangkat yang rentan.

Dalam sebuah blog, Kepala Keamanan dan Kepercayaan Citrix, Peter Lefkowitz, menuliskan bahwa Citrix mengetahui sejumlah kecil serangan yang ditargetkan di alam liar menggunakan kerentanan ini. Namun, Citrix belum dapat menentukan industri yang menjadi target maupun yang telah banyak disusupi.

NSA mengatakan bahwa APT5, grup peretas China yang terkenal, telah secara aktif menargetkan Citrix ADC untuk masuk ke organisasi tanpa harus mencuri kredensial terlebih dahulu, memberikan panduan perburuan ancaman untuk tim keamanan, dan meminta pembagian intelijen antara sektor publik dan swasta.

Tahun lalu, APT5 mengeksploitasi kerentanan zero-day di sebuah produk jaringan lain untuk menembus jaringan A.S. yang terlibat dalam penelitian dan pengembangan pertahanan.

Selengkapnya: TechCrunch+

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

by

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

  • Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
  • Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
  • Citrix ADC 12.1-FIPS before 12.1-55.291
  • Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Peretas Mendapatkan $989.750 Untuk 63 zero-days yang Dieksploitasi di Pwn2Own Toronto

by

Pwn2Own Toronto 2022 telah berakhir dengan pesaing mendapatkan $989.750 untuk 63 eksploitasi zero-day (dan beberapa tabrakan bug) yang menargetkan produk konsumen antara 6 Desember dan 9 Desember.

Dalam kompetisi ini, sejumlah 26 tim dan peneliti keamanan telah menargetkan berbagai perangkat elektronik seperti ponsel, printer, router nirkabel, dan penyimpanan yang terhubung ke jaringan, semuanya mutakhir dan dalam konfigurasi default mereka. Meski tidak ada tim yang mendaftar untuk meretas smartphone Apple iPhone 13 dan Google Pixel 6, para kontestan meretas Samsung Galaxy S22 yang ditambal sepenuhnya sebanyak empat kali.

Sepanjang kontes, peretas telah berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di perangkat dari berbagai vendor, termasuk Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik, dan HP.

Setelah kerentanan zero-day yang dieksploitasi selama acara Pwn2Own dilaporkan, vendor diberi waktu 120 hari untuk merilis patch sebelum ZDI mengungkapkannya secara publik. Pwn2Own Toronto 2022 telah berakhir tepat pada hari keempat kompetisi dengan kontestan mendapatkan $989.750 untuk 63 eksploitasi zero-day di berbagai kategori.Berikut ini adalah daftar pemenang kontes Pwn2Own Toronto 2022 dalam Papan Final Pwn2Own (ZDI).

Selengkapnya: BLEEPINGCOMPUTER