Vulnerability

AMD Diam-diam Mencantumkan 31 Kerentanan CPU Baru, Mengeluarkan Panduan Patch

January 15, 2023 by Coffee Bean

AMD diam-diam membocorkan 31 kerentanan CPU baru dalam pembaruan januari, mencakup chip Ryzen untuk konsumen dan prosesor pusat data EPYC. Pembaruan kerentananjugamenyertakan daftar versi AGESA, dengan mitigasi untuk prosesor yang terperngaruh. AMD mengungkapkan kerentanan dalam pengungkapan terkoordinasi dengan beberapa peneliti, termasuk tim dari google, Apple dan Oracle.

Seperti yang sering kita lihat pada sistem lama, beberapa mungkin tidak diperbarui. Tampaknya jua beberapa model yang terkena dampak belum memliki mitigasi.

Kerentanan mencakup tiga varian baru untuk PC desktop Ryzen yang ditujukan untuk konsumen, HEDT, Pro, dan prosesor seluler.

kerentanan mencakup chip desktop Pinnacle Ridge seri 2000 Ryzen, bersama dengan produk APU seri 2000 dan 5000 yang hadir dengan grafik terintegrasi (Raven Ridge, Cezanne).

AMD juga telah mendaftarkan 28 kerentanan untuk prosesor EPYC-nya, empat diantaranya sangat parah. Tiga dari varian tingkat keparahan tinggi memungkinkan eksekusi kode arbitrer melalui berbagai vektor serangan, sementara satu varian memungkinkan penulisan data ke wilayah tertentu yang dapat menyebabkan hilangnya integritas dan ketersediaan data. Para peneliti juga menemukan 15 kerentanan lain dengan tingkat keparahan sedang dan sembilan vulnerabilitas tingkat rendah

AMD juga telah mendaftarkan 28 kerentanan untuk prosesor EPYC-nya, empat di antaranya sangat parah. Tiga dari varian tingkat keparahan tinggi memungkinkan eksekusi kode arbitrer melalui berbagai vektor serangan, sementara satu varian memungkinkan penulisan data ke wilayah tertentu yang dapat menyebabkan hilangnya integritas dan ketersediaan data. Para peneliti juga menemukan 15 kerentanan lain dengan tingkat keparahan sedang dan sembilan

Chip AMD telah lama dikenal memiliki kerentanan yang diketahui lebih sedikit daripada model intel.

Keberhasilan AMD baru-baru ini dalam merebut pangsa pasar dari Intel, terutama di pasar pusat data yang berfokus pada keamanan, akan membuat para peneliti lebih mengalihkan pandangan mereka ke arsitektur AMD untuk mencari potensi celah keamanan. AMD juga memiliki beberapa pengungkapan kerentanan baru lainnya di masa lalu.

sumber: tomshardware

Kerentanan dengan tingkat keparahan 9.8 di Panel Web Kontrol berada di bawah eksploit aktif

January 15, 2023 by Søren

Peretas jahat telah mulai mengeksploitasi kerentanan kritis dalam versi Panel Web Kontrol yang belum ditambal, antarmuka yang banyak digunakan untuk hosting web.

“Ini adalah RCE yang tidak diautentikasi,” tulis anggota grup Shadowserver di Twitter, menggunakan singkatan untuk eksploitasi kode jarak jauh. “Eksploitasi itu sepele dan PoC diterbitkan.” PoC mengacu pada kode proof-of-concept yang mengeksploitasi kerentanan.

Kerentanan dilacak sebagai CVE-2022-44877. Ditemukan oleh Numan Türle dari Gais Cyber Security dan ditambal pada bulan Oktober dalam versi 0.9.8.1147. Penasihat tidak dipublikasikan sampai awal bulan ini, namun, kemungkinan besar beberapa pengguna masih tidak menyadari ancaman tersebut.

Angka yang diberikan oleh perusahaan Keamanan GreyNoise menunjukkan bahwa serangan dimulai pada 7 Januari dan perlahan meningkat sejak saat itu, dengan putaran terbaru berlanjut hingga Rabu. Perusahaan mengatakan eksploit berasal dari empat alamat IP terpisah yang berlokasi di AS, Belanda, dan Thailand.

Shadowserver menunjukkan bahwa ada sekitar 38.000 alamat IP yang menjalankan Panel Web Kontrol, dengan konsentrasi tertinggi di Eropa, diikuti oleh Amerika Utara dan Asia.

Peringkat keparahan untuk CVE-2022-44877 adalah 9,8 dari kemungkinan 10. “Perintah Bash dapat dijalankan karena tanda kutip ganda digunakan untuk mencatat entri yang salah ke sistem,” kata penasehat untuk kerentanan. Akibatnya, peretas yang tidak diautentikasi dapat menjalankan perintah jahat selama proses login. Video berikut menunjukkan aliran eksploit.

Selengkapnya: ars TECHNICA

Messenger ditagih Lebih Baik Daripada Signal Penuh Dengan Kerentanan

January 13, 2023 by Coffee Bean

Peneliti akademik telah menemukan kerentanan serius di inti Threema, pengirim pesan instan yang menurut pengembangnya yang berbasis di Swiss memberikan tingkat keamanan dan privasi yang tidak dapat ditawarkan oleh layanan obrolan lain. Terlepas dari klaim yang luar biasa kuat dan dua audit keamanan independen yang telah diterima Threema, para peneliti mengatakan bahwa kelemahan tersebut benar-benar merusak jaminan kerahasiaan dan otentikasi yang merupakan landasan dari setiap program yang dijual sebagai penyedia enkripsi ujung-ke-ujung, biasanya disingkat E2EE.

Threema memiliki lebih dari 10 juta pengguna, termasuk pemerintah Swiss, tentara Swiss, Kanselir Jerman Olaf Scholz, dan politisi lain di negara tersebut. Pengembang Threema mengiklankannya sebagai alternatif yang lebih aman untuk messenger WhatsApp Meta. Ini adalah salah satu aplikasi Android teratas untuk kategori berbayar di Swiss, Jerman, Austria, Kanada, dan Australia. Aplikasi ini menggunakan protokol enkripsi yang dirancang khusus yang bertentangan dengan norma kriptografi yang ditetapkan.

Tujuh kelemahan yang mematikan
Para peneliti dari universitas riset ETH yang berbasis di Zurich melaporkan pada hari Senin bahwa mereka menemukan tujuh kerentanan di Threema yang secara serius mempertanyakan tingkat keamanan sebenarnya yang ditawarkan aplikasi tersebut selama bertahun-tahun. Dua dari kerentanan tidak memerlukan akses khusus ke server atau aplikasi Threema untuk menyamar sebagai pengguna secara kriptografis. Tiga kerentanan membutuhkan penyerang untuk mendapatkan akses ke server Threema. Dua sisanya dapat dieksploitasi saat penyerang mendapatkan akses ke ponsel yang tidak terkunci, seperti di perbatasan.

Tujuh kerentanan yang ditemukan para peneliti meliputi:
1. Aktor eksternal tanpa akses khusus

Jika kunci sesaat terungkap sekali pun, penyerang dapat secara permanen menyamar sebagai klien ke server dan kemudian mendapatkan semua metadata di semua pesan E2EE.
Cacat dalam cara protokol klien-ke-server (C2S) Threema berinteraksi dengan protokol end-to-end (E2E) yang menyebabkan pengguna membuat nilai Threema khusus yang dikenal sebagai kotak jaminan dan mengirimkannya ke penyerang.

selengkapnya : arstechnica

Cacat Keamanan Parah Ditemukan di Perpustakaan “jsonwebtoken” Digunakan oleh 22.000+ Proyek

January 11, 2023 by Coffee Bean

Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan di pustaka open source jsonwebtoken (JWT) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh di server target.

Dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), masalah ini berdampak pada semua versi library, termasuk dan di bawah 8.5.1, dan telah diatasi dalam versi 9.0.0 yang dikirimkan pada 21 Desember 2022. Cacat tersebut telah dilaporkan oleh perusahaan keamanan siber pada 13 Juli 2022.

jsonwebtoken, yang dikembangkan dan dikelola oleh Okta’s Auth0, adalah modul JavaScript yang memungkinkan pengguna mendekode, memverifikasi, dan menghasilkan token web JSON sebagai sarana transmisi informasi yang aman antara dua pihak untuk otorisasi dan otentikasi. Ini memiliki lebih dari 10 juta unduhan mingguan di registri perangkat lunak npm dan digunakan oleh lebih dari 22.000 proyek.

Karena perangkat lunak open source semakin muncul sebagai jalur akses awal yang menguntungkan bagi pelaku ancaman untuk melancarkan serangan rantai pasokan, kerentanan dalam alat tersebut harus diidentifikasi secara proaktif, dimitigasi, dan ditambal oleh pengguna hilir.

Lebih buruk lagi adalah kenyataan bahwa penjahat dunia maya telah menjadi jauh lebih cepat dalam mengeksploitasi kelemahan yang baru terungkap, secara drastis mempersingkat waktu antara rilis tambalan dan ketersediaan eksploitasi. Menurut Microsoft, rata-rata hanya membutuhkan waktu 14 hari untuk mengeksploitasi terdeteksi di alam liar setelah pengungkapan bug secara publik.

Untuk mengatasi masalah penemuan kerentanan ini, Google, bulan lalu, mengumumkan perilisan OSV-Scanner, sebuah utilitas open source yang bertujuan untuk mengidentifikasi semua dependensi transitif suatu proyek dan menyoroti kekurangan relevan yang memengaruhinya.

sumber: thehackernews

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

January 11, 2023 by Coffee Bean

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Peretas Web vs. Industri Otomotif: Kerentanan Kritis di Ferrari, BMW, Rolls Royce, Porsche, dan Lainnya

January 6, 2023 by Flamango

Para peneliti yang juga peretas web menemukan kerentanan terkait industri otomotif dari banyak perusahaan besar. Mereka menyadari bahwa hampir setiap mobil yang diproduksi dalam 5 tahun terakhir memiliki fungsi yang hampir sama.

Jika penyerang dapat menemukan kerentanan di titik akhir API yang digunakan sistem telematika kendaraan, mereka dapat membunyikan klakson, menyalakan lampu, melacak dari jarak jauh, mengunci/membuka kunci, dan memulai/menghentikan kendaraan, sepenuhnya dari jarak jauh.

Penulisan Kerentanan
1. Dalam beberapa bulan berikutnya, peneliti menemukan banyak kerentanan terkait mobil. Peneliti merangkum hasil eksplorasi keamanannya dalam sebuah blog. Berikut adalah rangkuman hasil penelitian keamanan sistem telematika, API otomotif, dan infrastruktur yang mendukungnya.
2. Pengambilalihan Akun Penuh pada BMW dan Rolls Royce melalui SSO yang Salah Konfigurasi
3. Eksekusi Kode Jarak Jauh dan Akses ke Ratusan Alat Internal di Mercedes-Benz dan Rolls Royce melalui SSO yang Salah Konfigurasi
4. Pengambilalihan Kendaraan Penuh pada Kia melalui Portal Dealer yang Tidak Berlaku Lagi
5. Pengambilalihan Akun Penuh pada Ferrari dan Pembuatan Akun Sewenang-wenang memungkinkan Penyerang untuk Mengakses, Mengubah, dan Menghapus Semua Informasi Pelanggan dan 6. Mengakses Fungsi CMS Administratif untuk Mengelola Situs Web Ferrari
6. Injeksi SQL dan Bypass Otorisasi Regex pada Sistem Spireon memungkinkan Penyerang untuk Mengakses, Melacak, dan Mengirim Perintah Sewenang-wenang ke 15 juta sistem Telematika dan Selain itu, Sistem Manajemen Armada Pengambilalihan Sepenuhnya untuk Departemen Kepolisian, Layanan Ambulans, Pengemudi Truk, dan Banyak Sistem Armada Bisnis
7. Akses Kendaraan Jarak Jauh Penuh dan Pengambilalihan Akun Penuh yang mempengaruhi Hyundai dan Genesis.
8. Akses Kendaraan Jarak Jauh Penuh dan Pengambilalihan Akun Penuh yang memengaruhi Honda, Nissan, Infiniti, Acura.
9. Pengambilalihan Kendaraan Penuh atas Nissan melalui Penugasan Massal.

Selain dalam blognya, para peneliti juga membagi hasil kerentanan melalui sebuah thread pada akun twitter @ssamwcyo dan @_specters_ .

Selengkapnya: Sam Curry

200 Juta Alamat Email Pengguna Twitter Diduga Bocor Secara Online

January 5, 2023 by Coffee Bean

Kebocoran data yang digambarkan berisi alamat email untuk lebih dari 200 juta pengguna Twitter telah dipublikasikan di forum peretas populer seharga sekitar $2. BleepingComputer telah mengonfirmasi validitas banyak alamat email yang tercantum dalam kebocoran tersebut.

Sejak 22 Juli 2022, pelaku ancaman dan pengumpul pelanggaran data telah menjual dan mengedarkan set data besar dari profil pengguna Twitter tergores yang berisi data pribadi (nomor telepon dan alamat email) dan publik di berbagai forum peretas online dan pasar kejahatan dunia maya.

200 juta baris profil Twitter dirilis secara gratis
Hari ini, seorang aktor ancaman merilis kumpulan data yang terdiri dari 200 juta profil Twitter di forum peretasan yang Dilanggar untuk delapan kredit mata uang forum, bernilai sekitar $2.

Kumpulan data ini diduga sama dengan kumpulan 400 juta yang beredar pada bulan November tetapi dibersihkan agar tidak mengandung duplikat, mengurangi total menjadi sekitar 221.608.279 baris.

Penjualan perdana data Facebook pada Juni 2020

Data dirilis sebagai arsip RAR yang terdiri dari enam file teks untuk ukuran gabungan data sebesar 59 GB.

RAR arsip mengansung leaked data twitter

Setiap baris dalam file mewakili pengguna Twitter dan datanya, yang mencakup alamat email, nama, nama layar, jumlah pengikut, dan tanggal pembuatan akun, seperti yang ditunjukkan di bawah ini.

Kumpulan datanya jauh dari lengkap, karena ada banyak pengguna yang tidak ditemukan dalam kebocoran tersebut.

Ada atau tidaknya informasi Anda dalam kumpulan data ini sangat bergantung pada apakah alamat email Anda terungkap dalam pelanggaran data sebelumnya.

Pencakar kemudian memasukkan daftar ini ke dalam bug API untuk melihat apakah nomor atau alamat email Anda dikaitkan dengan ID Twitter yang sesuai dengan email atau nomor telepon tersebut.

Jika alamat email Anda hanya digunakan di Twitter atau tidak dalam banyak pelanggaran data, itu tidak akan dimasukkan ke dalam bug API dan ditambahkan ke kumpulan data ini.

sumber : bleepingcomputer

Apa Itu Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?

January 3, 2023 by Flamango

Linux dikenal sebagai sistem operasi yang sangat aman. Namun, Linux juga bisa menjadi mangsa celah dan eksploitasi, yang terburuk adalah kerentanan eskalasi hak istimewa yang memungkinkan musuh meningkatkan izin mereka dan berpotensi mengambil alih seluruh organisasi.

Polkit CVE-2021-4034 adalah kerentanan eskalasi hak istimewa kritis yang tidak diketahui selama lebih dari 12 tahun dan mempengaruhi semua distribusi Linux utama.

Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?
Kerentanan eskalasi hak istimewa Polkit mempersenjatai pkexec, bagian yang dapat dieksekusi dari komponen PolicyKit Linux. pkexec adalah executable yang memungkinkan pengguna mengeksekusi perintah sebagai pengguna lain. Kode sumber pkexec memiliki celah yang dapat dieksploitasi oleh siapa saja untuk mendapatkan hak istimewa maksimum pada sistem Linux, yaitu menjadi pengguna root. Bug ini disebut “Pwnkit” dan dilacak sebagai CVE-2021-4034.

Bagaimana CVE-2021-4034 Kerentanan Eskalasi Hak Istimewa Polkit Dieksploitasi?
Polkit adalah paket yang dikirimkan dengan semua distribusi Linux utama dan distribusi server seperti RHEL dan CentOS.

Komponen Polkit memiliki bagian yang dapat dieksekusi, pkexec, menangani bagaimana pengguna dapat menjalankan perintah sebagai pengguna lain. Akar kerentanan terletak pada kode sumber yang dapat dieksekusi.

Eksploitasi Pwnkit menyalahgunakan cara sistem *NIX memproses argumen dan menggunakan mekanisme baca dan tulis di luar batas untuk menyuntikkan variabel lingkungan yang tidak aman untuk mendapatkan hak akses root.

Siapa yang Terdampak Kerentanan CVE-2021-4034?
Kerentanan ini mudah dieksploitasi dan tersebar luas sebagai komponen yang terpengaruh, Penyerang secara agresif mencoba dan mendapatkan pengaruh dengan mengeksploitasi kerentanan ini di lingkungan cloud, ruang operasi bisnis utama. Korban dari kerentanan ini tidak terbatas pada, Ubuntu, Fedora, CentOS, dan Red Hat 8.

Bagaimana Cara Memperbaiki Kerentanan Eskalasi Hak Istimewa Polkit CVE-2021-4034 dan Apakah Anda Aman?
Tidak perlu khawatir mengenai kerentanan Polkit jika menjalankan versi terbaru dari distribusi Linux. Sebagai pemeriksaan keamanan, terdapat beberapa perintah untuk memeriksa versi paket PolicyKit yang terinstal di sistem.

Amankan Server dan Sistem Linux Anda Dari Eksploitasi yang Menghancurkan
Statistik server Linux menunjukkan bahwa Linux adalah sistem operasi yang memberdayakan lebih dari satu juta server web.

Individu dan pengelola server disarankan untuk memperbarui, meningkatkan sistem, dan memutakhirkan paket polkit satu per satu untuk meningkatkan keamanan server.

Selengkapnya: MakeUsOf

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings