Zero Day

Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Dieksploitasi Secara Global oleh Aktor Agresif dan Terampil, Diduga Berhubungan dengan China

June 16, 2023 by Coffee Bean

Pada tanggal 23 Mei 2023, Barracuda mengumumkan bahwa kerentanan zero-day (CVE-2023-2868) di Gerbang Keamanan Email Barracuda (ESG) telah dieksploitasi secara in-the-wild pada awal Oktober 2022 dan mereka melibatkan Mandiant untuk membantu dalam penyelidikan. Melalui penyelidikan, Mandiant mengidentifikasi tersangka aktor China-nexus, yang saat ini dilacak sebagai UNC4841, menargetkan subset peralatan ESG Barracuda untuk digunakan sebagai vektor spionase, yang mencakup banyak wilayah dan sektor. Mandiant menilai dengan keyakinan tinggi bahwa UNC4841 adalah aktor spionase di balik kampanye luas ini untuk mendukung Republik Rakyat Tiongkok.

UNC4841 mengirim email (lihat Gambar 2) ke organisasi korban yang berisi lampiran file berbahaya yang dirancang untuk mengeksploitasi CVE-2023-2868 untuk mendapatkan akses awal ke peralatan Barracuda ESG yang rentan. Selama kampanye mereka, UNC4841 terutama mengandalkan tiga kelompok kode utama untuk membangun dan mempertahankan keberadaan perangkat ESG, setelah keberhasilan eksploitasi CVE-2023-2868. Keluarga kode ini—SALTWATER, SEASPY, dan SEASIDE—diidentifikasi di sebagian besar intrusi UNC4841. Seperti yang dibahas dalam pemberitahuan Barracuda, ketiga keluarga kode berusaha untuk menyamar sebagai modul atau layanan ESG Barracuda yang sah, sebuah tren yang UNC4841 terus berlanjut dengan keluarga malware yang baru diidentifikasi yang dirinci untuk pertama kalinya dalam posting blog ini.

Pasca kompromi awal, Mandiant dan Barracuda mengamati UNC4841 secara agresif menargetkan data tertentu yang menarik untuk dieksfiltrasi, dan dalam beberapa kasus, memanfaatkan akses ke perangkat ESG untuk melakukan perpindahan lateral ke jaringan korban, atau mengirim email ke perangkat korban lainnya. Mandiant juga telah mengamati UNC4841 menerapkan alat tambahan untuk mempertahankan keberadaannya pada peralatan ESG.

Pada 19 Mei 2023, tindakan UNC4841 pertama kali ditemukan oleh tim Barracuda dan pada 21 Mei 2023, Barracuda mulai merilis tambalan penahanan dan remediasi dengan tujuan menghapus UNC4841 dari peralatan yang terkena dampak. Menanggapi upaya ini, UNC4841 dengan cepat mengubah malware mereka dan menggunakan mekanisme persistensi tambahan dalam upaya mempertahankan akses mereka.

Antara 22 Mei 2023 dan 24 Mei 2023, UNC4841 membalas dengan operasi frekuensi tinggi yang menargetkan sejumlah korban yang berlokasi di setidaknya 16 negara berbeda. Secara keseluruhan, Mandiant mengidentifikasi bahwa kampanye ini berdampak pada organisasi di seluruh sektor publik dan swasta di seluruh dunia, dengan hampir sepertiganya adalah lembaga pemerintah (lihat Gambar 5).

Pada 6 Juni 2023, Barracuda mengulangi pedoman yang merekomendasikan agar semua pelanggan Barracuda yang terkena dampak segera mengisolasi dan mengganti peralatan yang rusak. Selain itu, Mandiant merekomendasikan penyelidikan dan perburuan lebih lanjut dalam jaringan yang terkena dampak, karena pelaku ancaman yang teridentifikasi telah menunjukkan komitmen untuk mempertahankan kegigihan untuk melanjutkan operasi dan telah menunjukkan kemampuan untuk bergerak secara lateral dari alat ESG.

Bagian berikut memberikan detail teknis yang diungkap oleh Barracuda dan Mandiant selama investigasi untuk menyertakan eksploitasi awal alat ESG, malware yang disebarkan, serta perubahan taktik, teknik, dan prosedur (TTP) UNC4841 sebagai tanggapan terhadap Barracuda. upaya perbaikan. Posting diakhiri dengan penilaian awal Mandiant tentang atribusi, dan memberikan rekomendasi penguatan, perbaikan, dan perburuan untuk organisasi yang terkena dampak.

Mandiant memuji Barracuda atas tindakan tegas, transparansi, dan berbagi informasi setelah eksploitasi CVE-2023-2868 oleh UNC4841. Tanggapan terhadap eksploitasi kerentanan ini oleh UNC4841 dan investigasi selanjutnya memerlukan kolaborasi antara Mandiant, Barracuda, dan berbagai mitra pemerintah dan intelijen. Mandiant diaktifkan oleh keahlian para insinyur Barracuda yang memberikan pengetahuan khusus produk yang tak ternilai serta data telemetri dari armada lengkap peralatan ESG. Data yang disediakan oleh Barracuda memungkinkan Mandiant untuk memahami ruang lingkup penuh, menyelidiki dalam skala besar, serta memantau aktivitas penyerang berikutnya.

CVE-2023-2868
CVE-2023-2868 adalah kerentanan injeksi perintah jarak jauh yang ada di Gerbang Keamanan Email Barracuda (hanya faktor bentuk alat) versi 5.1.3.001-9.2.0.006 yang ada saat menyaring lampiran email.

Kerentanan injeksi perintah ada dalam logika penguraian untuk pemrosesan file TAR. Kode berikut di dalam produk adalah titik fokus dari kerentanan:

qx{$tarexec -O -xf $tempdir/bagian/$bagian ‘$f’};

Secara efektif berarti input yang dikendalikan pengguna yang tidak dibersihkan dan tidak difilter melalui variabel $f yang dieksekusi sebagai perintah sistem melalui rutin qx{} Perl. $f adalah variabel yang dikendalikan pengguna yang akan berisi nama file dari file yang diarsipkan dalam TAR. Akibatnya, UNC4841 dapat memformat file TAR dengan cara tertentu untuk memicu serangan injeksi perintah yang memungkinkan mereka menjalankan perintah sistem dari jarak jauh dengan hak istimewa produk Gerbang Keamanan Email.

selengkapnya : mandiant.com

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

June 15, 2023 by Coffee Bean

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

June 7, 2023 by Coffee Bean

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

sumber : thehackernews.com

Kaspersky mengatakan Malware Zero-Day baru Menyerang iPhone

June 5, 2023 by Søren

Perusahaan keamanan Siber yang berbasis di Moskow, Kaspersky, telah menjadi sorotan selama bertahun-tahun dengan mengungkap serangan peretasan yang canggih oleh mata-mata siber yang didukung negara, baik dari Rusia maupun Barat. Kini, perusahaan ini mengungkapkan kampanye infiltrasi baru yang sangat rahasia, di mana Kaspersky sendiri menjadi target.

Dalam laporan yang diterbitkan hari ini, Kaspersky mengatakan bahwa pada awal tahun ini, mereka mendeteksi serangan terarah terhadap sekelompok iPhone setelah menganalisis lalu lintas jaringan korporat perusahaan mereka sendiri.

Kampanye ini, yang para peneliti sebut sebagai Operasi Triangulasi dan dikatakan “sedang berlangsung,” tampaknya bermula sejak tahun 2019 dan memanfaatkan beberapa kerentanan dalam sistem operasi mobile Apple, iOS, untuk memungkinkan para penyerang mengambil alih perangkat korban.

Kaspersky mengatakan bahwa rantai serangan ini menggunakan eksploitasi “zero-click” untuk mengompromikan perangkat target dengan cukup mengirimkan pesan yang dirancang khusus ke korban melalui layanan iMessage Apple.

Korban menerima pesan tersebut, yang menyertakan lampiran berbahaya, dan eksploitasi akan dimulai baik korban membuka pesan dan memeriksa lampiran tersebut atau tidak.

Kemudian, serangan tersebut akan menggabungkan beberapa kerentanan untuk memberikan akses yang lebih dalam kepada para peretas ke perangkat target.

Dan payload perangkat lunak berbahaya akhir akan diunduh secara otomatis ke perangkat korban sebelum pesan dan lampiran berbahaya asli dihapus sendiri.

Kaspersky mengatakan bahwa malware yang mereka temukan tidak dapat bertahan di perangkat setelah direstart, namun para peneliti mengatakan mereka melihat bukti adanya infeksi ulang dalam beberapa kasus.

Kerentanan yang digunakan dalam rangkaian eksploitasi masih belum jelas, meskipun Kaspersky mengatakan bahwa salah satu kerentanan kemungkinan adalah kerentanan ekstensi kernel CVE-2022-46690 yang diperbaiki oleh Apple pada bulan Desember.

Selengkapnya: WIRED

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

June 2, 2023 by Coffee Bean

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

April 27, 2023 by Flamango

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Apple memperbaiki dua zero-days yang dieksploitasi untuk meretas iPhone dan Mac

April 9, 2023 by Søren

Apple telah merilis pembaruan keamanan darurat untuk mengatasi dua kerentanan zero-day baru yang dieksploitasi dalam serangan untuk mengkompromikan iPhone, Mac, dan iPad.

“Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif,” kata perusahaan tersebut saat menjelaskan masalah tersebut dalam penasihat keamanan yang diterbitkan pada hari Jumat.

Cacat keamanan pertama (dilacak sebagai CVE-2023-28206) adalah penulisan di luar batas IOSurfaceAccelerator yang dapat menyebabkan kerusakan data, kerusakan, atau eksekusi kode.

Eksploitasi yang berhasil memungkinkan penyerang menggunakan aplikasi perusak yang berbahaya untuk mengeksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang ditargetkan.

Zero-day kedua (CVE-2023-28205) adalah penggunaan WebKit setelah kelemahan gratis yang memungkinkan korupsi data atau eksekusi kode arbitrer saat menggunakan kembali memori yang dibebaskan.

Cacat ini dapat dieksploitasi dengan mengelabui target agar memuat halaman web berbahaya di bawah kendali penyerang, yang dapat menyebabkan eksekusi kode pada sistem yang disusupi.

Dua kerentanan zero-day telah diatasi di iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1, dan Safari 16.4.1 dengan validasi input dan manajemen memori yang ditingkatkan.

Apple mengatakan daftar perangkat yang terpengaruh cukup luas, dan itu termasuk:

iPhone 8 dan yang lebih baru,
iPad Pro (semua model),
iPad Air generasi ke-3 dan lebih baru,
iPad generasi ke-5 dan lebih baru,
iPad mini generasi ke-5 dan lebih baru,
dan Mac yang menjalankan macOS Ventura.

Selengkapnya: Bleeping Computer

QNAP Zero-Days Meninggalkan 80K Perangkat Rentan terhadap Serangan Cyber

April 8, 2023 by Coffee Bean

Sepasang vulnerability zero-day di beberapa sistem operasi (OS) Quality Network Appliance Provider (QNAP) untuk peralatan network-attached storage (NAS) memengaruhi sekitar 80.000 perangkat di seluruh dunia. Mereka tetap tidak ditambal untuk dua dari empat OS yang terpengaruh.

QNAP menyediakan peralatan dan perangkat lunak untuk penyimpanan, jaringan, dan video pintar Internet of Things (IoT). Bug OS, yang ditemukan oleh para peneliti di Sternum, adalah pelanggaran akses memori, yang dapat menyebabkan kode tidak stabil dan dapat menyediakan jalur bagi penjahat dunia maya yang diautentikasi untuk mengeksekusi kode arbitrer.

Vulnerability, dilacak di bawah CVE-2022-27597 dan CVE-2022-27598, memengaruhi QTS, pahlawan QuTS, QuTScloud, dan QVP OS, menurut Sternum, dan telah diperbaiki di QTS versi 5.0.1.2346 build 20230322 (dan yang lebih baru) dan QuTS hero versi h5.0.1.2348 build 20230324 (dan yang lebih baru). QuTScloud dan QVP OS tetap belum ditambal, tetapi QNAP mengatakan bahwa itu “segera memperbaiki” kekurangannya.

Penasihat keamanan QNAP menambahkan, “Jika dieksploitasi, vulnerabilty memungkinkan pengguna terotentikasi jarak jauh untuk mendapatkan nilai rahasia.”

Sementara bug dinilai “keparahan rendah,” dan sejauh ini, para peneliti Sternum belum melihat mereka dieksploitasi di alam liar, mendapatkan tambalan dengan cepat penting – pengguna QNAP terus menjadi target favorit di antara penjahat dunia maya.

selengkapnya : darkreading.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zero Day

Cookies Settings