Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zero Day

Zero Day

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

by

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

sumber : thehackernews.com

Kaspersky mengatakan Malware Zero-Day baru Menyerang iPhone

by

Perusahaan keamanan Siber yang berbasis di Moskow, Kaspersky, telah menjadi sorotan selama bertahun-tahun dengan mengungkap serangan peretasan yang canggih oleh mata-mata siber yang didukung negara, baik dari Rusia maupun Barat. Kini, perusahaan ini mengungkapkan kampanye infiltrasi baru yang sangat rahasia, di mana Kaspersky sendiri menjadi target.

Dalam laporan yang diterbitkan hari ini, Kaspersky mengatakan bahwa pada awal tahun ini, mereka mendeteksi serangan terarah terhadap sekelompok iPhone setelah menganalisis lalu lintas jaringan korporat perusahaan mereka sendiri.

Kampanye ini, yang para peneliti sebut sebagai Operasi Triangulasi dan dikatakan “sedang berlangsung,” tampaknya bermula sejak tahun 2019 dan memanfaatkan beberapa kerentanan dalam sistem operasi mobile Apple, iOS, untuk memungkinkan para penyerang mengambil alih perangkat korban.

Kaspersky mengatakan bahwa rantai serangan ini menggunakan eksploitasi “zero-click” untuk mengompromikan perangkat target dengan cukup mengirimkan pesan yang dirancang khusus ke korban melalui layanan iMessage Apple.

Korban menerima pesan tersebut, yang menyertakan lampiran berbahaya, dan eksploitasi akan dimulai baik korban membuka pesan dan memeriksa lampiran tersebut atau tidak.

Kemudian, serangan tersebut akan menggabungkan beberapa kerentanan untuk memberikan akses yang lebih dalam kepada para peretas ke perangkat target.

Dan payload perangkat lunak berbahaya akhir akan diunduh secara otomatis ke perangkat korban sebelum pesan dan lampiran berbahaya asli dihapus sendiri.

Kaspersky mengatakan bahwa malware yang mereka temukan tidak dapat bertahan di perangkat setelah direstart, namun para peneliti mengatakan mereka melihat bukti adanya infeksi ulang dalam beberapa kasus.

Kerentanan yang digunakan dalam rangkaian eksploitasi masih belum jelas, meskipun Kaspersky mengatakan bahwa salah satu kerentanan kemungkinan adalah kerentanan ekstensi kernel CVE-2022-46690 yang diperbaiki oleh Apple pada bulan Desember.

Selengkapnya: WIRED

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

by

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

  • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
  • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
  • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

by

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Apple memperbaiki dua zero-days yang dieksploitasi untuk meretas iPhone dan Mac

by

Apple telah merilis pembaruan keamanan darurat untuk mengatasi dua kerentanan zero-day baru yang dieksploitasi dalam serangan untuk mengkompromikan iPhone, Mac, dan iPad.

“Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif,” kata perusahaan tersebut saat menjelaskan masalah tersebut dalam penasihat keamanan yang diterbitkan pada hari Jumat.

Cacat keamanan pertama (dilacak sebagai CVE-2023-28206) adalah penulisan di luar batas IOSurfaceAccelerator yang dapat menyebabkan kerusakan data, kerusakan, atau eksekusi kode.

Eksploitasi yang berhasil memungkinkan penyerang menggunakan aplikasi perusak yang berbahaya untuk mengeksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang ditargetkan.

Zero-day kedua (CVE-2023-28205) adalah penggunaan WebKit setelah kelemahan gratis yang memungkinkan korupsi data atau eksekusi kode arbitrer saat menggunakan kembali memori yang dibebaskan.

Cacat ini dapat dieksploitasi dengan mengelabui target agar memuat halaman web berbahaya di bawah kendali penyerang, yang dapat menyebabkan eksekusi kode pada sistem yang disusupi.

Dua kerentanan zero-day telah diatasi di iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1, dan Safari 16.4.1 dengan validasi input dan manajemen memori yang ditingkatkan.

Apple mengatakan daftar perangkat yang terpengaruh cukup luas, dan itu termasuk:

  • iPhone 8 dan yang lebih baru,
  • iPad Pro (semua model),
  • iPad Air generasi ke-3 dan lebih baru,
  • iPad generasi ke-5 dan lebih baru,
  • iPad mini generasi ke-5 dan lebih baru,
  • dan Mac yang menjalankan macOS Ventura.

Selengkapnya: Bleeping Computer

QNAP Zero-Days Meninggalkan 80K Perangkat Rentan terhadap Serangan Cyber

by

Sepasang vulnerability zero-day di beberapa sistem operasi (OS) Quality Network Appliance Provider (QNAP) untuk peralatan network-attached storage (NAS) memengaruhi sekitar 80.000 perangkat di seluruh dunia. Mereka tetap tidak ditambal untuk dua dari empat OS yang terpengaruh.

QNAP menyediakan peralatan dan perangkat lunak untuk penyimpanan, jaringan, dan video pintar Internet of Things (IoT). Bug OS, yang ditemukan oleh para peneliti di Sternum, adalah pelanggaran akses memori, yang dapat menyebabkan kode tidak stabil dan dapat menyediakan jalur bagi penjahat dunia maya yang diautentikasi untuk mengeksekusi kode arbitrer.

Vulnerability, dilacak di bawah CVE-2022-27597 dan CVE-2022-27598, memengaruhi QTS, pahlawan QuTS, QuTScloud, dan QVP OS, menurut Sternum, dan telah diperbaiki di QTS versi 5.0.1.2346 build 20230322 (dan yang lebih baru) dan QuTS hero versi h5.0.1.2348 build 20230324 (dan yang lebih baru). QuTScloud dan QVP OS tetap belum ditambal, tetapi QNAP mengatakan bahwa itu “segera memperbaiki” kekurangannya.

Penasihat keamanan QNAP menambahkan, “Jika dieksploitasi, vulnerabilty memungkinkan pengguna terotentikasi jarak jauh untuk mendapatkan nilai rahasia.”

Sementara bug dinilai “keparahan rendah,” dan sejauh ini, para peneliti Sternum belum melihat mereka dieksploitasi di alam liar, mendapatkan tambalan dengan cepat penting – pengguna QNAP terus menjadi target favorit di antara penjahat dunia maya.

selengkapnya : darkreading.com

Google Menemukan Lebih Banyak Android, iOS Zero-days Digunakan untuk Menginstal Spyware

by

Grup Analisis Ancaman Google (TAG) menemukan beberapa rantai eksploit menggunakan Android, iOS, dan Chrome kerentanan zero-day dan n-day untuk menginstal spyware komersial dan aplikasi berbahaya di perangkat target.

Penyerang menargetkan pengguna iOS dan Android dengan rantai eksploitasi terpisah, sebagai bagian dari kampanye pertama yang terlihat pada November 2022.

Penyerang menggunakan pesan teks yang mendorong tautan singkat bit.ly untuk mengarahkan korban ke situs web pengiriman yang sah dari Italia, Malaysia, dan Kazakhstan setelah pertama kali mengirim mereka ke halaman yang memicu eksploitasi yang menyalahgunakan eksekusi kode jarak jauh WebKit iOS zero-day (CVE-2022-42856) dan bug sandbox escape (CVE-2021-30900).

Pada perangkat iOS yang disusupi, pelaku ancaman menjatuhkan muatan yang memungkinkan mereka melacak lokasi korban dan memasang file .IPA.

Ini merupakan bagian dari upaya berkelanjutan untuk mengawasi pasar spyware tentara bayaran dan melacak kerentanan zero-day yang mereka manfaatkan untuk memasang alat mereka pada perangkat rentan hak asasi manusia dan aktivis politik, jurnalis, politisi, dan petinggi lainnya. pengguna risiko di seluruh dunia.

Peneliti Google TAG menautkan kerangka eksploit yang Heliconia dan menargetkan kerentanan Chrome, Firefox, dan Microsoft Defender ke perusahaan perangkat lunak Variston IT Spanish pada November 2022.

Kemudian pada Juni 2022, beberapa Penyedia Layanan Internet (ISP) membantu vendor spyware Italia, RCS Labs, untuk menginfeksi perangkat pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial pada Juni

Selengkapnya: BleepingComputer