Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zero Day

Zero Day

Microsoft January 2022 Patch Tuesday memperbaiki 6 zero-day, 97 kerentanan keamanan

by

Microsoft merilis Patch Tuesday bulan Januari 2022 yang memperbaiki enam kerentanan zero-day dan total 97 kerentanan.

Microsoft telah memperbaiki 97 kerentanan (tidak termasuk 29 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan sembilan diklasifikasikan sebagai Kritis dan 88 sebagai Penting.

Microsoft juga menyertakan perbaikan untuk enam kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak satupun dari mereka yang dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday Januari 2022 adalah:

  • CVE-2021-22947 – Open Source Curl Remote Code Execution Vulnerability
  • CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
  • CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability
  • CVE-2022-21836 – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability

Kerentanan Curl dan Libarchive telah diperbaiki oleh pengelolanya tetapi perbaikan tersebut tidak ditambahkan ke Windows hingga hari ini.

Namun, karena banyak dari zero-day ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna Windows disarankan untuk melakukan update sesegera mungkin.

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan oleh peretas yang didukung negara

by

Seperti yang diharapkan, peretas negara-bangsa dari semua jenis telah mengambil kesempatan untuk mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2021-44228) di library logging berbasis Java Apache Log4j.

Juga dikenal sebagai Log4Shell atau LogJam, kerentanan sekarang digunakan oleh pelaku ancaman yang memiliki kaitan dengan pemerintah di Cina, Iran, Korea Utara, dan Turki, serta broker akses yang digunakan oleh geng ransomware.

Di antara aktor ancaman pertama yang memanfaatkan Log4Shell untuk menjatuhkan muatan adalah grup penambangan cryptocurrency dan botnet, yang mulai menyerang segera setelah kode eksploitasi proof-of-concept tersedia.

Salah satu pelakunya adalah kelompok ancaman Iran Fosfor – juga dilacak sebagai Charming Kitten, APT 35, yang diamati Microsoft “memperoleh dan membuat modifikasi” pada eksploitasi Log4Shell.

Aktor ancaman negara-bangsa lain yang memanfaatkan bug Log4Shell adalah Hafnium, grup peretas yang terkait dengan China.

Microsoft mengatakan bahwa Hafnium sekarang menggunakan Log4Shell dalam serangan terhadap infrastruktur virtualisasi “untuk memperluas penargetan tipikal mereka”.

Terlepas dari aktor negara-bangsa, Microsoft telah mengkonfirmasi bahwa broker yang menyediakan akses jaringan awal ke berbagai kelompok, sebagian besar bermotivasi finansial juga mulai mengeksploitasi kelemahan Log4j.

Broker akses awal biasanya bekerja dengan operasi ransomware-as-a-service (RaaS), di mana mereka menjual akses ke jaringan perusahaan yang disusupi.

Log4Shell juga telah digunakan dalam serangan ransomware dari aktor baru bernama Khonsari, sebuah laporan dari Bitdefender menunjukkan.

Mengingat kerusakan yang dapat disebabkan oleh bug ini, Badan Keamanan Infrastruktur Keamanan Siber (CISA) telah memerintahkan lembaga federal untuk segera menambal sistem yang terpengaruh.

Selengkapnya: Bleeping Computer

Log4j: Seberapa Kacaukah Kita?

by

Bug Apache log4j yang ditemukan beberapa waktu lalu adalah sebuah mimpi buruk. Menurut Jen Easterly, direktur Badan Keamanan Cybersecurity dan Infrastruktur Amerika, ini adalah “salah satu yang paling serius” yang dia lihat dalam “masa karirnya.”

Meskipun pengguna web sehari-hari tidak dapat berbuat banyak tentang seluruh situasi ini, mungkin bermanfaat untuk mengetahui apa yang terjadi. Inilah ikhtisar singkat tentang semua mimpi buruk itu.

Bug Terburuk di Web

Pustaka logging Log4j diimplementasikan oleh para engineer untuk merekam bagaimana program berjalan; mereka memungkinkan audit kode dan merupakan mekanisme rutin untuk menyelidiki bug dan masalah fungsionalitas lainnya.

Karena log4j gratis dan dipercaya secara luas, perusahaan besar dan kecil telah menggunakannya untuk semua jenis hal. Ironisnya, tentu saja, alat pemeriksa bug ini sekarang memiliki bug.

Peneliti keamanan telah menyebut kerentanan tersebut sebagai “Log4Shell” karena eksploitasi yang tepat dapat mengakibatkan akses shell (juga disebut “akses kode jarak jauh”) ke sistem server. Kerentanan tersebut membawa peringkat keparahan 10 pada skala Sistem Skor Kerentanan Umum.

Secara teknis, bug tersebut adalah kerentanan eksekusi kode jarak jauh zero-day, yang berarti “memungkinkan penyerang mengunduh dan menjalankan skrip pada server yang ditargetkan, membiarkannya terbuka untuk kendali jarak jauh”, ungkap Bitdefender.

Siapa yang Terkena Dampak?

Karena keberadaan log4j yang ada di mana-mana, sebagian besar platform terbesar di internet rentan dengan bencana tersebut. Menurut berbagai laporan, yang terkena dampak termasuk nama-nama besar seperti Apple, Twitter, Amazon, LinkedIn, CloudFlare, dan banyak lagi.

Amazon jelas merupakan salah satu perusahaan terbesar dalam daftar tersebut. Raksasa teknologi telah secara teratur menerbitkan pembaruan yang terkait dengan produk dan layanannya (yang tampaknya ada beberapa), sementara Apple, baru-baru ini mengkonfirmasi bahwa iCloud terpengaruh oleh bug tersebut dan kemudian telah menambal nya.

Perusahaan lain masih menyelidiki apakah mereka telah terdampak atau tidak, termasuk raksasa teknologi seperti Blackberry, Dell, Huawei, dan Citrix, serta perusahaan teknologi terkemuka seperti SonicWall, McAfee, TrendMicro, Oracle, Qlik, dan banyak lagi lainnya.

Serangan: Datang

Sebagian besar masalahnya adalah bahwa sebagian besar penjahat tampaknya telah mengetahui tentang kerentanan log4j pada waktu yang hampir bersamaan dengan orang lain.

Dengan demikian, upaya eksploitasi pada sistem dan platform yang rentan telah meningkat secara eksponensial sejak minggu lalu—karena peretas di seluruh web dengan fanatik berusaha memanfaatkan situasi unik yang mengerikan ini.

“Sangat mungkin bahwa ransomware pada akhirnya akan memanfaatkan kerentanan log4j. Terutama karena sistem yang rentan kemungkinan merupakan aset penting seperti server,” kata Sergio Caltagirone, Wakil Presiden Intelijen Ancaman di perusahaan keamanan siber Dragos.

Memang benar, perusahaan keamanan siber Bitdefender menerbitkan penelitian pada hari Selasa yang tampaknya menunjukkan upaya eksploitasi pada mesin yang rentan oleh keluarga ransomware baru yang dikenal sebagai “Khonsari”.

Dan, sementara ransomware adalah salah satu perhatian utama, profesional keamanan siber lainnya telah menulis tentang berbagai macam upaya eksploitasi yang mereka lihat—seperti yang menjalankan keseluruhan mulai dari cryptomining dan instalasi botnet, hingga lebih banyak aktivitas jenis pengintaian, seperti pemindaian umum dan penyebaran suar Cobalt-Strike.

Jika Anda pengguna web biasa, satu-satunya hal yang benar-benar dapat Anda lakukan saat ini adalah memperbarui perangkat dan aplikasi Anda saat diminta dan berharap platform yang Anda andalkan cukup cepat untuk mengidentifikasi kerentanan, membuat patch, dan mendorong pembaruan.

Selengkapnya: Gizmodo

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

by

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Sumber: ZDNet

Selengkapnya: ZDNet

Microsoft Desember 2021 Patch Tuesday memperbaiki 6 zero-days, 67 kerentanan

by

Hari ini adalah Patch Tuesday Desember 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 67 kerentanan keamanan. Pembaruan ini mencakup perbaikan untuk kerentanan Installer Windows yang dieksploitasi secara aktif yang digunakan dalam kampanye distribusi malware.

Microsoft telah memperbaiki 55 kerentanan (tidak termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 60 sebagai Penting.

Jumlah setiap jenis kerentanan tercantum di bawah ini:

  • 21 Elevation of Privilege Vulnerabilities
  • 26 Remote Code Execution Vulnerabilities
  • 10 Information Disclosure Vulnerabilities
  • 3 Denial of Service Vulnerabilities
  • 7 Spoofing Vulnerabilities

Patch Tuesday kali ini juga mencakup perbaikan untuk enam kerentanan zero-day, dengan satu kerentanan Installer Windows AppX yang dieksploitasi secara aktif.

Kerentanan zero-day Installer Windows AppX yang dieksploitasi secara aktif dilacak sebagai CVE-2021-43890 dan digunakan dalam berbagai kampanye distribusi malware, termasuk Emotet, TrickBot, dan BazarLoader.

Kerentanan tersebut dapat dieksploitasi dari jarak jauh oleh aktor ancaman dengan hak pengguna rendah dalam serangan kompleksitas tinggi yang membutuhkan interaksi pengguna.

Untuk memblokir upaya eksploitasi, pengguna Windows harus menginstal Installer Desktop Microsoft yang ditambal untuk platform mereka:

Microsoft juga menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan termasuk mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Aplikasi Windows dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Selengkapnya: Bleeping Computer

Google merilis pembaruan Chrome darurat untuk memperbaiki kerentanan zero-day

by

Google telah merilis Chrome 96.0.4664.110 untuk Windows, Mac, dan Linux, untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi di alam liar.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2021-4102 ada di alam liar,” kata vendor browser dalam penasihat keamanan hari ini.

Meskipun perusahaan mengatakan pembaruan ini mungkin memerlukan beberapa waktu untuk menjangkau semua pengguna, pembaruan telah mulai diluncurkan untuk Chrome 96.0.4664.110 di seluruh dunia di saluran Desktop Stabil.

Bug zero-day yang diperbaiki hari ini, dilacak sebagai CVE-2021-4102, dilaporkan oleh peneliti keamanan anonim dan adalah kelemahan use after free di mesin JavaScript Chrome V8.

Penyerang biasanya mengeksploitasi use after free bug untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari sandbox keamanan browser. Sementara Google mengatakan telah mendeteksi serangan liar yang menyalahgunakan zero-day ini, mereka tidak membagikan info tambahan mengenai insiden ini.

Dengan pembaruan ini, Google telah mengatasi 16 kerentanan zero-day Chrome sejak awal tahun.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, menginstal pembaruan Google Chrome hari ini sangat disarankan kepada pengguna Chrome.

Selengkapnya: Bleeping Computer

Log4Shell Memunculkan Mutasi Lebih Berbahaya

by

Internet memiliki kanker ganas yang menyebar secara cepat – atau dikenal sebagai eksploitasi perpustakaan logging Apache Log4j – yang telah bermutasi dengan cepat dan menarik kawanan penyerang sejak diungkapkan secara publik minggu lalu.

Sebagian besar serangan berfokus pada penambangan cryptocurrency, seperti yang terlihat oleh Sophos, Microsoft, dan perusahaan keamanan lainnya. Namun, penyerang secara aktif mencoba menginstal malware yang jauh lebih berbahaya pada sistem yang rentan juga.

Menurut peneliti Microsoft, di luar penambangan cryptocurrency, mereka juga telah melihat instalasi Cobalt Strike, yang dapat digunakan penyerang untuk mencuri kata sandi, merayap lebih jauh ke jaringan yang disusupi dengan gerakan lateral dan mengekstrak data.

Itu bisa menjadi jauh lebih buruk. Peneliti keamanan siber di Check Point memperingatkan pada hari Senin bahwa evolusi telah menyebabkan lebih dari 60 mutasi yang lebih besar dan lebih kuat, semuanya muncul dalam waktu kurang dari sehari.

Check Point mengatakan bahwa mereka menggagalkan lebih dari 845.000 upaya eksploitasi, dengan lebih dari 46 persen dari upaya tersebut dilakukan oleh kelompok jahat yang dikenal. Faktanya, Check Point memperingatkan bahwa terlihat lebih dari 100 upaya untuk mengeksploitasi kerentanan per menit.

Peta di bawah ini mengilustrasikan geografi sasaran teratas.

Sumber: Threat Post

Selengkapnya: Threat Post