Apa Kerentanan Teratas untuk Situs Web & Aplikasi?

Badan Keamanan Nasional AS (NSA) hari ini menerbitkan laporan mendalam yang merinci 25 kerentanan teratas yang saat ini secara konsisten dipindai, ditargetkan, dan dieksploitasi oleh kelompok peretas yang disponsori negara Tiongkok.

Ke-25 bug keamanan tersebut sudah diketahui dan patchnya tersedia dari vendornya, siap untuk diinstal.

Eksploitasi banyak kerentanan juga tersedia untuk umum. Beberapa di antaranya telah dieksploitasi tidak hanya oleh peretas Tiongkok, tetapi juga dimasukkan ke dalam gudang geng ransomware, kelompok malware tingkat rendah, dan aktor negara dari negara lain (yaitu, Rusia dan Iran).

“Sebagian besar kerentanan yang tercantum di bawah ini dapat dieksploitasi untuk mendapatkan akses awal ke jaringan korban dengan menggunakan produk yang dapat diakses langsung dari Internet dan bertindak sebagai pintu gerbang ke jaringan internal,” kata NSA hari ini.

Badan keamanan siber AS mendesak organisasi-organisasi di sektor publik dan swasta AS untuk menambal sistem terhadap kerentanan yang tercantum di bawah ini.

Ini termasuk:

1) CVE-2019-11510 – Pada server Pulse Secure VPN, penyerang jarak jauh yang tidak diautentikasi dapat mengirimkan URI yang dibuat khusus untuk melakukan kerentanan pembacaan file secara sewenang-wenang. Hal ini dapat menyebabkan terbukanya kunci atau kata sandi

2) CVE-2020-5902 – Pada proxy dan penyeimbang beban F5 BIG-IP, Antarmuka Pengguna Manajemen Lalu Lintas (TMUI) —juga disebut sebagai utilitas Konfigurasi— rentan terhadap kerentanan Eksekusi Kode Jarak Jauh (RCE) yang memungkinkan akses jarak jauh penyerang untuk mengambil alih seluruh perangkat BIG-IP.

3) CVE-2019-19781 – Pengontrol Pengiriman Aplikasi Citrix (ADC) dan sistem Gateway rentan terhadap bug traversal direktori, yang dapat menyebabkan eksekusi kode jarak jauh tanpa penyerang harus memiliki kredensial yang valid untuk perangkat tersebut. Kedua masalah ini dapat dirantai untuk mengambil alih sistem Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Kumpulan bug Citrix ADC dan Gateway lainnya. Hal ini juga berdampak pada sistem WAN-OP SDWAN. Ketiga bug tersebut memungkinkan akses yang tidak diautentikasi ke titik akhir URL tertentu dan pengungkapan informasi kepada pengguna dengan hak istimewa rendah.

7) CVE-2019-0708 (alias BlueKeep) – Kerentanan eksekusi kode jarak jauh ada dalam Layanan Desktop Jarak Jauh pada sistem operasi Windows.

8) CVE-2020-15505 – Kerentanan eksekusi kode jarak jauh dalam perangkat lunak manajemen perangkat seluler (MDM) MobileIron yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer dan mengambil alih server perusahaan jarak jauh.

9) CVE-2020-1350 (alias SIGRed) – Kerentanan eksekusi kode jarak jauh terjadi di server Sistem Nama Domain Windows ketika server tersebut gagal menangani permintaan dengan benar.

10) CVE-2020-1472 (alias Netlogon) – Peningkatan kerentanan hak istimewa terjadi ketika penyerang membuat koneksi saluran aman Netlogon yang rentan ke pengontrol domain menggunakan Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – Kerentanan gangguan terjadi di Microsoft Windows ketika penyerang man-in-the-middle berhasil melewati perlindungan NTLM MIC (Message Integrity Check).

12) CVE-2018-6789 – Mengirim pesan buatan tangan ke agen transfer surat Exim dapat menyebabkan buffer overflow. Ini dapat digunakan untuk mengeksekusi kode dari jarak jauh dan mengambil alih server email.

13) CVE-2020-0688 – Kerentanan eksekusi kode jarak jauh terjadi di perangkat lunak Microsoft Exchange ketika perangkat lunak gagal menangani objek di memori dengan benar.

14) CVE-2018-4939 – Versi Adobe ColdFusion tertentu memiliki kerentanan Deserialisasi Data Tidak Tepercaya yang dapat dieksploitasi. Eksploitasi yang berhasil dapat menyebabkan eksekusi kode arbitrer.

15) CVE-2015-4852 – Komponen Keamanan WLS di Oracle WebLogic 15 Server memungkinkan penyerang jarak jauh untuk mengeksekusi perintah sewenang-wenang melalui objek Java serial yang dibuat

16) CVE-2020-2555 – Terdapat kerentanan pada produk Oracle Coherence dari Oracle Fusion Middleware. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui T3 untuk menyusupi sistem Oracle Coherence.

17) CVE-2019-3396 – Makro Konektor Widget di Server Atlassian Confluence 17 memungkinkan penyerang jarak jauh mencapai traversal jalur dan eksekusi kode jarak jauh pada server Confluence atau instans Pusat Data melalui injeksi templat sisi server.

18) CVE-2019-11580 – Penyerang yang dapat mengirim permintaan ke instance Atlassian Crowd atau Crowd Data Center dapat mengeksploitasi kerentanan ini untuk menginstal plugin arbitrer, yang memungkinkan eksekusi kode jarak jauh.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central memungkinkan eksekusi kode jarak jauh karena deserialisasi data yang tidak tepercaya.

20) CVE-2019-18935 – Kemajuan Telerik UI untuk ASP.NET AJAX mengandung kerentanan deserialisasi .NET. Eksploitasi dapat mengakibatkan eksekusi kode jarak jauh.

21) CVE-2020-0601 (alias CurveBall) – Kerentanan spoofing terjadi dalam cara Windows CryptoAPI (Crypt32.dll) memvalidasi sertifikat Elliptic Curve Cryptography (ECC). Penyerang dapat mengeksploitasi kerentanan dengan menggunakan sertifikat penandatanganan kode palsu untuk menandatangani file executable berbahaya, sehingga tampak bahwa file tersebut berasal dari sumber yang tepercaya dan sah.

22) CVE-2019-0803 – Peningkatan kerentanan hak istimewa terjadi di Windows ketika komponen Win32k gagal menangani objek di memori dengan benar.

23) CVE-2017-6327 – Symantec Messaging Gateway dapat mengalami masalah eksekusi kode jarak jauh.

24) CVE-2020-3118 – Kerentanan dalam implementasi Cisco Discovery Protocol untuk Perangkat Lunak Cisco IOS XR dapat memungkinkan penyerang yang tidak diautentikasi dan berdekatan mengeksekusi kode arbitrer atau menyebabkan memuat ulang perangkat yang terpengaruh.

25) CVE-2020-8515 – Perangkat DrayTek Vigor memungkinkan eksekusi kode jarak jauh sebagai root (tanpa otentikasi) melalui metakarakter shell.

Baca lebih lanjut di sini.