Rabu, 22 April 2026

Berkenalan dengan WordPress Really Simple Security CVE 2024-10924

Analis Siber Purwakarta - Admin. WordPress tetap menjadi platform Content Management System (CMS) berbasis open-source paling populer di dunia hingga saat ini. Namun, popularitas tersebut juga menjadikannya target utama serangan siber. Pada November 2024, sebuah celah keamanan kritis ditemukan pada plugin Really Simple Security dengan indeks CVE-2024-10924. Kerentanan ini sangat berbahaya karena memungkinkan aktor ancaman melakukan authentication bypass, mengakses akun pengguna lain, hingga melakukan Vertical Privilege Escalation untuk mengambil alih hak administratif penuh atas situs target.

Pembahasan CVE 2024-10924

Sebagai sebuah Content Management System (CMS), WordPress memiliki beberapa titik masuk (entry points) utama yang memiliki fungsi dan tingkat keamanan yang berbeda-beda:

  1. Admin Dashboard: Merupakan gerbang utama untuk manajemen administrasi situs. Entry point ini bersifat sangat terbatas; hanya pengguna dengan hak akses (privilege) administratif yang diizinkan untuk masuk dan melakukan konfigurasi sistem.
  2. Public Interface: Ini adalah tampilan depan (front-end) yang berinteraksi langsung dengan pengunjung. Entry point ini dapat diakses oleh publik secara bebas untuk membaca konten atau melakukan interaksi dasar.
  3. REST API: Jalur ini digunakan oleh pengembang untuk mengelola, mengintegrasikan, dan mengembangkan aplikasi secara terprogram. Karena potensinya yang besar untuk memanipulasi data, akses ke entry point ini memerlukan mekanisme otentikasi yang ketat dan tepat (proper authentication).

CVE-2024-10924 muncul akibat pengabaian praktik secure coding pada pengelolaan endpoint REST API di dalam plugin Really Simple Security (sebelumnya dikenal sebagai Really Simple SSL) untuk WordPress. Ironisnya, Really Simple Security adalah plugin pertahanan yang digunakan secara masif untuk memperkuat keamanan situs, termasuk dalam mengelola fitur Two-Factor Authentication (2FA). Kegagalan dalam memvalidasi permintaan pada endpoint inilah yang kemudian menjadi pintu masuk bagi aktor ancaman untuk melompati pagar keamanan yang seharusnya dijaga oleh plugin tersebut.

Deteksi dan Mitigasi Kerentanan

Untuk mengidentifikasi upaya eksploitasi terhadap kerentanan ini, administrator sistem perlu melakukan analisis mendalam terhadap log aktivitas API dan event sistem. Berikut adalah metode pemeriksaan log yang direkomendasikan untuk mendeteksi indikasi serangan:

  1. Audit Web Log pada Endpoint API: Fokuskan pemantauan pada HTTP Request yang mengarah ke endpoint rentan, khususnya: /?rest_route=/reallysimplessl/v1/two_fa/skip_onboarding. Perhatikan pola metode POST yang mencurigakan, terutama permintaan yang membawa parameter spesifik seperti user_id atau login_nonce. Waspadai juga anomali request yang menunjukkan pola serangan Brute Force dalam frekuensi tinggi.
  2. Analisis Log Otentikasi: Lakukan audit berkala pada log aktivitas login. Cari jejak percobaan otentikasi di mana mekanisme Two-Factor Authentication (2FA) terindikasi berhasil dilewati (bypass). Adanya akses administratif tanpa verifikasi 2FA yang sah merupakan alarm utama terjadinya eksploitasi.
  3. Implementasi Query SIEM: Gunakan Security Information and Event Management (SIEM) untuk membuat query filter otomatis. Visualisasikan data log untuk memetakan tren percobaan eksploitasi, sehingga tim keamanan dapat merespons ancaman secara real-time sebelum kerusakan lebih lanjut terjadi.

Sedangkan langkah untuk memitigasi kerentanan ini diantaranya adalah

  1. Melakukan patch atau update plugin Really Simple Security di tempat plugin resmi
  2. Melakukan implementasi input validasi yang proper, dan penanganan error yang ketat untuk semua endpoint API
  3. Melakukan pembaharuan peringatan SIEM

Sumber:

Bypass Really Simple Security



on Tidak ada komentar:
Label: , , ,

Senin, 20 April 2026

Journaling | OWASP Broken Access Control (BAC) (THM Walkthrough)

Analis Siber Purwakarta - Admin. Broken Access Controls (BAC) merupakan kegagalan sistem dalam membatasi akses ke sumber daya atau fungsionalitas berdasarkan profil pengguna. Celah ini memungkinkan peluang bagi threat actors untuk mengakses, memodifikasi, atau menghapus data sensitif yang berada di luar hak akses mereka. Dalam lanskap keamanan siber saat ini, BAC menjadi ancaman paling kritis karena menyerang langsung pada logika otorisasi aplikasi.

Berkenalan dengan Akses Kontrol

Akses kontrol merupakan mekanisme yang digunakan untuk pengguna atau sebuah sistem  yang mengizinkan untuk mengakses sebuah resources atau sistem, baik itu file, directories, basis data, atau halaman sebuah web. Tujuan utama diterapkannya akses kontrol ini adalah untuk melindungi data yang diproteksi, atau memastikan integritas suatu data yang hanya bisa diakses oleh orang yang memiliki otorisasi terhadap data tersebut.

Akses kontrol dapat diterapkan dengan berbagai macam cara. Penerapan akses kontrol tergantung berdasarkan sumber tipe yang diproteksi, dan security requirements yang diterapkan pada sistem. Akses kontrol yang umumnya digunakan diantaranya:

  1. Discretionary Access Control (DAC). Merupakan sebuah akses kontrol dimana seorang administrator  akan menentukan siapa saja yang diizinkan mengakses resources dan tindakan apa saja yang pengguna izinkan untuk mengakses resources tersebut. DAC umumnya digunakan dalam sebuah sistem operasi atau sistem file.
  2. Mandatory Access Control (MAC). Merupakan sebuah akses kontrol dimana akses ke sebuah resources ditentukan oleh serangkaian aturan atau kebijakan (policies) yang sudah ditetapkan sebelumnya, dan diterapkan pada sistem. MAC sering dapat dijumpai pada pemerintahan, ataupun basis militer.
  3. Role-Based Access Control (RBAC. Pada tipe akses kontrol ini, akses ke sebuah resources ditentukan oleh sebuah peran yang ditentukan juga berdasarkan hierarkis level-level tertentu yang ditentukan dari tanggung-jawab yang sudah diberikan sebelumnya.
  4. Attribute-Based Access Control (ABAC). Tipe akes kontrol ini ditentukan oleh berbagai macam atribut pengguna seperti user role, waktu, lokasi, ataupun jenis perangkat yang digunakan.

Metode Eksploitasi Broken Access Control (BAC)

Terdapat berbagai cara yang digunakan peretas untuk mengeksploitasi kerentanan BAC, yang secara garis besar dapat dikategorikan sebagai berikut:

  1. Horizontal Privilege Escalation (Eskalasi Hak Akses Horizontal): Penyerang mengakses sumber daya atau data milik pengguna lain yang berada pada level otoritas yang sama. Contoh klasiknya adalah memodifikasi parameter ID pada URL—misalnya mengubah user/profile/123 menjadi user/profile/124—untuk mengintip informasi pribadi pengguna lain.
  2. Vertical Privilege Escalation (Eskalasi Hak Akses Vertikal): Terjadi ketika penyerang berhasil mengakses fungsi atau data milik pengguna dengan level hierarki yang lebih tinggi (misalnya admin). Dalam skenario ini, pengguna biasa mungkin mencoba mengakses URL administratif seperti /admin/dashboard yang seharusnya terproteksi namun gagal divalidasi oleh sistem.
  3. Insecure Direct Object References (IDOR): Ini adalah teknik spesifik di mana aplikasi menyediakan referensi langsung ke objek internal (seperti kunci basis data atau nama file) melalui input pengguna. Tanpa pemeriksaan akses yang memadai, peretas dapat memanipulasi referensi ini untuk mengambil data apa pun yang tersimpan di dalam sistem.
  4. Insufficient Access Control Checks: Kerentanan ini muncul akibat inkonsistensi dalam implementasi keamanan. Misalnya, sebuah fungsi mungkin diproteksi ketat pada antarmuka pengguna (UI), namun endpoint API yang sama justru tidak memiliki verifikasi otorisasi, sehingga memungkinkan peretas untuk melakukan bypass secara langsung.

Mempraktikan Eksploitasi Broken Access Control

Kita akan mempraktikan eksploitasi kerentanan Broken Access Control ini pada room yang disediakan oleh TryHackMe. Perangkat lunak yang disiapkan adalah Web Proxy seperti Burp Suite, OWASP ZAP, ataupun Caido. Penulis disini akan menggunakan Caido sebagai Web Proxy.

Gambar 1: Tampilan awal room BAC
Sumber: Dokumentasi Penulis

Aplikasi ini menyediakan fitur berupa dashboard pengguna, dashboard admin, halaman registrasi, dan halaman login. Kita terlebih dahulu membuat akun testing untuk melakukan asesmen pertama pada aplikasi ini. 

Gambar 2. Request, dan Response endpoint functions
Sumber: Dokumentasi Penulis

Diketahui berdasarkan asesmen sebelumnya, pada response function setelah login dilakukan, aplikasi ini menggunakan sistem operasi Debian, Web-Server Apache, dan bahasa pemrograman PHP 8.0.19. Diketahui juga pada endpoint ini, tidak ada security headers sebagai langkah preventif bila terjadi peretasan. Selain itu, terdapat Json parameter redirect_link pada body Response bernilai Boolean yang apabila kita rubah maka kita dapat melakukan vertical privileged escalation yakni merubah akun testing kita menjadi akun admin. 

Gambar 3. Halaman Dashboard Admin yang diperoleh dengan merubah otorisasi menjadi fungsi admin
Sumber: Dokumentasi Penulis

Mitigasi Kerentanan Broken Access Control

Terdapat beberapa langkah untuk melakukan mitigasi kerentanan BAC ini. Diantaranya adalah:

  1. Menerapkan Role Based Access Control
  2. Menggunakan Parametrized Queries
  3. Menerapkan Manajemen Sesi (Management Session) pengguna yang proper
  4. Menerapkan Secure Coding

Sumber:

 




on Tidak ada komentar:
Label: , ,

Jumat, 17 April 2026

Berkenalan dengan React2Shell: CVE-2025-55182

Analis Siber Purwakarta - Admin. Desember 2025 menjadi momen krusial bagi keamanan web global. Publik ditemukan dengan kerentanan Pre-Authentication Remote Code Execution (RCE) pada framework populer seperti NextJS, dan React Server Components. Dikenal dengan sebutan React2Shell (CVE-2025-55182), celah kerentanan ini memungkinkan peretas mengeksekusi kode berbahaya secara jarak jauh tanpa perlu autentikasi apa pun.

Fase Eksploitasi

Eksploitasi terhadap kerentanan ini umumnya dilakukan melalui dua fase utama. Fase pertama adalah tahap identifikasi; peretas akan memindai versi framework yang digunakan oleh target. Berdasarkan laporan keamanan versi yang terdampak adalah React 19 dan Next.js 15.0.0 atau versi kebawah yang belum terproteksi.

Memasuki fase kedua, setelah target divalidasi, peretas akan menyuntikan malicious payload (muatan berbahaya) ke dalam endpoint React Server Components atau Next.js melalui metode POST Request. Tahap inilah yang menjadi pintu masuk bagi eksekusi kode jarak jauh.

Pada sisi backend, input tersebut diterima sebagai objek serial. Karena framework memiliki "kepercayaan bawaan" (implicit trust) pada validitas data antar komponen, proses deserialisasi dilakukan tanpa melalui verifikasi yang ketat. Celah inilah yang dimanfaatkan penyerang. Muatan (payload) yang mereka kirim ikut terproses, sehingga server secara tidak sengaja menjalankan kode berbahaya tersebut dalam lingkungan Node.Js.

Langkah Mitigasi

Untuk menutup celah keamanan ini, ada beberapa langkah mitigasi krusial yang harus segera diambil:

  1. Audit Versi Framework: Lakukan pemeriksaan menyeluruh terhadap versi React atau Next.js yang sedang digunakan;
  2. Pembaruan Sistem (Patching): Segera lakukan pembaruan ke versi React atau Next.js terbaru;
  3. Implementasikan WAF (Web Application Firewall): Pasang WAF dengan aturan (ruleset) yang ketat untuk mendeteksi dan memblokir upaya pengiriman Malicious Payload

Kesimpulan

React2Shell menjadi pengingat penting bahwa secanggih apa pun sebuah framework, celah pada metode penanganan data (seperti deserialisasi) akan selalu menjadi sasaran empuk. Pastikan siklus pengembangan aplikasi Anda selalu menyertakan pembaruan keamanan rutin.

Referensi

on Tidak ada komentar:
Label: , ,

Minggu, 12 April 2026

Journaling | Kriptografi Seni Melindungi Kerahasiaan Data

Analis Siber Purwakarta - Admin. Kriptografi merupakan sebuah teknik untuk melindungi kerahasiaan, integritas, dan keotentikan dari sebuah data. Teknik ini sering kita gunakan bahkan kita sama sekali tidak pernah menyadarinya, sebagai contoh, ketika kita hendak masuk ke akun sosial media kita, data kredensial kita terenkripsi agar peretas tidak bisa mengendusnya melalui sebuah jaringan yang disadap.

Peran Matematika: Operator Modulo

Kriptografi tidak lepas dari peranan matematika, contoh kecil dari penggunaan matematika pada kriptografi adalah penggunaan % atau Operator Modulo. Dalam dunia kriptografi, modulo sering disebut sebagai "aritmetika jam". Contoh dari penggunaan operator modulo ini, kita dapat melihatnya pada algoritma kriptografi klasik seperti Caesar Cipher hingga algoritma modern seperti RSA. Operator Modulo digunakan untuk mengacak posisi karakter atau menghitung kunci publik dan privat.

Tanpa modulo hasil perhitungan matematis dalam enkripsi bisa menjadi angka yang luar biasa besar dan tidak efisien untuk diproses oleh komputer. Dengan modulo, kita bisa memastikan bahwa hasil enkripsi tetap berada dalam batasan karakter yang dapat terbaca atau dikirimkan melalui jaringan.

Jenis-Jenis Enkripsi

Kriptografi memiliki dua kategori utama dalam mengenkripsi data, yaitu Symmetric Encryption dan Asymmetric Encryption.

Symmetric Encryption (Enkripsi Simetris)

Pada metode ini, kunci yang digunakan untuk mengenkripsi dan mendekripsi data adalah kunci yang sama. Bayangkan seperti sebuah kotak peti fisik yang hanya memiliki satu kunci; siapa pun yang ingin mengunci atau membuka peti tersebut harus memiliki kunci yang identik.

Contoh: DES (Data Encryption Standard) dan AES (Advanced Encryption Standard).

Asymmetric Encryption (Enkripsi Asimetris)

Berbeda dengan simetris, asymmetric encryption menggunakan sepasang kunci yang berbeda namun saling terkait secara matematis, yaitu Public Key (Kunci Publik) dan Private Key (Kunci Privat).

Public Key: Boleh diketahui oleh siapa saja dan digunakan untuk mengenkripsi data.

Private Key: Harus dijaga kerahasiaannya oleh pemiliknya dan digunakan untuk mendekripsi data.

Konsep ini memecahkan masalah distribusi kunci pada metode simetris. Jika seseorang ingin mengirimkan pesan rahasia kepada Anda, mereka cukup menggunakan Public Key Anda untuk mengunci pesan tersebut. Setelah terkunci, hanya Anda (pemilik Private Key) yang bisa membukanya. Bahkan pengirimnya sendiri pun tidak bisa membuka pesan itu kembali setelah dienkripsi.

Contoh: RSA, Diffie-Hellman, dan ECC (Elliptic Curve Cryptography).

Mengenal RSA - (Rivest-Shamir-Adleman)

Rivest-Shamir-Adleman (RSA) merupakan salah satu algoritma kriptografi Asymetric Encryption yang paling luas digunakan. Mekanisme kunci yang digunakan oleh RSA yakni menggunakan sepasang kunci dimana:
  1. Kunci Publik (Public Key): Terdiri dari nilai n (modulus) dan e (eksponen publik). Kunci ini dibagikan kepada siapa saja untuk mengenkripsi pesan.
  2. Kunci Privat (Private Key): Terdiri dari nilai d (eksponen privat). Kunci ini dijaga rahasia oleh pemiliknya untuk mendekripsi pesan yang telah dienkripsi dengan kunci publik pasangannya.
Secara teknis, cara kerja RSA dibagi menjadi empat fase utama yaitu:
  1. Key Generation: Proses pembuatan pasangan kunci publik dan privat;
  2. Key Distribution: Proses membagikan kunci publik kepada pengirim data;
  3. Public-Key Operation: Proses enkripsi data menggunakan kunci publik;
  4. Private-Key Operation: Proses dekripsi data menggunakan kunci privat oleh penerima yang sah.

Sumber:



on Tidak ada komentar:
Label: , ,
Langganan: Postingan (Atom)