Celah Keamanan Muncul di Banyak Provider Hosting

Avatar

Redaksi

0 komentar

2019-Maret-7th pada 6:10

Kebocoran keamanan dan celah cPanel

Sebuah celah keamanan yang berdampak pada mayoritas pengguna web hosting dan pengunjung website baru-baru ini ditemukan di dalam banyak provider web hosting.

Dalam penemuannya, ahli keamanan kami menyebut demikian: Jika sebuah server mengelola banyak akun shared hosting, akun-akun tersebut bisa melihat data aktivitas dari tiap akun hosting di server itu. Artinya, data website Anda bisa dilihat siapapun yang satu server dengan Anda.

Fakta paling mencengangkan adalah bahwa kerentanan ini ditemukan juga di banyak web hosting besar, seperti Bluehost, Siteground, GoDaddy dan banyak lagi.

Oh, dan satu lagi: isu ini sudah berlangsung selama 6 tahun belakangan.

Bagaimana ini terjadi?

Celah keamanan ini memberi akses ke dalam Apache ‘status page’, yaitu suatu halaman web yang digunakan tim monitoring dari provider hosting untuk melihat basic logs dari suatu server. Ini fungsi sederhana, yang hanya bisa diakses oleh admin server.

Uhm, seharusnya cuma oleh admin server...

Karena begini: settingan status page Apache punya IP restriction. Halaman itu hanya bisa diakses jika permintaan akses berasal dari server yang sama.

Lumrahnya, orang luar tak bisa mendapat akses ke server itu.

Namun, bukankah ada kemungkinan ada pihak internal yang tidak bisa dipercaya me-request URL tersebut dari dalam server? Hal ini luput dari perhatian teknisi cPanel.

Bahkan, tanpa root access, siapapun bisa mengetahui aktivitas server secara real time, hanya dengan sebuah skrip PHP yang me-request halaman status WHM lewat IP address 127.0.0.1 (localhost).

Contoh file PHP tersebut adalah seperti ini:

PHP status page

Anda juga bisa pakai "$url - ‘http://[::1]/whm-server-status’ " bila protokolnya berbasis IPv6.

Jadi, kalau ada yang mau melihat dan mengumpulkan data website Anda, dia cuma perlu:

  1. Beli akun hosting
  2. Menjalankan file PHP dari direktori akun tersebut.
  3. Membuat tasks otomatis terjadwal (cron job) untuk secara terus-menerus mengumpulkan data dari server tersebut.

User kemudian akan diberi akses ke status page, yang berisi:

  • Personal IP dari semua pengunjung website. Semua pengunjung server bisa diidentifikasi dan dilacak.
  • Informasi request dari para user. Bahkan link tersembunyi dari semua pages bisa dengan mudah ditemukan dan dikumpulkan.
  • IP address dari semua pages. Siapapun bisa melihat IP address asli dan memulai serangan DDoS, hingga layanan Cloudflare pun menjadi tidak berguna.
  • Peluang melacak halaman web yang ‘rapuh’. Dan informasi ini bisa disalahgunakan. Karena Anda bisa akses access log dari waktu ke waktu, Anda bisa melihat berapa lama suatu web page dibuka. Maka, kelihatan pula mana halaman web yang mudah dibanjiri request spam (DDoS). Pada akhirnya serangan ini akan melumpuhkan keseluruhan website, atau bahkan keseluruhan server.
Apache Server Status Apache server status

Status page server Apache dimaksudkan bagi internal tim monitoring saja. Namun, celah ini membuat Anda bisa juga mengaksesnya ke hampir semua akun hosting.

Ini Bukan Berita Baru

Pada dasarnya, celah keamanan ini sudah pernah terdeteksi sebelumnya. Pada tahun 2012, Daniel Cid dari Sucuri menemukan bahwa banyak website memiliki status page publik yang bisa diakses oleh siapapun.

Caranya adalah hanya dengan memasukkan alamat URL, lalu menambahkan /server-status di akhir. Dengan begitu, website seperti Metacafe, NBA, For, dan bahkan PHP.net, bisa dikorek informasi publiknya.

Provider hosting yang terdampak

Sejak itu, problem ini memang sudah mulai dibereskan. Namun, toh, kami masih menemukan website yang membeberkan kelemahan ini. Yang kami temukan adalah ada cara lain untuk mengakses status page tersebut, lalu mengunduh banyak informasi lainnya dari beribu-ribu website.

Tanggung Jawab Siapa dan Apa Solusinya?

Bayangkan Anda beli router dan alat itu punya username dan password default 'admin'. Siapa yang salah kalau router tersebut diretas (hacked)? Tentu, pembuat router tersebut bisa pakai kredensial yang lebih kuat. Namun, di sisi lain, pengguna juga perlu punya perhatian pada keamanan dan langsung mengganti settingan default tersebut.

Di saat yang sama, meski cPanel gagal menciptakan fitur keamanan default yang lebih baik, masalah utamanya bukan hanya di situ.

Status page sendiri didesain dan diterapkan oleh cPanel. Namun, mereka juga memberi sarana ke Sys Admins dari provider hosting untuk mengkonfigurasi aspek keamanan dari status page ini. Ternyata hal ini luput dari perhatian mereka.

Lalu, bagaimana cara Anda membereskan kelemahan ini? Nah, ada sejumlah hal yang bisa dilakukan admin server:

  • Mengganti lokasi 'server-status'. Tidak ada yang bisa me-request status page jika lokasinya tidak diketahui siapa pun selain admin.
  • Ganti default port (80). Fungsinya sama seperti mengganti default URL, namun, hal ini menambahkan aspek keamanan ekstra.
  • Membuat HTTP authentication di URL status page. Langkah ini akan langsung mengamankan status page Apache menggunakan password yang Anda pilih.
  • Tambah lapisan firewall server. Aturlah bahwa hanya root (atau group admin tertentu) yang bisa mengakses status page tersebut.

Namun, ada lagi tantangannya: sekitar sekali dalam sebulan, cPanel merilis update terbaru, mengganti default URL dan mengakibatkan masalah ini berulang kembali. Setidaknya, Anda tahu mekanisme solutifnya agar celah ini segera tertangani.

Imbas Serius Bagi Pengguna

Jadi, untuk menyingkat cerita... Kalau Anda adalah pengguna shared hosting, siapapun yang satu server dengan Anda bisa mengakses data Anda.

Kalau satu server berisi ribuan klien, tak terbayangkan lagi resikonya. Niat jahat satu user saja sudah cukup untuk mengambil data dan behavior Anda. Dan selesai di satu server, mereka bisa request ke customer support untuk masuk ke server lainnya. Lalu mereka akan melakukan ancaman yang sama...

Meski data URL dan IP sepertinya tak terlalu signifikan, data tersebut bisa dipakai dengan kreatif guna merugikan pemilik website maupun pengunjungnya.

Berita buruk bagi kata sandi non-enkripsi

Terbukanya akses ke semua URL adalah berita buruk bagi online platform bersistem non-enkripsi. Sistem keamanan ini sudah ketinggalan jaman dan menampilkan login sebagai custom URL. Artinya, ketika Anda masuk ke website itu, Anda sedang menuliskan URL yang tampilannya seperti berikut ini:

https://www.websiteurl.com/login.php?username=USERNAMEANDA&password=PASSWORDANDA

Dan tidak peduli apakah Anda pakai HTTP atau HTTPS... Status page bakal membeberkan informasi itu secara jelas-jelas.

‘Data Farming’

Selain URL, celah keamanan ini juga menampilkan IP address yang berinteraksi dengan website. Lewat informasi tersebut, orang-orang bisa memonitor aktivitas website apapun yang dihosting di server tersebut, hingga melihat siapa yang telah mengaksesnya.

Daftar website dan pengguna provider hosting ini membuka celah bagi aktivitas data farming.

Beberapa provider hosting rela membayar tinggi untuk daftar klien kompetitor. Informasi semacam ini seharusnya rahasia. Namun, lewat celah seperti ini, informasi tersebut menjadi publik. Jika Anda memakai layanan hosting provider yang tidak aman, Anda bisa menjadi target kompetitor mereka.

Namun, informasi pribadi yang terkuak tak hanya bisa digunakan untuk langkah marketing saja. Pengguna yang berniat buruk bisa mengancam (blackmailing) Anda menggunakan data yang mereka dapatkan.

Misal, IP address bisa dipakai dalam serangan DDoS dengan permintaan tebusan. Serangan tidak akan berhenti sampai Anda memberi sejumlah uang.

Dan jangan kira Cloudflare, atau layanan CDN apapun, bisa menyelamatkan Anda.

Status page dari WHM server menunjukkan IP address asli dari halaman tersebut. Dengan akses langsung ke IP address, penjahat bisa memberi serangan DDoS ke proyek Anda dan tidak ada software yang bisa membantu (kecuali Anda mengganti alamat IP Anda seutuhnya).

Provider Hosting Mana yang Terjangkit?

Ahli keamanan kami mengetes 11 provider shared hosting dan hasilnya adalah sebagai berikut:

Provider Jenis Panel Status Update (tanggal)
Bluehost cPanel Beres 03.05.2019
HostGator cPanel Beres 03.05.2019
GoDaddy cPanel Terdampak 03.06.2019
A2 Hosting cPanel Beres 03.05.2019
iPage vDeck Tidak Terdampak 03.05.2019
SiteGround cPanel Terdampak 03.06.2019
Hostinger Custom Panel Tidak Terdampak 03.05.2019
Niagahoster cPanel Beres 03.07.2019
Dewaweb cPanel Beres 03.07.2019
Jagoan Hosting cPanel Beres 03.07.2019
Dedoho cPanel Terdampak 03.057.2019

Di situ terlihat, setiap host yang memakai cPanel memiliki 'celah cPanel' ini. Dari tabel tersebut saja kita akan mudah mengasumsikan bahwa hosting berbasis cPanel membawa celah keamanan ini.

Saat ini, kemungkinan besar kerentanan ini sedang coba diatasi. Sebelum mempublikasikan artikel ini, kami telah mengontak semua provider hosting besar dan menginformasikan pada mereka soal isu ini.

Setelah menerima konfirmasi seperti di atas, kami mengecek kembali apakah masalah sudah teratasi. Sayangnya, ada sejumlah host yang tak berniat menyelesaikan masalah ini. Update response terakhir mereka bisa Anda lihat di tabel di atas.

Saya Pengguna Shared Hosting - Saya Harus Bagaimana?

Saat ini, hanya sedikit yang bisa kita lakukan. Kerusakan (jika ada) sudah terjadi. Namun, Anda bisa coba kontak provider hosting Anda atau mencari tahu di forum komunitas teknologi mengenai hal ini.

Kami akan tetap mengawasi provider hosting dengan celah cPanel yang kami sebutkan di sini. Anda juga bisa melihat update terkini, terutama soal apakah mereka telah membuat perbaikan keamanan ke platform hosting mereka.


Avatar
Redaksi

Didirikan oleh para pengguna web hosting sama seperti kamu, redaksi webhostingterbaik.id terdiri dari berbagai kalangan profesional yang mencintai satu hal yang sama, yaitu memanfaatkan internet sebagai media berbagi kebaikan seluas-luasnya. Tak perlu mentraktir kopi, redaksi sudah sangat bahagia ketika kamu dan pembaca lainnya benar-benar menemukan apa yang dibutuhkan di sini.


Top 3 Penyedia Web Hosting
Hostinger logo
9.7 /10
9.5 /10
7.4 /10
Beri Komentar