Heartbleed Lebih Seram dari yang Dibayangkan

Teror Heartbleed tak cuma terhadap situs web publik yang rentan. Bug ini sejatinya memberikan dampak lebih besar dari itu. 

Menurut Symantec, Heartbleed memberikan dampak yang sama kepada software klien di antara kepada web klien, email klien, chat klien, FTP klien, aplikasi mobile, VPN klien dan update software. 

Singkatnya, setiap klien yang berkomunikasi melalui SSL/TLS yang menggunakan versi rentan OpenSSL sangat terbuka terhadap serangan.

Selain itu, Heartbleed mempengaruhi berbagai server lain selain server web. Ini termasuk proxy, server media, server game, server database, server chat dan server FTP. 

"Pada akhirnya, perangkat hardware tidak kebal terhadap kerentanan. Hal ini dapat mempengaruhi router, PBX dan kemungkinan beberapa perangkat yang terkoneksi dengan internet (Internet of Things)," lanjut Symantec, dalam keterangannya.

Menyerang server software dan hardware tersebut melalui kerentanan Heartbleed dilakukan dengan cara yang sama sebagai serangan ke situs-situs yang rentan. Namun serangan terhadap klien dapat terjadi dengan cara terbalik.

Biasanya, imbuh Symantec, eksploitasi Heartbleed telah digambarkan sebagai penyerangan klien dengan mengirim pesan berbahaya Heartbeat (ekstensi/program pendukung bagi Open SSL) ke server yang rentan dan server tersebut mengekspos data pribadi.

Namun kebalikannya juga benar. Satu klien yang rentan dapat terhubung ke server, dan server itu sendiri dapat mengirim pesan Heartbeat berbahaya ke klien tersebut. Klien kemudian akan merespons dengan data tambahan yang ditemukan dalam memori, yang berpotensi mengekspos kredensial dan data pribadi lainnya.


Gambar a: Bagaimana klien yang rentan diserang, yang pada dasarnya adalah kebalikan dari serangan pada server.

Untungnya, saat klien sedang rentan, kemungkinan sulit untuk mengeksploitasi mereka dalam situasi sesungguhnya. Dua vektor utama serangan memerintahkan klien untuk mengunjungi server SSL/TLS yang berbahaya atau membajak koneksi melalui kelemahan yang tidak ada kaitannya. Keduanya memberikan komplikasi tambahan untuk penyerang.

Mengarahkan Klien ke Server Berbahaya

Menurut Symantec, contoh paling sederhana tentang bagaimana klien mungkin tereksploitasi adalah seperti web browser yang rentan. Hanya perlu meyakinkan korban untuk mengunjungi URL berbahaya agar server penyerang bisa mendapatkan akses ke memori browser web klien. Hal ini memberikan risiko kepada konten seperti di sesi cookies sebelumnya, website yang dikunjungi, form data dan kredensial otentifikasi.

"Kebanyakan dari web browser populer tidak menggunakan OpenSSL, tapi NSS libraries (Network Security Services), yang tidak rentan terhadap Heartbleed. Namun banyak klien web baris perintah menggunakan OpenSSL (misalnya wget & curl)," kata Symantec.

Kebutuhan penyerang untuk mengelabui pengguna agar mengunjungi sebuah situs berbahaya mungkin dapat mengurangi beberapa risiko, tetapi ini tidak harus.

"Bayangkan layanan terjemahan bahasa online dimana Anda memberikan layanan otomatis dengan URL ke halaman dalam bahasa Perancis dan layanan tersebut akan menerjemahkan konten ke dalam bahasa Inggris," tambahnya.

Di belakang layar, layanan ini mengambil isi dari halaman berbahasa Perancis tersebut menggunakan klien back-end mereka sendiri.

"Jika Anda memberikan URL server berbahaya, klien back-end ini dapat diekploitasi dan penyerang dapat mengambil informasi-informasi penting seperti kode atau kredensial dari layanan penerjemahan tersebut," Symantec menjelaskan.

Membajak Koneksi

Menurut Symantec, mengarahkan klien ke server berbahaya seperti yang diungkapkan di atas mengharuskan klien diarahkan untuk mengunjungi server acak. Namun banyak klien hanya dapat menghubungi preset, hardcoded domain. 

Dalam kasus ini, klien masih dapat dieksploitasi. Pada jaringan bersama terbuka seperti jaringan WiFi publik, trafik dapat terlihat dan diubah oleh orang lain, yang memungkinkan penyerang untuk mengarahkan kembali klien yang rentan. 

Biasanya, SSL/TLS (misalnya HTTPS, web browsing terenkripsi) adalah salah satu solusi untuk masalah ini, karena enkripsi mencegah penyadapan dan pengarahan kembali. Namun seseorang dapat mengirim pesan Heartbeat berbahaya sebelum sesi SSL/TLS sepenuhnya terbentuk.

Seorang penyerang dapat bergabung dengan jaringan publik dan menyadap calon korban. Ketika calon korban menggunakan klien yang rentan untuk membentuk koneksi SSL/TLS dengan server yang sah, penyerang kemudian mengarahkan kembali koneksi ke server yang berbahaya.

Sebelum koneksi SSL/TLS sepenuhnya terbentuk dan memiliki kesempatan untuk memblokir setiap pengarahan kembali, penyerang dapat mengirim pesan Heartbeat berbahaya untuk mengekstraksi konten dari memori komputer korban. Hal ini bisa meliputi data pribadi seperti kredensial otentifikasi.

Gambar b: Bagaimana seorang penyerang dapat membajak dan mengarahkan kembali klien yang rentan ke jaringan bersama yang terbuka.

0 komentar: