Thursday, October 2, 2014

Masih Tentang Shellshock Bash, OpenVPN Rawan Banget Katanya Bro!!! (Bener gak Sih?)

wihartoyo wihartoyo     Thursday, October 02, 2014     No comments

Buset, ini tema bener-bener bikin geger.  Banyak postingan di komunitas-komunitas pengamanan informasi.  Yang terakhir yang cukup bikin sedikit terhenyak itu, katanya OpenVPN itu katanya rawan ditumpangi gara-gara celah shellshock. Wadaw.....! Untung! Lha kok untung? Ya, karena kita gak make OpenVPN.  Tapi kasian banget ya..., udah pun pernah digoncang sama HeartBleed, sekarang kena lagi Shellshock. Wataw....!

Trus ngomong-ngomong, gimana tuh ceritanya, kok OpenVPN bisa dianggep rawan? Ceritanya begini nih, mister Fredrick Stromberg cofounder dari Mullvad, sebuah perusahaan di Swedia bilang kalo OpenVPN ntuh bisa disusupin sama heker lewat bolongan yang namanya shellshock ini.

Mister Stromberg ni bilang, serangan kepada OpenVPN bisa menjadi sangat serius karena terjadi pada saat pre-otentikasi, sehingga membuat komunikasi yang seharusnya aman menjadi berisiko,  Nah lo....

"OpenVPN memiliki sejumlah pilihan konfigurasi yang dapat menjalankan perintah buatan sendiri (custom command), pada beberapa tahap dari sesi tunnel. Beberapa dari perintah ini dijalankan melalui beberapa environment variabel.  Dan beberapa diantaranya bisa dikontrol oleh client," kata mister Stromberg, "Satu opsi yang digunakan untuk mengotentikasi username+password adalah 'auth-user-pass-verify.' Apabila script yang menjalankannya menggunakan shel yang bolong, dengan mudah client akan mengirimkan exploit dan payload dengan melakukan setting username."  Waw.....! Dahsyat!!!

Tapi bro Gert Doering, mewakili komunitas opensource OpenVPN menyatakan bahka lobang ini bisa dengan mudah ditangani (sementara mungkin) dengan tidak menggunakan BASH.  Sebaiknya default shell menggunakan '/bin/sh' dan bukan '/bin/bash'.

"Apa yang anda perlu lakukan dari sudut pandang OpenVPN adalah meyakinkan bahwa anda tidak lagi menggunakan versi 2.2.x, dan kemudian jangan jalankan script menggunakan bash ("#!/bin/bash") tapi gunakan shell yang lebih baik dalam penggunaan script, seperti ash/dash," kata bro Doering. "Juga, selalu gunakan client certificate sebagai username verification script yang mana vektor serangan hanya akan berjalan setelah berlaukan verifikasi client certificate yang berhasil. Dan pastinya, jangan lupa meng-update system anda secara teratur."



0 komentar :

Berita PostgreSQL

Recommended