Selasa, 27 Desember 2016

Kecatatan Kritis PHPMailer Membuat Jutaan Website Memiliki Kerentanan Remote Exploit

Sebuah kerentanan kritis kali ini ditemukan di PHPMailer. Yang mana PHPMailer ini merupakan salah satu library open source PHP populer untuk mengirim email. Dan saat ini sudah tercatat sudah digunakan oleh lebih dari 9 juta user di seluruh dunia. Kerentanan PHPMailer yang kali ini ditemukan membuat jutaan website jadi memiliki kerentanan.
Jutaan website tersebut termasuk aplikasi web open source populer. Diantaranya WordPress, Drupal, 1CRM, SugarCRM, Yii, dan Joomla yang dilengkapi dengan library PHPMailer. Yang mana biasanya library ini bertujuan untuk mengirim email menggunakan berbagai metode. Termasuk SMTP untuk para usernya.
Kerentanan ini ditemukan oleh peniliti keamanan Polandia, Dawid Golunski dari Legal Hacker. Kerentanan kritis (CVE-2016-10033) ini memungkinkan penyerang meremote eksekusi kode arbitrary dalam konteks web server. Serta mengganggu aplikasi web target.
Untuk mengeksploitasi kerentanan, penyerang bisa menargetkan komponen website umum. Seperti formulir kontak/umpan balik, formulir pendaftaran, reset password email dan lain-lain. Yang mengirimkan email dengan bantuan versi yang rentan dari PHPMailer class,” Tulis Golunski dalam konsultasinya.
Kerentanan PHPMailer

Golunski sudah melaporkan kerentanan ini kepada para pengembangnya. Dan kerentanan ini pun sudah diperbaiki dalam rilisan baru merekaPHPMailer 5.2.18.
Semua versi dari PHPMailer dibawah versi PHPMailer 5.2.18 terpengaruh oleh kerentanan ini. Jadi para administrator web dan pengembang web yang menggunakan PHPMailer, sangat dianjurkan untuk mengupdate ke versi yang sudah memperbaiki kerentanan ini.

Masih Banyak Website Yang Memiliki Kerentanan Baru Ini

Saat artikel ini kami publish, masih banyak website yang belum mengupdate PHPMailer mereka. Dan masih tercatat jutaan website yang menggunakan PHPMailer masih memiliki kerentanan baru ini.
Namun, Golunski telah berjanji untuk merilis rincian lebih mengenai teknis tentang kerentanan ini dalam beberapa hari mendatang. Termasuk proof-of-concept exploit code dan video demonstrasinya.
Ketika para peniliti mempublikasikan hal tersebut, kami akan memperbarui artikel ini dengan informasi tambahan tentang kerentanan PHPMailer ini. Tentu juga, dengan exploit code dan video demonstrasinya.

Update: Exploit Code Untuk PHPMailer RCE Sudah Dipublikasikan

  • PHPMailer < 5.2.18 Remote Code Execution (CVE-2016-10033)
  • Discovered/Coded by: Dawid Golunski (@dawid_golunski) – https://legalhackers.com
Sebuah PoC sederhana (bekerja pada Sendmail MTA) ini akan menginjeksi parameter berikutuntuk perintah sendmail:
Yang mana akan menulis transfer log (-X) ke dalam file /var/www/cache/phpcode.php. File yang dihasilkan akan berisi muatan yang sah dalam isi pesan:
Inputan penyerang berasal dari sumber yang tidak dipercaya seperti $ _GET, $ _POST d.l.l. Misalnya dari form kontak.
mail() param injection via kerentanan dalam PHPMailer.
Jika pengeksploitasian sukses, maka hal tersebut bisa membiarkan penyerang dari jarak jauh mendapatkan akses ke server target. Sebuah akses dalam konteks account web server yang dapat memberikan suatu kompromi penuh atas aplikasi web,” kata Golunski.

0 komentar

Posting Komentar