Owasp Top 10 Series — A6 (Vulnerable and Outdated Components) [Indonesia]
Assalamualaikum Wr Wb.
Pada article saya kali ini pada series Owasp Top 10, kali ini saya ingin menjelaskan tentang OWASP Top 10 urutan ke enam yaitu Vulnerable and Outdated Components, sebelum ke inti topik, alangkah lebih baik saya membahas dulu apa itu Owasp & apa itu Owasp Top 10?
OWASP Foundation | Open Source Foundation for Application Security
OWASP singkatan dari Open Web Application Security Project, adalah sebuah project keamanan web aplikasi open source yang diperkasai oleh banyak penggiat teknologi & pengembang aplikasi, berguna untuk mengembangkan sebuah teknologi keamanan aplikasi, OWASP juga sering membuka forum diskusi, seminar, dan pendidikan untuk para pengembang aplikasi.
Apa itu OWASP TOP 10? owasp top 10 adalah pengkategorian sebuah resiko kerentanan yang sering terjadi pada sebuah aplikasi, diawali dari urutan teratas (dengan tingkat resiko tertinggi) sampai terbawah (tingkat resiko cukup rendah), chart seperti ini dibutuhkan oleh pengembang aplikasi untuk lebih aware terhadap kerentanan yang mungkin akan sering terjadi pada aplikasi-aplikasi yang di develop.
Salah satu yang akan saya bahas di artikel ini adalah urutan keenam.
Untuk tahun 2021, ialah Vulnerable and Outdated Components
Vulnerable and Outdated Components ialah kondisi dimana pengembang lupa / masih menggunakan sebuah aplikasi / framework / library / komponen versi lawas (outdated), dan pengembang lupa / tidak melakukan pengecheckan apakah aplikasi sudah dilakukan patching / updating.
Hal ini sering terjadi pada aplikasi-aplikasi di indonesia, kerap kali membuat banyak services / aplikasi namun saking banyaknya, sampai beberapa aplikasi lain tidak ter-maintainance dengan baik, akhirnya terbengkalai, banyak attacker menggunakan vulnerabilty pada aplikasi yang sudah outdated.
Praktikal
1. GitHub — kozmer/log4j-shell-poc: A Proof-Of-Concept for the recently found CVE-2021–44228 vulnerability.
Pada case pertama ini adalah salah satu contoh vulnerability yang disebabkan karena service apache log4j versi lama yaitu log4j 1 (2.17.0) dan log4j (2.14.1), jika pengembang tidak melakukan update / patching terhadap service tersebut maka vulnerability yang ada pada aplikasi tersebut akan terus ada, dan takutnya akan di manfaatkan oleh attacker untuk mengakses data internal.
2. PHP 8.1.0-dev — ‘User-Agentt’ Remote Code Execution — PHP webapps Exploit (exploit-db.com)
Pada case kedua ini salah satu kerentanan yang ada pada versi PHP 8.1.0-dev, jika pengembang aplikasi tidak melakukan update ke versi PHP terbaru yakni maka aplikasi tersebut berkemungkinan besar terkena kerentanan tersebut.
3. GitHub — ryaagard/CVE-2021–4034: Local Privilege Escalation in polkit’s pkexec
Pada case ketiga ini terdapat kerentanan pada sebuah binary yang dapat menjalankan sebuah perintah atas permission pemilik file (SUID), dalam hal ini pemilik dari binary file tersebut adalah root, kerentanan tersebut terjadi pada komponen polkit sejak polkit dibuat tahun 2009, maka bisa dibilang kerentanan tersebut telah ada selama 12 tahun, jadi akan menjadi resiko tinggi terhadap keamanan suatu sistem, jika sistem tidak mengupdate komponen tersebut.
Mitigasi
Lakukan pengecheckan berkala untuk beberapa services / aplikasi / komponen yang digunakan baik firstpary maupun thirdparty, lakukan patching / updating sesegera mungkin untuk meredam resiko peretasan.
Beberapa kerentanan lain di list CWE:
CWE-937 OWASP Top 10 2013: Using Components with Known Vulnerabilities
CWE-1035 2017 Top 10 A9: Using Components with Known Vulnerabilities
CWE-1104 Use of Unmaintained Third Party Components
