Perl/Santy.A       23 Desember 2004

Apakah Google menyelamatkan anda dari "Santy" ?

 

 

      "This site is defaced!!!" yang kira-kira berarti "Tampilan website ini berubah"  (tanpa sepengetahuan administrator). Kejutan ini dialami oleh ribuan website yang menjalankan phpBB (Bulletin Board) 2.X yang versinya < 2.0.11 sejak tanggal 21 Desember 2004, namun menurut perkembangan terakhir yang dipantau oleh Vaksincom, penyebaran Santy.A ini sudah dapat dihentikan dengan efektif sejak Google yang sarananya digunakan oleh Santy.A untuk menyebarkan dirinya melakukan bloking sehingga Santy.A tidak dapat meneruskan aksinya walaupun hal ini tidak menjamin penghentian varian berikutnya dari Santy . Sangat menyenangkan melihat keperdulian korporat besar seperti Google atas kepentingan para pengguna internet dunia dimana mereka bersedia melakukan usaha yang signifikan demi kepentingan umum meskipun sebenarnya hal ini bukan tanggungjawabnya dan merupakan tanggungjawab para pengguna phpBB itu sendiri untuk mengupgrade Bulletin Boardnya. Semoga keperdulian atas kepentingan bersama ini dapat diikuti oleh para korporat besar Indonesia juga :), khususnya yang bergerak dibidang IT.

 

Apa itu phpBB

php adalah bahasa pemrograman OpenSource yang sangat banyak digunakan oleh situs web (server site scripting) untuk memberikan tampilan yang menarik dan proses scripting lain pada situs web. php sendiri pada awalnya merupakan singkatan dari Personal Home Page, namun dalam perkembangannya php digunakan oleh puluhan juta website diseluruh dunia baik perorangan maupun korporat sehingga tidak cocok lagi disebut sebagai Personal Home Page dan banyak yang lebih senang menyebutnya sebagai php saja, beberapa kalangan menguraikan php sebagai singkatan dari Hypertext pre Processor atau Pre Hypertext Processor. phpBB itu sendiri merupakan Buletin Board yang paling banyak digunakan oleh situs web diseluruh dunia. Bulletin Board adalah Forum dalam suatu situs yang digunakan untuk berkomunikasi dua arah bagi para pengakses situs, dapat digunakan sebagai sarana tanya jawab atau menyampaikan informasi dua arah. Salah satu contoh forum adalah http://forum.vaksin.com yang merupakan forum tanya jawab virus bagi pengakses situs web Vaksin.com.

 

Higlight Vulnerability

Seperti kita ketahui bersama, software / piranti lunak adalah buatan manusia dan pada dasarnya buatan manusia tidak ada yang sempurna, selalu ditemukan kesalahan pemrograman yang dalam kasus tertentu menyebabkan celah keamanan software tersebut. Celah keamanan dapat memberikan akses kepada pihak yang tidak berhak untuk menjalankan aplikasi / kode pada komputer yang mengandung celah keamanan yang jika dimanfaatkan dengan baik akan berakibat pengambilalihan kendali atas komputer korban.

Dalam kasus phpBB vulnerability ini terjadi kesalahan dalam perintah higlight yang terdapat pada file viewtopic.php yang jika dieksploitasi dengan baik memungkinkan bagi pihak luar untuk menjalankan perintah tertentu, melakukan SQL injection ataupun serangan cross side scripting. Dalam kasus Santy.A ini aksi yang dilakukan adalah merubah tampilan website dengan kalimat : (lihat gambar 1)

 

Gambar 1, Aksi Santy.A merubah website

 

Peran positif Google

Bagaimana Santy.A bisa mengetahui situs mana saja yang menggunakan phpBB dalam rimba belantara internet ini ? Jawabannya mudah, Santy.A memanfaatkan Google untuk mencari semua website yang mengandung file viewtopic.php, setelah mendapatkan alamat korbannya maka Santy.A menjalankan aksinya dengan mengirimkan kode tertentu untuk "menaklukkan" website tersebut dan mengganti semua file

.asp, .htm, .jsp, .php, .phtm dan .shtm dengan file html yang telah dipersiapkan terlebih dahulu sehingga tampilannya akan seperti Gambar 1. Untungnya :) aksi yang dilakukan oleh Santy.A hanya deface komputer saja, coba anda bayangkan jika pembuatnya menggunakan semua komputer yang terinfeksi untuk menyerang satu website tertentu seperti varian MyDoom yang menyerang sco.com yang berakibat lumpuhnya website sco.com.

Dari uraian di atas, kita dapat mengetahui bahwa Google tidak memiliki hubungan dengan php dan bukan Google yang bertanggungjawab atas semua website yang terinfeksi Santy.A, namun mereka mau perduli dan pada tanggal 22 Desember (Hari IBU :)) atau 7 jam setelah mendapatkan laporan dari F-Secure mereka melakukan penyaringan atas semua permintaan yang dilakukan oleh Santy.A dan membloknya sehingga secara efektif penyebaran Santy.A berhasil dihentikan, sebagai "bonus" Google juga memberikan listing website mana saja yang berhasil di infeksi oleh Santy.A. Bukannya bangga atau menepuk dada sudah perduli atas kepentingan bersama, Google malahan menyatakan bahwa mereka akan melakukan evaluasi ke dalam guna bereaksi lebih cepat lagi di masa depan jika menemukan kasus serupa dimasa depan :) tepuk tangan untuk Google dan F-Secure.

Tetapi, jika kita kembali melihat akar permasalahan, sebenarnya masalah utama adalah celah keamanan phpBB yang harus ditutupi dan bukan dengan meminta Google memblok query Santy.A, bagaimana nanti kalau muncul Santy.B, Santo.A atau Cecep.C yang tidak menggunakan Google untuk mencari korbannya, atau mereka memiliki kemampuan mencari sendiri calon korbannya ? Jawabannya adalah kembali kepada Administrator website atau hosting provider, kesadaran untuk melakukan patching atas celah keamanan harus ditingkatkan sehingga apapun sarana yang digunakan oleh worm tidak akan berhasil menembus komputer yang telah diamankan dengan disiplin. Karena itu, salah satu hal yang perlu anda pertimbangkan dalam memilih hosting provider adalah ketanggapan administratornya dalam merawat webserver anda.

 

Detail eksploitasi

phpBB yang rentan atas eksploitasi ini adalah versi :

  • phpBB Group phpBB 2.0 .0

  • phpBB Group phpBB 2.0.1

  • phpBB Group phpBB 2.0.2

  • phpBB Group phpBB 2.0.3

  • phpBB Group phpBB 2.0.4

  • phpBB Group phpBB 2.0.5

  • phpBB Group phpBB 2.0.6

  • phpBB Group phpBB 2.0.7

  • phpBB Group phpBB 2.0.8

  • phpBB Group phpBB 2.0.9

  • phpBB Group phpBB 2.0.10

 

dan bagi anda yang menggunakan phpBB versi tersebut di atas (sangat) disarankan untuk mengupgrade ke versi terakhir phpBB 2.0.11 http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636. Sebenarnya ada cara yang cukup cepat (karena mengupgrade phpBB ke versi 2.0.11 cukup merepotkan dan memakan waktu lama) yaitu mengedit file viewtopic.php (gunakan notepad) yang mengandung kode :

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

   for($i = 0; $i < sizeof($words); $i++)
   {

dengan

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

   for($i = 0; $i < sizeof($words); $i++)
   {

 

Jika anda ingin mengetahui kode tag html yang di jalankan oleh Santy.A adalah sebagai berikut :

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
        <HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
        <BODY bgcolor="#000000" text="#FF0000">;
        <H1 >This site is defaced!!!</H1>;
        <HR>;
        <ADDRESS>< b>NeverEverNoSanity WebWorm generation } .
 $generation .q{.< /b
></ADDRESS>
        </BODY>
        </HTML>

Catatan khusus

Celah keamanan highlight vulnerability ini diumumkan pada tanggal 19 November 2004 dan sebulan kemudian virus yang memanfaatkan celah keamanan ini muncul menjalankan aksinya, hal ini menunjukkan waktu munculnya virus dari saat pertama kali celah keamanan diumumkan meningkat, bahkan untuk virus windows seperti Sasser hanya membutuhkan waktu 17 hari dari saat pertamakali celah keamanan LSASS diumumkan. Karena itu anggapan bahwa aplikasi dari vendor tertentu saja yang rentan terhadap serangan virus terlihat mulai dipatahkan karena dalam kenyataanya yang akan diincar oleh virus adalah aplikasi yang paling banyak digunakan karena pembuat virus akan berusaha menimbulkan dampak maksimal dari setiap virus yang diciptakannya.

Untuk Indonesia sendiri, tercatat ada satu website yang menggunakan phpBB yang vulnerable dan berhasil diinfeksi oleh Santy.A (tanggal 21 Desember 2004 pukul 11.33 AM), namun berdasarkan pengamatan kami administrator website tersebut cukup tanggap dan pada saat pembuatan artikel ini website tersebut sudah bebas dari Santy.A. (lihat Gambar 2)

 

Gambar 2

Website Indonesia yang terinfeksi Perl/Santy.A, disini terlihat bahwa index.html tidak berhasil dirubah oleh Santy.A tetapi semua link ke anak web berhasil dirubah oleh Santy, angka 6 pada WebWorm generation menunjukkan bahwa ini adalah replikasi Santy.A ke enam.

 

Sumber :

http://www.europe.f-secure.com/weblog/

http://www.securityfocus.com/bid/11672

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636

http://www.phpbb.com/phpBB/viewtopic.php?t=240513

http://secunia.com/advisories/13239

http://isc.sans.org/diary.php?date=2004-12-21

http://news.zdnet.co.uk/internet/security/0,39020375,39181656,00.htm

http://juicystudio.com/tutorial/php/

 

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com