Telko.id – Sebuah kerentanan keamanan yang mematikan baru telah ditemukan di OpenSSL yang mempengaruhi lebih dari 11 juta situs web modern dan layanan e-mail yang dilindungi oleh protokol keamanan kuno, transport layer, serta Secure Sockets Layer (SSLv2).
Dijuluki ‘Drown’, merupakan sebuah lubang keamanan yang sangat penting dalam OpenSSL yang juga sebagai serangan yang bersifat low-cost namun mampu mendekripsi data sensitif, komunikasi HTTPS aman si pengguna, termasuk juga password dan rincian kartu kredit dalam hitungan jam. Ucap 15 tim peneliti keamanan dari berbagai perguruan tinggi dan masyarakat kepada TheHackerNews (3/3).
“Kami sudah bisa mengeksekusi serangan terhadap versi OpenSSL yang rentan terhadap CVE-2016-0703 di bawah satu menit menggunakan satu PC. Bahkan untuk server yang tidak memiliki bug tertentu, varian umum serangan itu, yang bekerja terhadap server SSLv2, dapat dilakukan di bawah 8 jam dengan biaya total $ 440,” ucap tim keamanan tadi.
Lantas, apa itu Drown Attack dan bagaimana mereka menyerang TLS?
Drown sendiri merupakan singkatan dari Decrypting RSA with Obsolete and Weakened eNcryption, yang mana Drown merupakan serangan lintas-protokol yang menggunakan kelemahan dalam pelaksanaan SSLv2 terhadap keamanan lapisan transport (TLS), dan tentunya dapat mendekripsi secara pasif sesi TLS dan mengumpulkannya dari ‘up-to-date klien’.
Sementara versi terbaru tidak mengizinkan koneksi SSLv2 secara default, administrator kadang-kadang tidak sengaja menimpa pengaturan tersebut dalam upaya untuk mengoptimalkan aplikasi yang ada.
Anda akan memiliki banyak resiko jika sertifikat situs Anda atau kunci yang digunakan di tempat lain pada server yang tidak mendukung SSLv2, “kata peneliti keamanan.” Contoh umum termasuk SMTP, IMAP, dan server POP mail, serta server HTTPS sekunder yang digunakan untuk aplikasi web tertentu,” tambahnya.
Drown Attack dapat memungkinkan penyerang untuk mendekripsi koneksi HTTPS dengan mengirimkan paket berbahaya khusus yang dibuat untuk server atau sertifikat tersebut yang dibagi pada server lain, paket ini berpotensi melakukan serangan Man-in-the-Middle (MITM).
Jika kita kembali ke era 1990-an ketika SSLv2 secara sengaja atau secara otomatis diaktifkan saat menyiapkan server baru, kita dapat menemukan alasan kenapa Drown bisa bekerja. Pengaktifan sistem ini karena dukungan dari cipher lemah yang ditambahkan ke semua versi SSL dan TLS sebelum tahun 2000 sebagai bagian dari peraturan ekspor pemerintah Amerika Serikat.
Bahkan, server yang aman sekalipun juga dapat terkena hacking karena mereka berada di jaringan yang sama dengan server yang rentan tadi. Dengan menggunakan serangan Bleichenbacher, kunci RSA swasta dapat didekripsi, dan tentunya mampu membuka gate server yang aman tadi dengan menggunakan kunci pribadi yang sama.
Bagaimana Mematikan OpenSSL Drown Attack?
Lebih dari 33 persen dari semua server HTTPS rentan terhadap serangan ini. Tercatat, krisis keretakan telah mempengaruhi 11,5 Juta server di seluruh dunia, termasuk beberapa situs top Alexa, seperti Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared dan Samsung, rentan terhadap serangan Drown Attack melalui MITM tadi.
Namun, ada cara untuk menahan gempuran dari serangan ini, seperti open source OpenSSL, Microsoft Internet Information Services (IIS) versi 7 dan sebelumnya, serta Network Security Service (NSS) juga mampu untuk meredam Drown Attack.
Bukan hanya itu, Anda dapat mengetahui apakah website Anda rentan terhadap lubang keamanan yang kritis ini menggunakan situs uji Drown Attack.
Kabar baiknya adalah bahwa peneliti akademis menemukan lubang keamanan Drown dan patch untuk kerentanan telah dibuat dan tersedia dalam update OpenSSL terbaru.
Sementara kabar buruknya adalah bahwa serangan Drown hanya memerlukan waktu kurang dari satu menit untuk mengeksploitasi dan bug tersebut telah dibeberkan kesemua orang. Hal ini sejatinya dapat dimanfaatkan oleh para hacker untuk menyerang server secara aktif.
Namun, anda masih bisa menggunakan beberapa cara untuk memproteksi kerentanan ini. Seperti, pengguna OpenSSL 1.0.2 sangat disarankan untuk meng-upgrade ke OpenSSL 1.0.2g dan pengguna OpenSSL 1.0.1 dianjurkan untuk meng-upgrade ke OpenSSL 1.0.1s.
Dan jika Anda menggunakan versi lain dari OpenSSL untuk keamanan, Anda harus naik ke versi yang lebih baru seperti 1.0.2g atau 1.0.1s.
Dalam rangka untuk melindungi diri terhadap serangan Drown, Anda harus memastikan SSLv2 dinonaktifkan, serta memastikan bahwa kunci pribadi tidak dibagi di server lain.