Ketika berada di dunia internet, kamu harus menyadari adanya ancaman siber (cyber threat) dan pentingnya keamanan siber (cyber security). Bagaimana tidak, data yang kamu input di internet mungkin saja disalahgunakan oleh pihak tak bertanggung jawab. Di artikel ini, kamu akan mempelajari pengertian tentang CVE (Common Vulnerabilities and Exposures) agar kamu dapat lebih berhati-hati.
Pengertian Tentang CVE (Common Vulnerabilities and Exposures)
Common Vulnerabilities and Exposures atau CVE adalah daftar yang menampilkan keamanan informasi apa saja pada suatu software atau firmware yang cukup rentan hingga berpotensi mendapat serangan siber. CVE diluncurkan oleh sebuah organisasi non profit, MITRE, dan kamu bisa menemukan ‘kamus’ mengenai vulnerabilities dan exposures menggunakan fitur CVEChecker di website MITRE CVE.
Biasanya, penyerang cyber akan menggunakan celah pada software atau website untuk dibobol, baik berupa serangan bug atau virus. Namun, kemungkinan hal ini akan terjadi bisa diperkecil dengan CVE, penyerang atau hacker biasanya akan memanfaatkan celah tersebut untuk mengganggu fungsi website yang dijadikan sebagai target. Ada beberapa jenis CVE yang biasanya digunakan, tergantung CVE ID-nya.
Baca Juga: Apa Itu Common Weakness Enumeration (CWE)?
CVE-2018-6389
Di tahun 2018, sempat viral CVE-2018-689, yaitu ketika CVE ID mendapatkan bug WordPress DoS (Denial of Service) Attack yang memungkinkan penyerang memanfaatkan load-script dan load-style.php pada WordPress.
Kerentanan atau vulnerability pada load-script ini ditemukan oleh Barak Tawily, Security Researcher asal Israel. Script default WordPress tersebut memproses permintaan yang diakses pengguna.
Contoh:
https://example.com/wp-admin/load-scripts.php?load=wp-polyfill,lodash,moment,wp-api-fetch,wp-data,wp-date,editor,utils,common,wp-sanitize,sack,quicktags,colorpicker,clipboard,wp-fullscreen-stub,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-reply,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrate,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-bar,wplink,wpdialogs,word-count,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embed,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,site-health,privacy-tools,updates,farbtastic,iris,wp-color-picker,dashboard,list-revisions,,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter
Akibat load-scripts.php dapat diakses oleh publik, penyerang akhirnya dapat memanfaatkan celah tersebut untuk mengirimkan permintaan atau request sebesar 3 MB secara terus-menerus dan berulang-ulang sehingga dapat menyebabkan server overload.
Setelah penyerang berhasil mengirimkan lebih dari 500 permintaan, kemudian server kewalahan menangani permintaan tersebut sehingga menjadi overload dan website akan mengalami error 502 Bad Gateway akibat server tidak dapat melayani permintaan.
Baca Juga: Apa itu Cyber Crime? Penjelasan dan 13 Jenisnya
Namun, masalah CVE sebenarnya dapat diatasi dengan melakukan penambahan script pada .htaccess website WordPress kamu menggunakan perintah berikut.
RewriteRule ^wp-admin/load-scripts\.php$ – [R=403,L]
Script tersebut memberikan perintah pada server untuk memberikan respon 403 Forbidden jika ada permintaan dari pengguna yang mencurigakan.
Simpulan
Itulah penjelasan soal apa itu CVE. Jenisnya juga beragam, tergantung CVE ID yang digunakan. Selain CVE, kamu juga bisa mengetahui serangan apa saja yang mungkin menimpamu dari artikel 5 Cara Penting Melindungi Website dari Serangan Hacker. Jika kamu masih ragu dengan keamanan website yang menggunakan hosting di Dewaweb, jangan sungkan untuk mengirimkan pertanyaanmu ke Ninja Support Dewaweb yang siap membantumu 24 jam setiap hari!
Demikian artikel pengertian tentang CVE (Common Vulnerabilities and Exposures) ini, jangan sungkan untuk meninggalkan ide-ide topik yang ingin kamu baca di blog Dewaweb, ya! Semoga artikel ini membantu!
