Security Misconfiguration

Apa itu Security Misconfiguration ? Rating Resiko Security Misconfiguration

Security Misconfiguration adalah masalah yang paling sering Agen Penyerang Arah Penyerangan Keamanan Dampak
dijumpai. Ini biasanya akibat konfigurasi default, konfigurasi
tidak lengkap atau konfigurasi ad hoc, penyimpanan cloud
Serangan Kelemahan Kontrol Teknis Bisnis
terbuka, salah konfigurasi Header
HTTP, dan error message yang Serangan
berisi informasi sensitif.

Rate : Eksploitasi : 3 Prevalensi : 3 Terdeteksi : 3 Teknis : 2 Bisnis : ?

Terjadinya Kerentanan Bagaimana Menanganinya ? Contoh Skenario Serangan

Aplikasi tersebut mungkin rentan jika aplikasinya:
● Tidak ada pengerasan keamanan yang sesuai di
semua bagian tumpukan aplikasi, atau izin yang tidak
dikonfigurasi dengan benar pada layanan cloud.
● Fitur yang tidak perlu diaktifkan atau di instal
(misalnya port, layanan, halaman, akun, atau hak
istimewa yang tidak perlu).
● Akun default dan kata sandinya masih aktif dan tidak
berubah.
● Penanganan kesalahan mengungkapkan jejak
tumpukan atau pesan kesalahan yang terlalu
informatif kepada pengguna.
● Untuk sistem yang ditingkatkan, fitur keamanan
terbaru dinonaktifkan atau tidak dikonfigurasi dengan
aman.
● Pengaturan keamanan di server aplikasi, aplikasi
framework (misalnya Struts, Spring, ASP.NET),
perpustakaan, basis data, dll. tidak disetel ke nilai
aman.
● Server tidak mengirim tajuk atau arahan keamanan
atau tidak disetel ke nilai aman.
● Perangkat lunak sudah usang atau rentan
(lihat A9: Komponen Penggunaan 2017
dengan Kerentanan yang Diketahui).
Tanpa proses konfigurasi keamanan aplikasi yang
terpadu dan berulang, sistem berada pada risiko
yang lebih tinggi.
Proses instalasi yang aman harus diterapkan, termasuk:
• Proses pengerasan berulang yang membuat cepat dan
mudah untuk mendeploy pada lingkungan lain yang terkunci
dengan benar. Pengembangan, QA, dan lingkungan produksi
semuanya harus dikonfigurasi secara identik, dengan
kredensial berbeda yang digunakan di masing-masing
lingkungan. Proses ini harus otomatis untuk meminimalkan
upaya yang diperlukan untuk menyiapkan lingkungan baru
yang aman.
• Platform minimal tanpa fitur yang tidak perlu, komponen,
dokumentasi, dan sampel. Hapus atau jangan instal fitur dan
kerangka kerja yang tidak digunakan.
• Sebuah tugas untuk meninjau dan memperbarui konfigurasi
yang sesuai dengan semua catatan keamanan, pembaruan
dan patch sebagai bagian dari proses manajemen (lihat A9:
2017-Menggunakan Komponen dengan Kerentanan yang
Diketahui). Secara khusus, tinjau penyimpanan cloud izin
(misalnya izin bucket S3).
• Arsitektur aplikasi tersegmentasi yang memberikan
efektivitas, pemisahan yang aman antara komponen atau
penyewa, dengan segmentasi, containerization, atau grup
keamanan cloud.
• Mengirim arahan keamanan kepada klien,
contoh. Security Header.
• Proses otomatis untuk memverifikasi
keefektifan konfigurasi dan pengaturan
di semua lingkungan.
Skenario 1 : Server aplikasi dilengkapi dengan sampel aplikasi yang tidak dihapus dari server
produksi.
Contoh aplikasi ini memiliki kelemahan keamanan yang diketahui penyerang
gunakan untuk membahayakan server. Jika salah satu dari aplikasi ini adalah
konsol admin, dan akun default tidak berubah penyerang masuk dengan kata
sandi default dan mengambil alih.
Skenario 2 : Daftar direktori tidak dinonaktifkan di server. Sebuah penyerang menemukan
bahwa mereka dapat dengan mudah mencantumkan direktori. Penyerang
menemukan dan mendownload kelas Java yang dikompilasi, yang mereka
mendekompilasi dan merekayasa balik untuk melihat kode. Penyerang kemudian
menemukan cacat kontrol akses yang serius dalam aplikasi.
Skenario 3 : Konfigurasi server aplikasi memungkinkan pesan kesalahan mendetail,
mis. jejak tumpukan, untuk dikembalikan ke pengguna.
Ini berpotensi mengungkap informasi sensitif
atau kelemahan yang mendasarinya
seperti versi komponen yang dikenal rentan.
Skenario 4 : Penyedia layanan cloud memiliki berbagi default izin terbuka
ke Internet oleh pengguna CSP lainnya.Ini memungkinkan
data sensitif yang disimpan dalam penyimpanan cloud
untuk diakses.
Referensi
OWASP
* OWASP Testing Guide: Configuration Management
* OWASP Testing Guide: Testing for Error Codes
For additional requirements in this area, see the Application Security Verification Standard V19
Configuration.
External
* NIST Guide to General Server Hardening * CWE-2: Environmental Security Flaws
* CIS Security Configuration Guides/Benchmarks * CWE-388: Error Handling
* CWE-16: Configuration * Amazon S3 Bucket Discovery and Enumeration