Situs berbasis Anchor CMS mungkin secara tidak sengaja memperlihatkan password database mereka di log error yang bisa diakses publik.
Ditemukan oleh Tijme Gommers, Gommers mengatakan bahwa penyerang dapat menavigasi ke URL berikut dan mendownload salinan log error di situs, di mana dalam beberapa kasus, dia mungkin menemukan password database situs yang terpapar dalam teks mentah.
site-name[.]com/anchor/errors.log
1. Register on PublicWWW (https://t.co/DpQp4rtYEj)
2. Go to https://t.co/1mc01HdhaM
3. Pick a random blog created with AnchorCMS
4. Go to that-blog[dot]com/anchor/errors.log
5. Press [ctrl] + [f] and search for "password"
6. Database access granted pic.twitter.com/9JqxXQusLY— Tijme Gommers (@tijme) February 18, 2018
Menurut permintaan pencarian PublicWWW, ada hampir 500 situs Anchor CMS yang mudah ditemukan secara online berdasarkan atribut nama meta mereka.
Error 404 Cyber News juga telah menemukan password database dalam teks mentah untuk beberapa situs yang termasuk dalam hasil pencarian PublicWWW.
“File errors.log dimaksudkan untuk menjadi pribadi, namun, dengan pemasangan default AnchorCMS, maka pengaturan defaultnya yaitu publik,” kata Gommers kepada Error 404 Cyber News dalam percakapan pribadi.
Pengguna mungkin tidak menyadari pentingnya file ini, karena dokumen Anchor CMS tidak menyertakan saran khusus pada para webmaster untuk menyembunyikan file ini dari publik.
Anchor CMS mencatat kredensial database dalam teks mentah
“Ini adalah file yang mencatat kesalahan,” kata Gommers. “Ketika kesalahan MySQL dicatat, itu juga mencatat kredensial dalam argumen jejak [SQL].”
Salah satu skenario ketika kesalahan terjadi adalah ketika ada terlalu banyak koneksi konkuren ke server MySQL, skenario yang terjadi cukup sering di kebanyakan situs web pada satu titik atau lainnya.
Ini berarti bahwa jika error.log sudah cukup tua, pada akhirnya akan menyertakan entri untuk kesalahan ini, dan kredensial database MySQL, termasuk username, password, dan IP, semua yang dibutuhkan penyerang untuk terhubung ke server MySQL secara remote.
Gommers mengatakan bahwa dia tidak berencana melaporkan bug ini ke tim Anchor CMS. “Saya pikir lebih dari masalah DevOps,” kata Gommers kepada kami.
Peneliti keamanan percaya pemilik situs seharusnya tidak membiarkan akses ke file error.log di tempat publik.
“Bila ingin terus menggunakan AnchorCMS, saya sarankan untuk menonaktifkan akses publik ke file *.log melalui file htaccess misalnya,” kata Gommers.
Pengembang Anchor CMS tidak tersedia untuk berkomentar mengenai artikel ini dan masalah keamanan sebelum dipublikasikan, namun tim Anchor CMS juga harus mencatat masalah ini.
