B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
Berdasarkan Keputusan Kepala BSSN Nomor 293 Tahun 2023 tentang Pelayanan Publik, BSSN memiliki 9 macam layanan salah satunya adalah layanan Information Technology Security Assessment (ITSA). ITSA merupakan kegiatan pengujian terhadap keamanan sistem elektronik untuk mengidentifikasi dan mengevaluasi potensi risiko keamanan informasi serta memberikan rekomendasi berdasarkan temuan kerentanan. Selama tahun 2023 BSSN telah melaksanakan kegiatan ITSA pada 138 instansi dengan jumlah 586 sistem elektronik yang telah diuji dan temuan sebanyak 2.860. Sistem elektronik yang diuji meliputi aplikasi web, mobile dan infrastruktur. Kerentanan yang ditemukan dibagi menjadi beberapa kategori berdasarkan tingkat risiko yaitu critical, high, medium, low dan info. Dari 2.860 kerentanan, terdapat 418 kerentanan kategori critical, 533 kerentanan kategori high, 486 kerentanan kategori medium, 846 kerentanan kategori low dan 577 katagori info. Berdasarkan seluruh kerentanan yang terdeteksi, berikut 5 (lima) kerentanan dengan tingkat risiko critical (Direktorat Operasi Keamanan Siber, 2023):
1. Insecure Direct Object Reference (IDOR)
IDOR merupakan kerentanan yang muncul ketika penyerang dapat mengakses atau memodifikasi objek dengan memanipulasi parameter pada URL web, karena tidak adanya pemeriksaan atau verifikasi pengguna dalam proses akses[8]. Untuk mengatasi kerentanan IDOR, sistem harus menerapkan kontrol akses yang ketat, menerapkan verifikasi pengguna dan menggunakan enkripsi pada parameter supaya tidak mudah ditebak.
2. Broken Access Control (BAC)
Broken Access Control merupakan kerentanan urutan pertama dalam OWASP Top 10 dengan kode A01:2021-Broken Access Control (OWASP Foundation, 2021) yang terjadi ketika pengguna dapat melakukan akses, memodifikasi atau merusak seluruh data di luar izin kewenangannya[9]. Kerentanan ini dapat menjadi celah penyerang untuk mendapatkan akses yang tidak sah dari suatu aplikasi. BAC dapat dicegah dengan menerapkan kebijakan akses yang ketat, pada sisi client maupun server.
3. SQL Injection
SQL Injection merupakan jenis serangan injeksi yang memungkinkan penyerang melakukan input kode eksploit tertentu sehingga dapat melakukan bypass untuk mendapatkan akses langsung ke basis data aplikasi[10]. Serangan ini menjadi salah satu teknik dalam insiden data breach. Setelah penyerang mendapatkan akses basis data dan terdapat informasi critical maka penyerang dapat memperjual belikan data tersebut. Untuk mencegah terjadinya SQL Injection adalah menerapkan sanitasi dan validasi input pada semua form input aplikasi dan melakukan update aplikasi basis data secara berkala.
4. File Upload Vulnerability
File Upload Vulnerability terjadi ketika sebuah web server mengizinkan pengguna untuk mengunggah file ke dalam sistem tanpa adanya validasi nama, jenis, isi maupun ukuran dari file[11]. Kerentanan ini dapat dimanfaatkan oleh penyerang dengan mengunggah file php atau jsp untuk mendapatkan web shell dalam aplikasi. Untuk mengatasi file upload vulnerability penting untuk melakukan validasi ketat terhadap jenis dan ekstensi file yang diunggah, serta memeriksa keabsahan file sebelum melakukan eksekusi (Direktorat Operasi Keamanan Siber, 2023).
5. Privilege Escalation
Privilege escalation merupakan serangan yang dilakukan untuk mendapatkan akses yang tidak sah ke dalam sistem[12]. Serangan ini dapat berdampak pada pengambil alihan akun, kehilangan data, bahkan kerusakan sistem karena ketika penyerang mendapatkan kewenangan yang tinggi, dapat melakukan apa pun di luar perkiraan korban. Untuk menghindari serangan privilege escalation harus menerapkan prinsip pemisahan hak istimewa dan melakukan pembatasan akses yang ketat terhadap setiap role pengguna.
[8] https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html
[9] https://owasp.org/Top10/A01_2021-Broken_Access_Control/
[10] https://owasp.org/www-community/attacks/SQL_Injection
[11] https://portswigger.net/web-security/file-upload
[12] https://www.crowdstrike.com/cybersecurity-101/privilege-escalation/
Last updated