Peringatan Teknis US-CERT (TA16-144A)

Kerentanan Benturan Nama WPAD

Berikut ini adalah artikel selengkapnya dari Peringatan Teknis US-CERT - Kerentanan Benturan Nama WPAD, yang dipublikasikan pada tanggal 23 Mei 2016.

Sistem yang Terpengaruh

  • Windows, OS X, sistem Linux dan peramban web dengan WPAD yang diaktifkan
  • Jaringan yang menggunakan TLD yang tidak terdaftar atau tidak dibatasi

Ikhtisar

Pertanyaan Sistem Nama Domain (DNS) Web Proxy Auto-Discovery (WPAD) yang ditujukan untuk resolusi server pribadi atau DNS perusahaan telah diamati mencapai server DNS publik [1]. Dalam kombinasi dengan penggabungan program domain tingkat atas umum (gTLD) baru dari gTLD yang tidak didelegasikan sebelumnya untuk pendaftaran umum, pertanyaan WPAD yang bocor bisa mengakibatkan terjadinya benturan nama domain dengan skema penamaan jaringan internal [2] [3]. Pendaftar domain yang tidak bertanggung jawab bisa menyalahgunakan benturan ini dengan mengonfigurasi proksi eksternal untuk lalu lintas jaringan dan mengaktifkan serangan man-in-the-middle (MitM) di Internet.

Keterangan

WPAD merupakan protokol yang digunakan untuk memastikan semua sistem dalam suatu organisasi menggunakan konfigurasi proksi web yang sama. Daripada memodifikasi konfigurasi setiap perangkat yang terhubung ke jaringan secara terpisah, WPAD menempatkan berkas konfigurasi proksi dan menerapkan konfigurasi tersebut secara otomatis.

Penggunaan WPAD diaktifkan secara default pada semua sistem operasi Microsoft Windows dan peramban Internet Explorer. WPAD didukung tetapi tidak diaktifkan secara default pada sistem operasi berbasiskan Mac OS X dan Linux, serta peramban Safari, Chrome, dan Firefox.

Dengan program gTLD baru, string gTLD yang sebelumnya tidak didelegasikan sekarang menjadi didelegasikan untuk pendaftaran nama domain publik [3]. String ini bisa digunakan oleh jaringan privat atau perusahaan, dan dalam kondisi tertentu, seperti saat di mana komputer kerja terhubung dari jaringan rumah atau jaringan eksternal, pertanyaan DNS WPAD bisa diajukan secara keliru ke server DNS publik. Penyerang bisa memanfaatkan pertanyaan WPAD yang bocor tersebut dengan mendaftarkan domain yang bocor dan menyiapkan berkas konfigurasi proksi MitM di Internet.

Layanan lainnya (misalnya, mail dan situs web internal) juga bisa mengirimkan pertanyaan DNS dan mencoba untuk terhubung ke nama DNS internal yang seharusnya secara otomatis [4].

Dampak

Pertanyaan WPAD yang bocor bisa mengakibatkan benturan nama domain dengan skema penamaan jaringan internal. Jika penyerang mendaftarkan domain untuk menjawab pertanyaan WPAD yang bocor dan mengonfigurasi proksi yang valid, maka terdapat peluang untuk melakukan serangan man-in-the-middle (MitM) di Internet.

Kerentanan WPAD ini sangat penting bagi aset-aset perusahaan seperti laptop. Dalam beberapa kasus, aset tersebut bahkan rentan saat berada di tempat kerja, tetapi pengamatan menunjukkan bahwa sebagian besar aset menjadi rentan saat digunakan di luar dari jaringan internal mereka (misalnya, jaringan rumah, jaringan Wi-Fi publik).

Dampak dari jenis pertanyaan DNS yang bocor lainnya dan upaya koneksi yang dilakukan bisa bervariasi, tergantung pada jenis layanan dan konfigurasinya.

Solusi

US-CERT mendorong para pengguna dan administrator jaringan untuk mengimplementasikan rekomendasi berikut, untuk menyediakan infrastruktur jaringan yang lebih aman dan efisien:

  • Pertimbangkan untuk menonaktifkan pencarian proksi otomatis/konfigurasi di peramban dan sistem operasi, kecuali bila sistem-sistem tersebut hanya akan digunakan di dalam jaringan internal saja.
  • Pertimbangkan untuk menggunakan nama domain yang terdaftar dan memenuhi syarat (FQDN) dari DNS global sebagai akar untuk perusahaan dan ruang nama internal lainnya.
  • Pertimbangkan untuk menggunakan TLD internal yang berada di bawah kendali Anda dan terbatas dari pendaftaran dengan program gTLD baru. Perhatikan bahwa tidak ada jaminan di mana daftar “Pesanan Nama” yang ada saat ini dalam Buku Panduan Pemohon gTLD (AGB) baru akan tetap dipesan pada putaran gTLD baru berikutnya [5].
  • Konfigurasikan server DNS internal untuk menanggapi pertanyaan TLD internal secara otoritatif.
  • Konfigurasikan firewall dan proksi untuk mencatat dan memblokir permintaan keluar terhadap berkas wpad.dat.
  • Identifikasi lalu lintas jaringan WPAD yang diharapkan dan pantau ruang nama publik atau pertimbangkan untuk mendaftarkan domain secara defensif, demi menghindari benturan nama di masa depan.
  • Kirimkan laporan kepada ICANN jika sistem Anda mengalami gangguan keamanan yang cukup parah yang bisa dibuktikan disebabkan oleh benturan nama dengan mengunjungi https://forms.icann.org/en/help/name-collision/report-problems.


Referensi
  1. Verisign – Serangan MitM karena Benturan Nama: Analisis Penyebab dan Penilaian Kerentanan dalam Era gTLD Baru
  2. ICANN – Sumber Daya & Informasi Benturan Nama
  3. ICANN – gTLD Baru
  4. US-CERT – Mengendalikan Akses DNS Keluar
  5. ICANN – Buku Panduan Pemohon gTLD