Cyberthreat.id - Perusahaan keamanan siber Trustwave menemukan kerentanan dalam produk International Business Machines Corp (IBM) yakni IBM Db2. Kerentanan itu memungkinkan penyerang mengakses data-data sensitif bahkan menyebabkan serangan Denial-of-Service.

IBM Db2 merupakan rangkaian produk manajemen data hybrid yang menawarkan rangkaian lengkap kapabilitas, yang diberdayakan oleh kecerdasan buatan (AI), dirancang untuk membantu mengelola data terstruktur dan tidak terstruktur di lokasi, dan di lingkungan cloud pribadi dan publik.

Kerentanan pada IBM Db2 diidentifikasi sebagai CVE-2020-4414 yang mempengaruhi edisi IBM Db2 V.9.7, V.10.1, V10.5, V11.1, dan V11.5 di semua platform. 

Kerentanan ini disebabkan oleh penggunaan "memori bersama" yang tidak aman, yang digunakan utilitas pelacakan Db2 untuk bertukar informasi dengan sistem operasi yang mendasarinya pada sistem. Menurut peneliti dari Trustwave, IBM lupa memberikan perlindungan keamanan dalam akses memori bersama. 

"Developer lupa untuk menempatkan perlindungan memori eksplisit di sekitar memori bersama yang digunakan oleh fasilitas pelacakan Db2," kata Martin Rakhmanov dari SpiderLabs dilansir The Hacker News, Kamis (20 Agustus 2020).

Tidak adanya perlindungan di sekitar memori bersama pada akhirnya sangat berbahaya karena memungkinkan pengguna yang tidak memiliki kewenangan untuk melakukan akses baca dan tulis ke area memori, di mana memori menyimpan berbagai informasi sensitif.

"Hal ini memungkinkan setiap pengguna lokal (yang tidak memiliki hak akses dapat) membaca dan menulis akses ke area memori tersebut. Pada gilirannya, ini memungkinkan untuk mengakses data yang sangat sensitif serta kemampuan untuk mengubah cara fungsi subsistem jejak, yang mengakibatkan DoS dalam database." kata Rakhmanov. 

Serangan penolakan layanan atau DoS bisa dilakukan oleh penyerang hanya dengan menulis data yang salah dibagian memori.

IBM telah merilis pembaruan terkait kerentanan ini pada 30 Juni 2020. Oleh karena itu, pengguna Db2 harus segera memperbarui perangkat lunak ke versi terbaru untuk menghindari risiko yang ada dari kerentanan ini.

Kerentanan serupa juga pernah ditemukan pada layanan konferensi video WebEx Cisco (CVE-2020-3347) yang memungkinan penyerang lokal yang terautentikasi mendapatkan nama pengguna, token otentikasi, dan informasi pertemuan. []

Redaktur: Arif Rahman