Exploit WHMCS 2017 - New Version 7.2.x Release

WHM Complete Solution atau WHMCS adalah salah satu CMS ( Content Management System ) yang berguna untuk membantu perusahaan web hosting mengatur server, domain, client beserta invoice penagihan pembayaran mereka. WHMCS masih menjadi platform cms yang paling diminati dan banyak digunakan oleh para webhoster di dunia untuk menjalankan bisnis mereka hingga saat ini. Pada tangal 16 Mei 2017 WHMCS resmi mengeluarkan versi 7.2 yang merupakan produk terbaru untuk para hoster dan client perusahaan web hosting. Di versi terbaru ini whmcs memfokuskan pada integrasi terbaru mereka, berikut adalah beberapa fitur terbaru whmcs versi 7.2.3 2017.

>Fully Automated SSL Purchasing, Provisioning and Deployment
>Symantec, RapidSSL, GeoTrust SSL Certificates Integration
>Weebly Website Builder Integration
>SpamExperts Email Services Integration
>SlimPay SEPA and Direct Debits Payment Plugin
>New Domain Pricing Matrix
>Automated PayPal Dispute Handling
>Six Theme Updates to styling, typography, and iconography

Di tahun 2017 ini whmcs telah melakukan banyak perubahan pasca security bounty mereka pada periode 2013-2015 lebih tepatnya pada versi 5.2.x yang membuat banyak hosting mengalami kerugian material yang cukup besar. Sebenarnya mereka dengan sigap memberikan patch pada saat itu, tetapi dikarenakan banyak webhoster yang menggunakan whmcs versi nulled atau ilegal atau tidak membeli license, banyak hoster ini tidak dapat langsung menerima push mail notifikasi untuk melakukan patching security bounty whmcs.

Sebelumnya kita mengetahui bahwa whmcs telah membagi jenis tingkat kerentanan pada aplikasi mereka seprti berikut ini.

Critical / Kritis
Peringkat kritis berlaku untuk kerentanan yang memungkinkan akses remote dan akses yang tidak diautentikasi dan eksekusi kode, tanpa interaksi pengguna yang diperlukan. Ini akan memungkinkan kompromi sistem yang komplit dan mudah dieksploitasi oleh skrip otomatis seperti worm.

Important / Penting
Peringkat penting berlaku untuk kerentanan yang memungkinkan tingkat otentikasi sistem dikompromikan. Ini termasuk memungkinkan pengguna lokal menaikkan tingkat hak istimewa mereka, pengguna jarak jauh yang tidak berkepentingan untuk melihat sumber daya yang memerlukan autentikasi untuk dilihat, pelaksanaan kode sewenang-wenang oleh pengguna jarak jauh, atau serangan lokal atau jarak jauh yang dapat mengakibatkan penolakan layanan.

Moderate / Medium / Sedang
Peringkat moderate berlaku untuk kerentanan yang bergantung pada skenario yang tidak mungkin untuk dikompromi oleh sistem. Ini biasanya mengharuskan konfigurasi sistem yang salah atau tidak mungkin ada, dan hanya terjadi dalam situasi yang jarang terjadi.

Trivial / Sepele / Biasa
Sebuah peringkat biasa berlaku untuk kerentanan yang tidak sesuai dengan kategori yang lebih tinggi. Kerentanan ini terjadi dalam situasi dan konfigurasi yang sangat tidak mungkin, seringkali membutuhkan waktu eksekusi yang sangat ketat atau kejadian yang terjadi yang berada di luar kendali penyerang. Rating ini juga dapat diberikan pada sebuah kerentanan, walaupun berhasil, hanya sedikit menimbulkan konsekuensi atau tidak sama sekali pada sistem.

Mari kita lihat sejarah atau history dari versi WHMCS 7.2 seperti gambar berikut ini.

- 3 Versi Beta
- 1 Versi RC
- 2 Versi GA
- 2 Versi Maintenance

Disini saya melihat bahwa pada versi 7.2.2 dan 7.2.3 whmcs menginformasikan bahwa terdapat release type maintenance atau perawatan, kemudian saya melihat juga pada versi GA 7.2.0 dan GA 7.2.1 di update pada tanggal yang sama. Maka dapat dilihat alur maintenancenya seperti ini,

- versi 7.2.1 release untuk memperbaiki kesalahan pada versi 7.2.0 di hari yang sama
- versi 7.2.2 release untuk memperbaiki kesalahan pada versi 7.2.1
- versi 7.2.3 release untuk memperbaiki kesalahan pada versi 7.2.2
Lantas celah kerentanan seperti apakah yang terdapat pada whmcs v.7.2.x terbaru ini ?
Apakah hubungannya antara Security Bounty WHMCS v.5.2.x dengan Security Bounty WHMCS v.7.2.x ?

Sampai saat ini masalah yang masih sering terjadi adalah seputar whois domain dan template six terbaru whmcs v.7.2.x. WHMCS belum menyatakan informasi bahwa produk terbaru mereka whmcs v.7.2.x vulnerable atau memberikan incremental bertipe critical maupun important kepada client pengguna platform mereka untuk mengatasi permasalahan exploit whmcs v.7.2.x ini.

Apabila anda menemukan sebuah celah kerentanan pada whmcs v.7.2.x , anda dapat melaporkannya melalui Security Program Bounty WHMCS. Hadiah atau imbalan yang ditawarkan cukup besar berkisar antara $ 75,00 sampai $ 5.000,00 tergantung pada jenis dan tingkat keparahan celah kerentanan yang dilaporkan. Hadiah dapat dibayarkan WHMCS kepada anda melalui PayPal, BitCoin, atau Western Union.

Cukup Sekian..

Related Post

Comments

0 comments