youngster.id - Tenable Research mengungkap dua kerentanan keamanan serius yang diberi nama “LookOut” pada platform business intelligence Google Looker, yang digunakan oleh lebih dari 60.000 perusahaan di 195 negara. Celah keamanan tersebut berpotensi memungkinkan peretas mengambil alih sistem sepenuhnya atau mencuri data rahasia perusahaan.
Kerentanan paling kritis berupa rangkaian Remote Code Execution (RCE) yang memungkinkan penyerang menjalankan perintah berbahaya dari jarak jauh dan mengambil kendali penuh atas server Looker. Kondisi ini memberi peretas akses luas untuk mencuri informasi sensitif, memanipulasi data, serta menyusup lebih dalam ke jaringan internal perusahaan. Pada sistem berbasis cloud, celah ini bahkan berpotensi menyebabkan akses lintas pengguna (cross-tenant access).
“Level akses ini sangat berbahaya karena Looker berfungsi sebagai pusat sistem informasi perusahaan. Jika terjadi pelanggaran keamanan, penyerang dapat memanipulasi data atau bergerak lebih jauh ke dalam jaringan internal,” kata Liv Matan, Senior Research Engineer di Tenable yang memimpin riset tersebut.
Kerentanan kedua memungkinkan pencurian penuh terhadap database manajemen internal Looker. Dengan memanipulasi sistem agar terhubung ke basis data internalnya sendiri, peneliti berhasil mengekstraksi kredensial pengguna serta konfigurasi rahasia menggunakan teknik khusus pengambilan data.
Google disebut telah merespons dengan cepat untuk mengamankan layanan Looker yang dikelola di cloud. Namun, risiko masih tinggi bagi organisasi yang mengoperasikan Looker di server pribadi atau perangkat on-premise. Perusahaan-perusahaan tersebut wajib melakukan pembaruan keamanan secara manual untuk menutup celah yang berpotensi dimanfaatkan penyerang.
“Karena Looker sering menjadi pusat pengelolaan data paling sensitif sebuah organisasi, keamanan arsitektur dasarnya sangat krusial. Namun, sistem semacam ini sulit diamankan sepenuhnya karena tetap harus menyediakan fitur kuat seperti eksekusi SQL dan interaksi dengan sistem file internal,” ujar Matan.
Untuk mengantisipasi potensi eksploitasi, administrator sistem disarankan memeriksa indikator kompromi (indicators of compromise). Langkah yang perlu dilakukan antara lain memeriksa keberadaan file mencurigakan di direktori .git/hooks/ dalam folder proyek Looker, khususnya skrip bernama pre-push, post-commit, atau applypatch-msg yang tidak dikenal.
Selain itu, tim keamanan diminta meninjau log aplikasi untuk mendeteksi penyalahgunaan koneksi internal, termasuk munculnya kesalahan SQL yang tidak wajar atau pola yang mengarah pada serangan SQL injection terhadap database internal Looker seperti looker__ilooker.
Temuan ini menyoroti pentingnya penguatan sistem keamanan pada platform analitik data yang menjadi tulang punggung pengelolaan informasi perusahaan, terutama bagi organisasi yang mengelola infrastruktur sendiri di luar layanan cloud terkelola Google. (*AMBS)
Discussion about this post