Berita dan Pengumuman

KERENTANAN KEAMANAN Open Journal System

• Di Publikasikan Pada: 10 Jul 2024
• Oleh: Riswnda P3I

Dalam minggu ini, beberapa pengguna jurnal telah mengeluhkan bahwa OJS mereka telah menjadi korban hack JUDOL. Setelah kami lakukan analisis dengan menggunakan berbagai log di server dan penelusuran pada code OJS ternyata hal ini disebabkan karena hacker telah berhasil mengakses OJS sebagai administrator dengan memanfaatkan beberapa kerentanan keamanan Zero day yang kami temukan (belum kami publikasi detailnya - kami sedang melakukan proses komunikasi internal dengan PKP).

Dimana hacker dapat mendapatkan akses journal manager HANYA dengan mendaftarkan sebagai author pada OJS anda.

 

Selain itu vulnerabilities (celah) CRITICAL juga terdapat pada beberapa laporan berikut

1. CVE-2024-25438 (2024-03-01)

2. CVE-2024-25436 (2024-03-01)

3. CVE-2024-25434 (2024-03-01)

4. CVE-2024-24512 (2024-03-01)

5. PKP-WAL 3.4.0-3 Remote Code Execution (2023-12-04)

6. CVE-2024-24511 (2024-02-01)

 

Apa dampak dari kerentanan ini ?

kerentanan ini memungkinkan hacker bertindak sebagai administator. Pada awalnya hacker akan mengupload plugin yang sebenarnya merupakan backdoor, dan setelah itu akan bisa mengendalikan secara penuh server termasuk ancaman menghapus seluruh database, menambahkan situs anda pada search engine sebagai situs yang mengarahkan ke situs judol, menghapus atau memodifikasi file-file di ojs anda. Penambahan link situs judol di jurnal anda mungkin tidak akan anda sadari dan tidak akan terlihat pada jurnal namun akan terdeteksi di Google result. Hasilnya situs anda dianggap oleh Google sebagai situs hacked dan berpotensi di blokir dari Google Scholar maupun indexing lain. 

 

Apa langkah yang harus dilakukan ?

Mungkin secara sederhana, oleh provider anda, anda akan disarankan untuk melakukan upgrade OJS.  Awalnya di rapat internal tim OJT kami juga berpikiran yang sama.

 

Namun setelah kami pertimbangkan dengan lebih seksama kami akan memutuskan untuk tidak melakukan upgrade. Selain itu kami juga tidak menyarankan untuk melakukan upgrade ke versi OJS 3.4, hal ini karena di OJS terbaru atau OJS 3.4 latest tersebut masih terdapat beberapa bug yang akan menyebabkan kesulitan bagi pengguna jurnal dalam melakukan operasional dalam OJS misalnya adanya bug saat melakukan pendaftaran DOI dan beberapa kendala lain seperti perbedaan UI pada 3.4 yang berbeda dengan OJS 3.3 - Sumber openjournaltheme.

 

Dalam hal ini P3I UMSurabaya (Pusat Pengembangan Publikasi Ilmiah) Melakukan Koordinasi secara langsung dengan pihak PTI UMSurabaya (Pusat Teknologi Informasi) untuk membahas mengenai Kerentanan keamanan pada website Open Journal System, yang dimana dalam pembahasan tersebut P3I dan PTI Setujuh untuk melakukan Maintenance Sementara pada website Open Journal System UMSurabaya. Yang mana hal ini dilakukan untuk melakukan update Patch pada OJS 3.3 LTS, dari versi yang sebelumnya Versi 3.3.0-15 diupdate ke 3.3.0-17 yang akan dilakukan pada malam hari 10/07/2024.