BUG Improper Authentication SPF Records Email on viva.co.id

Assalamualaikum warahmatullahi wabarakatuh,

Disini saya akan bercerita bagaimana saya dapat menemukan sebuah celah yaitu email miss konfigurasi pada viva.co.id Sebelumnya perkenalkan saya adalah seorang pentester dan mahasiswa yang sedang menempuh pendidikan disalah satu perguruan tinggi dijogja.

Nahh pada kesempatan kali ini saya akan menjelaskan bagaimana Bug Email SPF Miss konfigurasi ini terjadi,

Bug ini dapat dikatakan sebagai “Server Security Misconfiguration > Mail Server Misconfiguration > No Spoofing Protection on Email Domain” menurut Bugcrowd VRT yaitu terdapat pada SPF (Sender Policy Framework) records yang missing.

Sedikit penjelasan tentang SPF :
SPF merupakan kependekan dari Sender Policy Framework, suatu mekanisme suatu email yang berasal dari domain tertentu hanya bisa dikirim lewat suatu mail server yang ditunjuk. Dengan adanya record ini, maka pengiriman email yang berasal dari domain tertentu hanya diperbolehkan dari mail server yang telah ditentukan. Jika ada email yang berasal dari domain tersebut, tetapi tidak berasal dari mail server yang telah ditentukan, maka email tersebut akan ditolak. Dengan mekanisme ini maka akan mengurangi spam.

Exploitation Steps :

1. Pertama saya masuk ke https://www.kitterman.com/spf/validate.html
   untuk mencari SPF Record dengan memasukan website viva.co.id dan hasilnya sangat mengejutkan karena tidak ada validasi pencatatan email, dapat dilihat di screenshot berikut ini :

2. Kemudian saya pergi ke https://emkei.cz

1. Disini saya memasukan email dengan salah satu email viva dengan pesan tertentu.
2. Dan hasilnya mengejutkan, karena pesan tersebut masuk ke pesan utama, dapat dilihat dibawah ini :

Ini berlaku untuk semua email viva.co.id yaitu

1. Penjualan & Pemasaran : sales@viva.co.id
2. Siaran Pers : siaranpers@viva.co.id
3. IT Support : support-team@viva.co.id
4. Kerjasama & Promosi : partnership@viva.co.id
5. Redaksi : redaksi@viva.co.id

Impact :
Dengan bug tersebut seseorang dapat melakukan penipuan berupa transaksi, penipuan dan penyebaran berita hoax, maupun digunakan seseorang yg memungkinkan untuk menyebar situs phising dan kejahatan lainnya dengan dengan alamat email tersebut.

Poc (Proof of concept):
BUG Improper Authentication SPF Records Email

Referensi:
-Bug https://medium.com/@danangtriatmaja/bug-bounty-improper-authentication-spf-records-medium-severity-76a3f43fdcfe

-Fix https://mediatemple.net/community/products/dv/204404314/how-can-i-create-an-spf-record-for-my-domain

Balasan dari viva.co.id

Lapor : 2 februari 2020

Balasan email: 3 februari 2020

Bug Fixed, No notification

Ijin Bug Public : 9 Maret 2020 , Walaupun disinisaya tidak mendapatkan sebuah bounty saya senang membantu untuk menemukan bug-bug lain.

Sekian terimakasih, Wassalamualaikum warahmatullahiwabarakatuh

Social Media :

• Facebook

https://www.facebook.com/www.linux.org

• Instagram

https://www.instagram.com/baguslindu_

• Github

https://github.com/KindolHaxor

• Indonesian Offensive Security

https://www.facebook.com/ios.sec