[Write-Up] Area Traffic Control System Dishub Tasikmalaya Miss Configuration

Kembali dengan artikel write-up, kali ini saya menemukan bug di kota tercinta yaitu tasikmalaya di salah satu subdomain ATCS (Area Traffic Control System) Dishub Kota Tasikmalaya.

Area Traffic Control System atau yang lebih dikenal dengan istilah ATCS adalah suatu sistem pengendalian lalu lintas berbasis teknologi informasi pada suatu kawasan yang bertujuan untuk mengoptimalkan kinerja jaringan jalan melalui optimasi dan koordinasi pengaturan lampu lalu lintas di setiap persimpangan. ATCS terdiri dari beberapa sistem utama yaitu :

Server, Workstation, yang berfungsi sebagai pusat operasional untuk memonitor dan mengontrol kondisi lalu lintas dari seluruh persimpangan dalam satu area.Wall map, yang berfungsi menyediakan informasi status dan kondisi dari Local Controller.Local Controller (pengontrol persimpangan).Video Surveilance (CCTV).Vehicle Detector.Mengatur waktu sinyal di persimpangan secara responsif dan terkoordinasi.Dalam keadaan tertentu, memberikan waktu hijau pada kendaraan yang memiliki prioritas (Pemadam Kebakaran, Ambulance, VVIP, Konvoi, Dll).Menyampaikan informasi kondisi lalu lintas dan alternatif lintasan.Menyediakan rekaman data lalu lintas, kejadian kecelakaan, dan kejadian lainnya di persimpangan.Terciptanya optimasi kinerja jaringan jalan.Mewujudkan sistem lalu lintas dan angkutan jalan yang aman, selamat dan berwawasan lingkungan.Mengurangi jumlah dan beban petugas pengatur lalu lintas di persimpangan.

Nah itu sedikit penjelasn tapi panjang juga sih,jadi intinya aplikasi ini berguna untuk memantau lalu lintas melalui cctv (pasti sering lihat, apalgi di film hekel).

Title : Area Traffic Control System Dishub Tasikmalaya Miss Configuration
Victim : [redacted].tasikmalayakota.go.id
Vuln : Miss Configuration
Impact : attacker dapat merubah live cctv dengan video lain (kurang lebih begitu, dan ini hanya dari apa yang saya lihat [di admin panel] karena saya sendiri belum pernah masuk ke ruangan ts)
severe : Medium

sedikit cerita berawal dari teman menanyakan tentang kalau mau lihat cctv dikota tasik dimana, dan saya nemulah situs tersebut, lanjut karena penasaran saya mencoba melakukan pentest.

Pertama seperti biasa saya selalu menggunakan dirsearch tterlebih dahulu untuk mencari file yang sekiranya mempunya efek.dari hasil scan saya menemukan file config.ini yang bisa di akses,c coba buka dan ternyata berisi login database.lanjut dari hasil scan juga terdapat phpmyadmin, langsung saja coba dan berhasil masuk.sampai disini tentu attacker dapat melakukan apapun, termasuk crack password login admin panel dsb.

bug ini termasuk bug yang high risk karena bisa digunakan untuk tindak kejahatan agar tidak terpantau staf/operator pengawas ATCS.

17 Maret 2021 Lapor Bug Melalui Whatsapp17 Maret 2021 Laporan diterima oleh operator atcs18 Maret 2021 Bug Sudah Di Fix (di perbaiki)

My Blog : https://kangblogger.com
Facebook : fb.me/endangmyid