KangBlogger Tukang Rebahan Yang Nulis Artikel Kalo Lagi Santay Dan Berharap Cuan.

[Write-Up] Area Traffic Control System Dishub Tasikmalaya Miss Configuration

1 min read

Kembali dengan artikel write-up, kali ini saya menemukan bug di kota tercinta yaitu tasikmalaya di salah satu subdomain ATCS (Area Traffic Control System) Dishub Kota Tasikmalaya.

Apa Itu TCS (Area Traffic Control System)

Area Traffic Control System atau yang lebih dikenal dengan istilah ATCS adalah suatu sistem pengendalian lalu lintas berbasis teknologi informasi pada suatu kawasan yang bertujuan untuk mengoptimalkan kinerja jaringan jalan melalui optimasi dan koordinasi pengaturan lampu lalu lintas di setiap persimpangan. ATCS terdiri dari beberapa sistem utama yaitu :

  • Server, Workstation, yang berfungsi sebagai pusat operasional untuk memonitor dan mengontrol kondisi lalu lintas dari seluruh persimpangan dalam satu area.
  • Wall map, yang berfungsi menyediakan informasi status dan kondisi dari Local Controller.
  • Local Controller (pengontrol persimpangan).
  • Video Surveilance (CCTV).
  • Vehicle Detector.

Fungsi ATCS (Area Traffic Control System)

  1. Mengatur waktu sinyal di persimpangan secara responsif dan terkoordinasi.
  2. Dalam keadaan tertentu, memberikan waktu hijau pada kendaraan yang memiliki prioritas (Pemadam Kebakaran, Ambulance, VVIP, Konvoi, Dll).
  3. Menyampaikan informasi kondisi lalu lintas dan alternatif lintasan.
  4. Menyediakan rekaman data lalu lintas, kejadian kecelakaan, dan kejadian lainnya di persimpangan.

Manfaat ATCS (Area Traffic Control System)

  1. Terciptanya optimasi kinerja jaringan jalan.
  2. Mewujudkan sistem lalu lintas dan angkutan jalan yang aman, selamat dan berwawasan lingkungan.
  3. Mengurangi jumlah dan beban petugas pengatur lalu lintas di persimpangan.

Nah itu sedikit penjelasn tapi panjang juga sih,jadi intinya aplikasi ini berguna untuk memantau lalu lintas melalui cctv (pasti sering lihat, apalgi di film hekel).

Contoh Traffic Control System

Detail Bug Area Traffic Control System Dishub Tasikmalaya Miss Configuration

Title : Area Traffic Control System Dishub Tasikmalaya Miss Configuration
Victim : [redacted].tasikmalayakota.go.id
Vuln : Miss Configuration
Impact : attacker dapat merubah live cctv dengan video lain (kurang lebih begitu, dan ini hanya dari apa yang saya lihat [di admin panel] karena saya sendiri belum pernah masuk ke ruangan ts)
severe : Medium

Proof Of Concept (step by step)

sedikit cerita berawal dari teman menanyakan tentang kalau mau lihat cctv dikota tasik dimana, dan saya nemulah situs tersebut, lanjut karena penasaran saya mencoba melakukan pentest.

  • Pertama seperti biasa saya selalu menggunakan dirsearch tterlebih dahulu untuk mencari file yang sekiranya mempunya efek.
  • dari hasil scan saya menemukan file config.ini yang bisa di akses,c coba buka dan ternyata berisi login database.
status kode [200] pada config.ini
  • lanjut dari hasil scan juga terdapat phpmyadmin, langsung saja coba dan berhasil masuk.
  • sampai disini tentu attacker dapat melakukan apapun, termasuk crack password login admin panel dsb.

Kesimpulan

bug ini termasuk bug yang high risk karena bisa digunakan untuk tindak kejahatan agar tidak terpantau staf/operator pengawas ATCS.

TIMELINE REPORT

  • 17 Maret 2021 Lapor Bug Melalui Whatsapp
  • 17 Maret 2021 Laporan diterima oleh operator atcs
  • 18 Maret 2021 Bug Sudah Di Fix (di perbaiki)

KangBlogger Tukang Rebahan Yang Nulis Artikel Kalo Lagi Santay Dan Berharap Cuan.

Leave a Reply

Your email address will not be published. Required fields are marked *