Peretas mencoba mengeksploitasi kerentanan plugin WordPress yang sangat parah

"Plugin WP Otomatis ditambal, tetapi catatan rilis tidak menyebutkan perbaikan penting.

Peretas menyerang situs web menggunakan plugin WordPress terkemuka dengan jutaan upaya untuk mengeksploitasi kerentanan tingkat tinggi yang memungkinkan pengambilalihan sepenuhnya, kata para peneliti.

Kerentanannya ada di WordPress Automatic, sebuah plugin dengan lebih dari 38.000 pelanggan yang membayar. Situs web yang menjalankan sistem manajemen konten WordPress menggunakannya untuk memasukkan konten dari situs lain. Peneliti dari perusahaan keamanan Patchstack mengungkapkan bulan lalu bahwa WP Automatic versi 3.92.0 dan di bawahnya memiliki kerentanan dengan tingkat keparahan 9,9 dari kemungkinan 10. Pengembang plugin, ValvePress, diam-diam menerbitkan patch, yang tersedia di versi 3.92. 1 dan seterusnya.

Para peneliti telah mengklasifikasikan kelemahan tersebut, yang dilacak sebagai CVE-2024-27956, sebagai injeksi SQL, sebuah kelas kerentanan yang berasal dari kegagalan aplikasi web untuk menanyakan database backend dengan benar. Sintaks SQL menggunakan apostrof untuk menunjukkan awal dan akhir string data. Dengan memasukkan string dengan apostrof yang ditempatkan secara khusus ke dalam bidang situs web yang rentan, penyerang dapat mengeksekusi kode yang melakukan berbagai tindakan sensitif, termasuk mengembalikan data rahasia, memberikan hak istimewa sistem administratif, atau merusak cara kerja aplikasi web.

Kerentanan ini sangat berbahaya dan diperkirakan akan dieksploitasi secara massal, tulis peneliti Patchstack pada 13 Maret.

Perusahaan keamanan web lainnya, WPScan, mengatakan pada hari Kamis bahwa mereka telah mencatat lebih dari 5,5 juta upaya untuk mengeksploitasi kerentanan sejak pengungkapan 13 Maret oleh Patchstack. Upaya tersebut, kata WPScan, dimulai dengan lambat dan mencapai puncaknya pada tanggal 31 Maret. Perusahaan tidak mengatakan berapa banyak dari upaya tersebut yang berhasil.

WPScan mengatakan bahwa CVE-2024-27596 memungkinkan pengunjung situs web yang tidak diautentikasi membuat akun pengguna tingkat admin, mengunggah file berbahaya, dan mengambil kendali penuh atas situs yang terpengaruh. Kerentanannya, terletak pada cara plugin menangani autentikasi pengguna, memungkinkan penyerang melewati proses autentikasi normal dan memasukkan kode SQL yang memberi mereka hak istimewa sistem yang lebih tinggi. Dari sana, mereka dapat mengunggah dan mengeksekusi muatan berbahaya yang mengganti nama file sensitif untuk mencegah pemilik situs atau sesama peretas mengendalikan situs yang dibajak.

Serangan yang berhasil biasanya mengikuti proses ini:

SQL Injection (SQLi): Penyerang memanfaatkan kerentanan SQLi di plugin WP‑Automatic untuk mengeksekusi kueri database yang tidak sah.

Pembuatan Pengguna Admin: Dengan kemampuan untuk mengeksekusi kueri SQL sewenang-wenang, penyerang dapat membuat akun pengguna tingkat admin baru di WordPress.

Unggahan Malware: Setelah akun tingkat admin dibuat, penyerang dapat mengunggah file berbahaya, biasanya shell web atau pintu belakang, ke server situs web yang disusupi.

Penggantian Nama File: Penyerang dapat mengganti nama file WP‑Automatic yang rentan, untuk memastikan hanya dia yang dapat mengeksploitasinya.

Peneliti WPScan menjelaskan:

Setelah situs WordPress disusupi, penyerang memastikan akses mereka bertahan lama dengan membuat pintu belakang dan mengaburkan kode. Untuk menghindari deteksi dan mempertahankan akses, penyerang juga dapat mengganti nama file WP‑Automatic yang rentan, sehingga menyulitkan pemilik situs web atau alat keamanan untuk mengidentifikasi atau memblokir masalah tersebut. Perlu disebutkan bahwa ini mungkin juga merupakan cara penyerang menghindari pelaku jahat lainnya agar berhasil mengeksploitasi situs mereka yang sudah disusupi. Selain itu, karena penyerang dapat menggunakan hak istimewa tinggi yang mereka peroleh untuk memasang plugin dan tema ke situs, kami memperhatikan bahwa, di sebagian besar situs yang disusupi, pelaku jahat memasang plugin yang memungkinkan mereka mengunggah file atau mengedit kode.

Serangan dimulai tak lama setelah 13 Maret, 15 hari setelah ValvePress merilis versi 3.92.1 tanpa menyebutkan patch penting dalam catatan rilis. Perwakilan ValvePress tidak segera menanggapi pesan yang meminta penjelasan.

Sementara para peneliti di Patchstack dan WPScan mengklasifikasikan CVE-2024-27956 sebagai injeksi SQL, seorang pengembang berpengalaman mengatakan bahwa pemahamannya tentang kerentanan tersebut adalah bahwa itu adalah otorisasi yang tidak tepat (CWE-285) atau subkategori kontrol akses yang tidak tepat (CWE-284).

Menurut Patchstack.com, program ini seharusnya menerima dan mengeksekusi query SQL, tetapi hanya dari pengguna yang berwenang, tulis pengembang, yang tidak ingin menyebutkan namanya, dalam sebuah wawancara online. Kerentannya terletak pada cara ia memeriksa kredensial pengguna sebelum menjalankan kueri, sehingga memungkinkan penyerang melewati otorisasi. Injeksi SQL adalah saat penyerang menyematkan kode SQL ke dalam apa yang seharusnya hanya berupa data, dan hal tersebut tidak terjadi di sini.

Apa pun klasifikasinya, kerentanannya sama parahnya. Pengguna harus segera menambal plugin. Mereka juga harus hati-hati menganalisis server mereka untuk mencari tanda-tanda eksploitasi menggunakan indikator data kompromi yang disediakan dalam posting WPScan yang ditautkan di atas."

Harap dicatat bahwa versi bahasa Prancis dari AI didukung dan karena itu mungkin terjadi kesalahan kecil. Peretas mencoba mengeksploitasi kerentanan plugin WordPress yang sangat parah

Penulis

Ai Base Network (ABN), ABN ASIA didirikan oleh orang-orang dengan akar yang kuat di dunia akademis, dengan pengalaman kerja di Amerika Serikat, Belanda, Hungaria, Jepang, Korea Selatan, Singapura, dan Vietnam. ABN Asia adalah tempat di mana akademik dan teknologi bertemu dengan peluang. Dengan solusi terdepan kami dan layanan pengembangan perangkat lunak yang kompeten, kami membantu bisnis untuk meningkatkan level dan bersaing di panggung global. Komitmen kami: Lebih Cepat. Lebih Baik. Lebih handal. Dalam kebanyakan kasus: Lebih murah juga.

Jangan ragu untuk menghubungi kami jika Anda membutuhkan layanan IT, konsultasi digital, solusi perangkat lunak siap pakai, atau jika Anda ingin mengirimkan permintaan proposal (RFP). Anda dapat menghubungi kami di [email protected]. Kami siap membantu Anda dengan semua kebutuhan teknologi Anda.