Penjahat dunia maya sangat memperhatikan kelemahan keamanan yang baru-baru ini ditemukan di beberapa plugin WordPress populer dan mereka mulai menargetkan situs web yang masih menjalankan versi rentannya.
Berdasarkan BleepingComputer (terbuka di tab baru), setidaknya dua pelaku ancaman secara aktif menyerang versi plugin ThemeGrill Demo Importer, Profile Builder, dan Duplicator yang belum ditambal. Kesamaan dari ketiga plugin ini adalah fakta bahwa semuanya terungkap mengandung bug keamanan kritis yang dapat dieksploitasi dalam laporan terbaru.
Peneliti memperkirakan ada ratusan ribu situs WordPress yang saat ini berisiko dieksploitasi karena adminnya belum menambal ketiga plugin tersebut.
Salah satu pelaku ancaman, yang menggunakan pegangan ‘tonyredball’, mengeksploitasi dua plugin yang rentan ini untuk mendapatkan akses pintu belakang. Tonyredball diamati mengeksploitasi kerentanan pendaftaran administrator di Pembuat Profil dengan menggunakan permintaan yang berisi nama pengguna, email, dan detail profil lainnya dari akun administrator baru, menurut pakar keamanan WordPress di Defiant.
Namun, para peneliti juga mencatat bahwa tonyredball telah meluncurkan sejumlah serangan yang memanfaatkan kelemahan penghapusan database di versi lama dari plugin ThemeGrill Demo Importer.
Memanfaatkan plugin WordPress yang rentan
Pelaku ancaman lain yang mengeksploitasi plugin WordPress yang rentan diidentifikasi oleh Defiant sebagai ‘solarsalvador1234’ karena alamat email yang digunakan dalam permintaan mengarah ke eksploitasi.
Selain menargetkan Importir Demo ThemeGrill dan Pembuat Profil, aktor ancaman ini juga mengeksploitasi kelemahan yang belum ditambal di Duplicator yang merupakan plugin yang memungkinkan situs web untuk dikloning dan dimigrasikan ke lokasi lain.
Versi duplikator yang lebih rendah dari 1.3.28 ditemukan mengandung bug keamanan yang memungkinkan pengguna yang tidak diautentikasi untuk mengunduh file sewenang-wenang dari situs korban. Dengan mengeksploitasi bug, penyerang dapat mengambil file konfigurasi situs (wp-config.php) tempat kredensial untuk akses database disimpan. Hal ini memungkinkan pelaku ancaman seperti solarsalvador1234 untuk membuat akses jangka panjang ke situs yang disusupi.
Menurut tingkat pembaruan, Defiant memperkirakan bahwa sekitar 800.000 situs mungkin masih menjalankan versi plugin Duplicator yang rentan.
Jika situs WordPress Anda menjalankan versi lama dari ThemeGrill Demo Importer, Profile Builder, atau Duplicator, sangat disarankan agar Anda memperbarui ke versi terbaru sesegera mungkin untuk mencegah menjadi korban serangan semacam ini.
Melalui Komputer Bleeping (terbuka di tab baru)