Situs WordPress yang menggunakan Ninja Forms, plugin pembuat formulir dengan lebih dari 1 juta instalasi, telah diperbarui secara massal minggu ini ke versi baru yang membahas kerentanan keamanan kritis yang kemungkinan dieksploitasi di alam liar.
Kerentanan adalah kerentanan injeksi kode yang memengaruhi beberapa rilis Ninja Forms, dimulai dengan versi 3.0 dan lebih tinggi.
Analis ancaman Wordfence Ramuel Gall menemukan ketika merekayasa balik patch bahwa penyerang yang tidak diautentikasi dapat mengeksploitasi bug ini dari jarak jauh untuk memanggil berbagai kelas bentuk Ninja menggunakan cacat dalam fitur Gabung Tag.
Eksploitasi yang berhasil memungkinkan mereka untuk sepenuhnya mengambil alih situs WordPress yang belum ditambal melalui beberapa rantai eksploitasi, salah satunya memungkinkan eksekusi kode jarak jauh melalui deserialisasi untuk sepenuhnya mengambil alih situs web yang ditargetkan.
Meskipun belum ada pengumuman resmi, sebagian besar situs web yang rentan tampaknya telah diperbarui secara paksa berdasarkan jumlah unduhan sejak kelemahan ini ditambal pada 14 Juni.
Menurut statistik unduhan Ninja Forms, pembaruan keamanan telah diluncurkan lebih dari 730.000 kali sejak patch dirilis.
Jika plugin belum diperbarui secara otomatis ke versi yang ditambal, Anda juga dapat menerapkan pembaruan keamanan secara manual dari dasbor (versi terbaru yang diamankan dari serangan adalah 3.6.11).
Analis Wordfence juga menemukan bukti yang menunjukkan bahwa kelemahan keamanan ini telah dieksploitasi dalam serangan yang sedang berlangsung.
Ini cocok dengan contoh sebelumnya ketika Automattic, perusahaan di balik sistem manajemen konten WordPress, menggunakan pembaruan paksa untuk dengan cepat menambal kelemahan keamanan kritis yang digunakan oleh ratusan ribu atau jutaan situs.
Samuel Wood, seorang pengembang WordPress, mengatakan pada Oktober 2020 bahwa Automattic telah menggunakan pembaruan keamanan paksa untuk mendorong “rilis keamanan untuk plugin berkali-kali” sejak WordPress 3.7 dirilis.
Seperti yang juga dikatakan peneliti keamanan Automattic Marc Montpas pada bulan Februari, patch paksa digunakan terlepas dari pengaturan admin mereka dalam “kasus yang sangat jarang dan sangat parah.”
Misalnya, pada tahun 2019, Jetpack menerima pembaruan keamanan penting yang mengatasi bug dalam cara plugin memproses kode sematan.
Pembaruan keamanan paksa lainnya mengatasi masalah yang ditemukan selama audit internal blok Formulir Kontak Jetpack pada Desember 2018, bug kritis dalam cara beberapa kode pendek Jetpack diproses kembali pada Mei 2016, dan masalah logika autentikasi pada Juni 2021.
Baru-baru ini, pada Februari 2022, 3 juta situs web yang menggunakan plugin WordPress UpdraftPlus ditambal paksa untuk menutup kerentanan yang memungkinkan pelanggan mengunduh cadangan basis data.
Sumber: Bleeping Computer