Peretas secara besar-besaran mengeksploitasi kerentanan eksekusi kode jarak jauh, CVE-2021-25094, di plugin Tatsu Builder untuk WordPress, yang diinstal di sekitar 100.000 situs web.
Hingga 50.000 situs web diperkirakan masih menjalankan versi plugin yang rentan, meskipun patch telah tersedia sejak awal April.
Gelombang serangan besar dimulai pada 10 Mei 2022 dan mencapai puncaknya empat hari kemudian. Eksploitasi saat ini sedang berlangsung.
Tatsu Builder adalah plugin populer yang menawarkan fitur pengeditan template canggih yang terintegrasi langsung ke browser web.
Kerentanan yang ditargetkan adalah CVE-2021-25094, memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer di server dengan versi plugin yang kedaluwarsa (semua dibuat sebelum 3.3.12).
Cacat itu ditemukan oleh peneliti independen Vincent Michel, yang mengungkapkannya secara terbuka pada 28 Maret 2022, bersama dengan kode eksploitasi proof of concept (PoC).
Vendor merilis tambalan di versi 3.3.13 dan memberi tahu pengguna melalui email pada 7 April 2022, mendesak mereka untuk menerapkan pembaruan.
Wordfence, sebuah perusahaan yang menawarkan solusi keamanan untuk plugin WordPress, telah memantau serangan saat ini. Para peneliti memperkirakan bahwa ada antara 20.000 dan 50.000 situs web yang menjalankan versi Tatsu Builder yang rentan.
Wordfence melaporkan melihat jutaan serangan terhadap pelanggannya, memblokir 5,9 juta upaya kekalahan pada 14 Mei 2022.
Volume telah menurun pada hari-hari berikutnya, tetapi upaya eksploitasi terus berlanjut pada tingkat yang tinggi.
Pelaku ancaman mencoba menyuntikkan penetes malware ke dalam subfolder dari direktori “wp-content/uploads/typehub/custom/” dan menjadikannya file tersembunyi.
Dropper bernama “.sp3ctra_XO.php” dan memiliki hash MD5 dari 3708363c5b7bf582f8477b1c82c8cbf8.
Wordfence melaporkan bahwa lebih dari satu juta serangan datang dari hanya tiga alamat IP: 148.251.183[.]254, 176.9.117[.]218, dan 217.160.145[.]62. Administrator situs web disarankan untuk menambahkan IP ini ke daftar blokir mereka.
Tentu saja, indikator kompromi ini tidak stabil dan penyerang dapat beralih ke yang lain, terutama sekarang setelah mereka diekspos ke publik.
Semua pengguna plugin Tatsu Builder sangat disarankan untuk meningkatkan ke versi 3.3.13 untuk menghindari risiko serangan.
Sumber: Bleeping Computer
