Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for WordPress Plugin

WordPress Plugin

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

by

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Blocked attacks (Wordfence)

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com

Hacker mengeksploitasi kelemahan plugin WordPress yang memberikan kontrol penuh atas jutaan situs

by

Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.

Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.

Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:

Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.

selengkapnya : arstechnica.com

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer

Lebih dari 280.000 Situs WordPress Diserang Menggunakan Plugin WPGateway Kerentanan Zero-Day

by

Cacat zero-day dalam versi terbaru dari plugin premium WordPress yang dikenal sebagai WPGateway sedang dieksploitasi secara aktif di alam liar, berpotensi memungkinkan aktor jahat untuk sepenuhnya mengambil alih situs yang terpengaruh.

Dilacak sebagai CVE-2022-3180 (skor CVSS: 9,8), masalah ini dipersenjatai untuk menambahkan pengguna administrator jahat ke situs yang menjalankan plugin WPGateway, kata perusahaan keamanan WordPress Wordfence.

WPGateway ditagih sebagai sarana bagi administrator situs untuk menginstal, mencadangkan, dan mengkloning plugin dan tema WordPress dari dasbor terpadu.

Indikator paling umum bahwa situs web yang menjalankan plugin telah disusupi adalah adanya administrator dengan nama pengguna “rangex.”

Selain itu, munculnya permintaan ke “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” di log akses adalah tanda bahwa situs WordPress telah ditargetkan menggunakan cacat, meskipun itu tidak selalu menyiratkan pelanggaran yang berhasil.

Wordfence mengatakan telah memblokir lebih dari 4,6 juta serangan yang mencoba memanfaatkan kerentanan terhadap lebih dari 280.000 situs dalam 30 hari terakhir.

Rincian lebih lanjut tentang kerentanan telah dirahasiakan karena eksploitasi aktif dan untuk mencegah aktor lain mengambil keuntungan dari kekurangan tersebut. Dengan tidak adanya tambalan, pengguna disarankan untuk menghapus plugin dari instalasi WordPress mereka hingga perbaikan tersedia.

Perkembangan ini terjadi beberapa hari setelah Wordfence memperingatkan penyalahgunaan di alam liar dari cacat zero-day lainnya di plugin WordPress yang disebut BackupBuddy.

Pengungkapan juga tiba saat Sansec mengungkapkan bahwa aktor ancaman masuk ke sistem lisensi ekstensi FishPig, vendor integrasi Magento-WordPress yang populer, untuk menyuntikkan kode berbahaya yang dirancang untuk menginstal trojan akses jarak jauh yang disebut Rekoobe.

Sumber: The Hackernews

Peretas menargetkan plugin Tatsu WordPress dalam jutaan serangan

by

Peretas secara besar-besaran mengeksploitasi kerentanan eksekusi kode jarak jauh, CVE-2021-25094, di plugin Tatsu Builder untuk WordPress, yang diinstal di sekitar 100.000 situs web.

Hingga 50.000 situs web diperkirakan masih menjalankan versi plugin yang rentan, meskipun patch telah tersedia sejak awal April.

Gelombang serangan besar dimulai pada 10 Mei 2022 dan mencapai puncaknya empat hari kemudian. Eksploitasi saat ini sedang berlangsung.

Tatsu Builder adalah plugin populer yang menawarkan fitur pengeditan template canggih yang terintegrasi langsung ke browser web.

Kerentanan yang ditargetkan adalah CVE-2021-25094, memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer di server dengan versi plugin yang kedaluwarsa (semua dibuat sebelum 3.3.12).

Cacat itu ditemukan oleh peneliti independen Vincent Michel, yang mengungkapkannya secara terbuka pada 28 Maret 2022, bersama dengan kode eksploitasi proof of concept (PoC).

Vendor merilis tambalan di versi 3.3.13 dan memberi tahu pengguna melalui email pada 7 April 2022, mendesak mereka untuk menerapkan pembaruan.

Jumlah situs yang diserang (Wordfence)

Wordfence, sebuah perusahaan yang menawarkan solusi keamanan untuk plugin WordPress, telah memantau serangan saat ini. Para peneliti memperkirakan bahwa ada antara 20.000 dan 50.000 situs web yang menjalankan versi Tatsu Builder yang rentan.

Wordfence melaporkan melihat jutaan serangan terhadap pelanggannya, memblokir 5,9 juta upaya kekalahan pada 14 Mei 2022.

Serangan terdeteksi dan diblokir oleh Wordfence

Volume telah menurun pada hari-hari berikutnya, tetapi upaya eksploitasi terus berlanjut pada tingkat yang tinggi.

Pelaku ancaman mencoba menyuntikkan penetes malware ke dalam subfolder dari direktori “wp-content/uploads/typehub/custom/” dan menjadikannya file tersembunyi.

Fungsi pemeriksaan file ekstensi melewatkan file tersembunyi (darkpills)

Dropper bernama “.sp3ctra_XO.php” dan memiliki hash MD5 dari 3708363c5b7bf582f8477b1c82c8cbf8.

Wordfence melaporkan bahwa lebih dari satu juta serangan datang dari hanya tiga alamat IP: 148.251.183[.]254, 176.9.117[.]218, dan 217.160.145[.]62. Administrator situs web disarankan untuk menambahkan IP ini ke daftar blokir mereka.

Tentu saja, indikator kompromi ini tidak stabil dan penyerang dapat beralih ke yang lain, terutama sekarang setelah mereka diekspos ke publik.

Semua pengguna plugin Tatsu Builder sangat disarankan untuk meningkatkan ke versi 3.3.13 untuk menghindari risiko serangan.

Sumber: Bleeping Computer

Situs WordPress 600K dipengaruhi oleh kerentanan RCE plugin kritis

by

Essential Addons for Elementor, plugin WordPress populer yang digunakan di lebih dari satu juta situs, telah ditemukan memiliki kerentanan eksekusi kode jarak jauh (RCE) kritis di versi 5.0.4 dan yang lebih lama.

Cacat memungkinkan pengguna yang tidak diautistik untuk melakukan serangan inklusi file lokal, seperti file PHP, untuk mengeksekusi kode di situs.

“Kerentanan inklusi file lokal ada karena cara data input pengguna digunakan di dalam PHP termasuk fungsi yang merupakan bagian dari fungsi ajax_load_more dan ajax_eael_product_gallery,” jelas peneliti PatchStack yang menemukan kerentanan.

Satu-satunya prasyarat untuk serangan ini adalah agar situs tersebut mengaktifkan widget “galeri dinamis” dan “galeri produk” sehingga tidak ada pemeriksaan token yang ada.

Dua upaya patching gagal

Peneliti Wai Yan Muo Thet menemukan kerentanan pada 25 Januari 2022, dan pengembang plugin sudah tahu tentang keberadaannya pada saat itu.

Bahkan, penulis telah merilis versi 5.0.3 untuk mengatasi masalah ini dengan menerapkan fungsi “sanitize_text_field” pada data input pengguna. Namun, sanitasi ini tidak mencegah masuknya muatan lokal.

Upaya kedua adalah versi 5.0.4, yang menambahkan fungsi “sanitize_file_name” dan berusaha untuk menghapus karakter khusus, titik,garis miring, dan apa pun yang dapat digunakan untuk mengesampingkan langkah sanitasi teks.

Ini adalah versi yang diuji patchstack dan menemukan rentan, sehingga mereka memberitahu pengembang bahwa perbaikan tidak mengurangi masalah cukup.

Akhirnya, penulis merilis versi 5.0.5 yang menerapkan fungsi “realpath” PHP, mencegah resolusi pathname berbahaya.

Memperbarui dan mengurangi

Versi ini dirilis minggu lalu, pada tanggal 28 Januari 2022, dan saat ini hanya diinstal sekitar 380.000 kali menurut statistik unduhan WordPress.

Dengan plugin yang diinstal di lebih dari 1 juta situs WordPress, itu berarti ada lebih dari 600 ribu situs yang belum menerapkan pembaruan keamanan.

Jika Anda termasuk di antara banyak yang menggunakan Essential Addons untuk Elementor, Anda bisa mendapatkan versi terbaru dari sini atau menerapkan pembaruan langsung dari dasbor WP.

Untuk mencegah aktor memanfaatkan kelemahan inklusi file lokal bahkan ketika mereka tidak dapat dikurangi secara langsung, ikuti langkah-langkah ini:

  • Simpan jalur file Anda dalam database yang aman dan berikan ID untuk setiap orang.
  • Gunakan file allowlist yang diverifikasi dan aman dan abaikan yang lainnya.
  • Jangan sertakan file di server web yang dapat dikompromikan, tetapi gunakan database sebagai gantinya.
  • Buat server mengirim header unduhan secara otomatis alih-alih mengeksekusi file di direktori tertentu.

Sumber: Bleepingcomputer

1,6 Juta Situs WordPress Di Bawah Serangan Cyber ​​Dari Lebih dari 16.000 Alamat IP

by

Sebanyak 1,6 juta situs WordPress telah menjadi sasaran kampanye serangan aktif berskala besar yang berasal dari 16.000 alamat IP dengan memanfaatkan kelemahan pada empat plugin dan 15 tema Epsilon Framework.

Perusahaan keamanan WordPress, “Wordfence”, yang mengungkapkan rincian serangan, mengatakan pada hari Kamis bahwa pihaknya telah mendeteksi dan memblokir lebih dari 13,7 juta serangan yang ditujukan pada plugin dan tema dalam periode 36 jam dengan tujuan mengambil alih situs web dan melakukan tindakan jahat.

Plugin yang dimaksud adalah Kiwi Social Share (<= 2.0.10), WordPress Automatic (<= 3.53.2), Pinterest Automatic (<= 4.14.3), dan PublishPress Capabilities (<= 2.3), beberapa di antaranya telah ditambal berkencan sepanjang perjalanan kembali ke November 2018. Sebagian besar serangan yang diamati oleh Wordfence melibatkan musuh yang memperbarui opsi "users_can_register" (yaitu, siapa pun dapat mendaftar) untuk diaktifkan dan mengatur pengaturan "default_role" (yaitu, peran default pengguna yang mendaftar di blog) menjadi administrator, dengan demikian memungkinkan musuh untuk mendaftar di situs yang rentan sebagai pengguna istimewa dan mengambil kendali. Terlebih lagi, intrusi dikatakan telah melonjak hanya setelah 8 Desember, menunjukkan bahwa "kerentanan yang baru-baru ini ditambal di PublishPress Capabilities mungkin telah memicu penyerang untuk menargetkan berbagai kerentanan Pembaruan Opsi Sewenang-wenang sebagai bagian dari kampanye besar-besaran," kata Chloe Chamberland dari Wordfence. Mengingat eksploitasi aktif, pemilik situs WordPress yang menjalankan salah satu plugin atau tema yang disebutkan di atas disarankan untuk menerapkan perbaikan terbaru untuk mengurangi ancaman. Selengkapnya: The Hacker News

Bug XSS di Plugin WordPress SEOPress Memungkinkan Pengambilalihan Situs

by

Kerentanan cross-site scripting (XSS) yang tersimpan di plugin SEOPress WordPress dapat memungkinkan penyerang untuk menyuntikkan skrip ke situs web, kata para peneliti.

SEOPress adalah alat pengoptimalan mesin pencari (SEO) yang memungkinkan pemilik situs mengelola metadata SEO, kartu media sosial, pengaturan Iklan Google, dan banyak lagi. Ini diinstal di lebih dari 100.000 situs.

Bug ini (CVE-2021-34641) memungkinkan setiap pengguna yang diautentikasi, seperti pelanggan, untuk memanggil rute REST dengan nonce yang valid, dan untuk memperbarui judul dan deskripsi SEO untuk setiap posting.

“Permissions_callback untuk titik akhir hanya diverifikasi jika pengguna tidak memiliki REST-API yang valid dalam permintaan,” menurut postingan tersebut. “Nonce REST-API yang valid dapat dibuat oleh setiap pengguna yang diautentikasi menggunakan rest-nonce WordPress core AJAX action.”

Bergantung pada apa yang judul dan deskripsi yang diperbarui oleh penyerang, itu akan memungkinkan sejumlah tindakan jahat, hingga dan termasuk pengambilalihan situs secara penuh, kata para peneliti.

Untuk melindungi situs web mereka, pengguna harus meningkatkan ke versi 5.0.4 dari SEOPress.

Kerentanan dalam plugin WordPress tetap cukup umum. Misalnya, pada bulan Juli enam kelemahan kritis diungkapkan yang memengaruhi plugin WordPress Front File Manager versi 17.1 dan 18.2, aktif di lebih dari 2.000 situs web.

Pada bulan Februari, bug keamanan XSS yang belum ditambal dan disimpan ditemukan berpotensi mempengaruhi 50.000 pengguna plugin Contact Form 7 Style.

Selengkapnya: The Threat Post