WordPress

Pembaruan Keamanan WordPress 5.8.3 Memperbaiki Injeksi SQL, Kelemahan XSS

January 11, 2022 by Eevee

Tim pengembangan WordPress merilis versi 5.8.3, rilis keamanan siklus pendek yang membahas empat kerentanan, tiga di antaranya dinilai sangat penting.

Set termasuk injeksi SQL pada WP_Query, injeksi SQL buta melalui WP_Meta_Query, serangan XSS melalui siput pos, dan injeksi objek admin.

Semua masalah memiliki prasyarat untuk eksploitasi mereka, dan sebagian besar situs WordPress yang menggunakan pengaturan pembaruan inti otomatis default tidak dalam bahaya.

Namun, situs yang menggunakan WordPress 5.8.2 atau yang lebih lama, dengan sistem file read-only yang telah menonaktifkan pembaruan inti otomatis di wp-config.php, dapat rentan terhadap serangan berdasarkan kekurangan yang diidentifikasi.

Empat kelemahan yang dibahas dengan pembaruan keamanan terbaru adalah sebagai berikut:

CVE-2022-21661: Tingkat keparahan tinggi (skor CVSS 8.0) injeksi SQL melalui WP_Query. Kelemahan ini dapat dieksploitasi melalui plugin dan tema yang menggunakan WP-Query. Perbaikan mencakup versi WordPress hingga 3.7.37.
CVE-2022-21662: Tingkat keparahan tinggi (skor CVSS 8.0) kerentanan XSS yang memungkinkan penulis (pengguna hak istimewa yang lebih rendah) untuk menambahkan backdoor berbahaya atau mengambil alih situs dengan menyalahgunakan siput pos. Perbaikan mencakup versi WordPress hingga 3.7.37.
CVE-2022-21664: Tingkat keparahan tinggi (skor CVSS 7,4) injeksi SQL melalui kelas inti WP_Meta_Query. Perbaikan mencakup versi WordPress hingga 4.1.34.
CVE-2022-21663: Masalah injeksi objek tingkat keparahan sedang (skor CVSS 6,6) yang hanya dapat dieksploitasi jika aktor ancaman telah membahayakan akun admin. Perbaikan mencakup versi WordPress hingga 3.7.37.

Belum ada laporan tentang hal di atas yang berada di bawah eksploitasi aktif di alam liar, dan tidak satu pun dari kekurangan ini diperkirakan memiliki dampak potensial yang parah pada sebagian besar situs WordPress.

Meskipun demikian, disarankan agar semua pemilik situs WordPress meng-upgrade ke versi 5.8.3, meninjau konfigurasi firewall mereka, dan memastikan bahwa pembaruan inti WP diaktifkan.

Pengaturan ini dapat dilihat pada parameter ‘define’ dalam wp-config.php, yang harus “define (‘WP_AUTO_UPDATE_CORE’, true);”

Pembaruan inti otomatis diperkenalkan pada tahun 2013 di WordPress 3.7, dan menurut statistik resmi, hanya 0,7% dari semua situs WP yang saat ini menjalankan versi yang lebih tua dari itu.

Sumber: Bleepingcomputer

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

December 22, 2021 by Winnie the Pooh

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer

1,6 Juta Situs WordPress Di Bawah Serangan Cyber Dari Lebih dari 16.000 Alamat IP

December 11, 2021 by Søren

Sebanyak 1,6 juta situs WordPress telah menjadi sasaran kampanye serangan aktif berskala besar yang berasal dari 16.000 alamat IP dengan memanfaatkan kelemahan pada empat plugin dan 15 tema Epsilon Framework.

Perusahaan keamanan WordPress, “Wordfence”, yang mengungkapkan rincian serangan, mengatakan pada hari Kamis bahwa pihaknya telah mendeteksi dan memblokir lebih dari 13,7 juta serangan yang ditujukan pada plugin dan tema dalam periode 36 jam dengan tujuan mengambil alih situs web dan melakukan tindakan jahat.

Plugin yang dimaksud adalah Kiwi Social Share (<= 2.0.10), WordPress Automatic (<= 3.53.2), Pinterest Automatic (<= 4.14.3), dan PublishPress Capabilities (<= 2.3), beberapa di antaranya telah ditambal berkencan sepanjang perjalanan kembali ke November 2018. Sebagian besar serangan yang diamati oleh Wordfence melibatkan musuh yang memperbarui opsi "users_can_register" (yaitu, siapa pun dapat mendaftar) untuk diaktifkan dan mengatur pengaturan "default_role" (yaitu, peran default pengguna yang mendaftar di blog) menjadi administrator, dengan demikian memungkinkan musuh untuk mendaftar di situs yang rentan sebagai pengguna istimewa dan mengambil kendali. Terlebih lagi, intrusi dikatakan telah melonjak hanya setelah 8 Desember, menunjukkan bahwa "kerentanan yang baru-baru ini ditambal di PublishPress Capabilities mungkin telah memicu penyerang untuk menargetkan berbagai kerentanan Pembaruan Opsi Sewenang-wenang sebagai bagian dari kampanye besar-besaran," kata Chloe Chamberland dari Wordfence. Mengingat eksploitasi aktif, pemilik situs WordPress yang menjalankan salah satu plugin atau tema yang disebutkan di atas disarankan untuk menerapkan perbaikan terbaru untuk mengurangi ancaman. Selengkapnya: The Hacker News

Peretas menginfeksi plugin WordPress acak untuk mencuri kartu kredit

December 10, 2021 by Winnie the Pooh

Dengan musim belanja Natal, pelaku ancaman pencurian kartu meningkatkan upaya mereka untuk menginfeksi toko online dengan skimmer tersembunyi, jadi administrator harus tetap waspada.

Tren terbaru adalah menyuntikkan skimmer kartu ke dalam file plugin WordPress, menghindari direktori inti ‘wp-admin’ dan ‘wp-includes’ yang dipantau secara ketat di mana sebagian besar injeksi berumur pendek.

Menurut sebuah laporan baru oleh Sucuri, peretas yang melakukan pencurian kartu kredit pertama-tama meretas situs WordPress dan menyuntikkan backdoor ke situs web untuk persistence.

Backdoor ini memungkinkan peretas untuk mempertahankan akses ke situs, bahkan jika administrator memasang pembaruan keamanan terbaru untuk WordPress dan memasang plugin.

Ketika penyerang menggunakan backdoor di masa depan, itu akan memindai daftar pengguna administrator dan menggunakan cookie otorisasi dan login pengguna saat ini untuk mengakses situs.

Pelaku ancaman kemudian menambahkan kode berbahaya mereka ke plugin acak, dan menurut Sucuri, banyak skrip bahkan tidak dikaburkan.

Namun, ketika memeriksa kode tersebut, para analis memperhatikan bahwa plugin pengoptimalan gambar berisi referensi ke WooCommerce dan menyertakan variabel yang tidak ditentukan. Plugin ini tidak memiliki kerentanan dan diyakini telah dipilih oleh pelaku ancaman secara acak.

Administrator dapat mengikuti beberapa tindakan perlindungan untuk menjaga situs mereka bebas skimmer atau meminimalkan waktu infeksi sebanyak mungkin.

Pertama, area wp-admin harus dibatasi hanya untuk alamat IP tertentu. Kemudian, bahkan jika backdoor disuntikkan, aktor tidak dapat mengakses situs bahkan jika mereka mencuri cookie administrator.

Kedua, pemantauan integritas file melalui pemindai sisi server aktif harus diterapkan di situs web, memastikan bahwa tidak ada perubahan kode yang tidak diketahui dalam waktu lama.

Terakhir, biasakan membaca log dan melihat detail secara mendalam. Misalnya, perubahan file, tema, atau pembaruan plugin selalu tercermin dalam log.

Selengkapnya: Bleeping Computer

80K Situs WooCommerce Ritel Terekspos oleh Plugin XSS Bug

December 8, 2021 by Winnie the Pooh

Plugin “Variation Swatches for WooCommerce,” dipasang di 80.000 situs ritel WordPress, berisi kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.

Variasi Swatch dirancang untuk memungkinkan pengecer menggunakan platform WooCommerce untuk situs WordPress untuk menampilkan versi berbeda dari produk yang sama, seperti sweter dalam beberapa warna.

Sayangnya, versi rentan juga dapat memberi pengguna tanpa izin administratif — seperti pelanggan — akses ke pengaturan plugin, menurut peneliti dari Wordfence.

Memberi pengguna dengan izin rendah akses ke fungsi “tawcvs_save_settings” sangat memprihatinkan, katanya, karena akses itu dapat digunakan untuk memperbarui pengaturan plugin dan menyuntikkan skrip web berbahaya yang akan dijalankan setiap kali pemilik situs mengakses area pengaturan plugin.

Kerentanan (CVE-2021-42367) memengaruhi semua pengguna plugin hingga 23 November, sampai plugin ditambal di versi 2.1.2 yang baru.

Untuk mengurangi bug plugin terbaru ini, Chamberland merekomendasikan agar pengguna memperbarui situs mereka dengan versi yang ditambal dari Variasi Swatch untuk WooCommerce.

Selengkapnya: Threat Post

Situs WordPress diretas dalam serangan ransomware palsu

November 17, 2021 by Winnie the Pooh

Gelombang serangan baru mulai akhir pekan lalu telah meretas hampir 300 situs WordPress untuk menampilkan pemberitahuan enkripsi palsu, mencoba mengelabui pemilik situs agar membayar 0,1 bitcoin untuk pemulihan.

Tuntutan tebusan ini datang dengan countdown timer untuk menimbulkan rasa urgensi dan mungkin membuat admin web panik untuk membayar uang tebusan.

Sementara permintaan tebusan 0,1 bitcoin (~$6.069.23) tidak terlalu signifikan dibandingkan dengan apa yang kita lihat pada serangan ransomware tingkat tinggi, itu masih bisa menjadi jumlah yang cukup besar bagi banyak pemilik situs web.

Serangan ini ditemukan oleh perusahaan keamanan siber Sucuri yang disewa oleh salah satu korban untuk melakukan insiden respons.

Para peneliti menemukan bahwa situs web tersebut tidak dienkripsi, melainkan pelaku ancaman memodifikasi plugin WordPress yang diinstal untuk menampilkan catatan tebusan dan countdown timer.

Selain menampilkan catatan tebusan, plugin akan memodifikasi semua posting blog WordPress dan menyetel ‘post_status’ ke ‘null’, yang menyebabkan status tidak dipublikasikan.

Dengan demikian, para aktor menciptakan ilusi sederhana namun kuat yang membuatnya tampak seolah-olah situs tersebut telah dienkripsi.

Dengan menghapus plugin dan menjalankan perintah untuk memublikasikan ulang postingan dan halaman, situs kembali ke status normalnya.

Setelah analisis lebih lanjut dari log lalu lintas jaringan, Sucuri menemukan bahwa titik pertama di mana alamat IP aktor muncul adalah panel wp-admin.

Ini berarti bahwa penyusup masuk sebagai admin di situs, baik dengan bruteforce kata sandi atau dengan sumber kredensial curian dari pasar dark web.

Selengkapnya: Bleeping Computer

WordPress Terancam Dapat Dihapus Pelanggan akibat Bug Plugin

October 29, 2021 by Eevee

Telah ditemukan kelemahan keamanan tingkat tinggi di plugin WordPress yang melibatkan 8.000 pengguna. Hal ini memungkinkan attackers untuk mengatur ulang dan menghapus situs web yang rentan.

Plugin yang dimaksud dikenal sebagai Hashthemes Demo Importer, dirancang untuk membantu admin mengimpor demo untuk tema WordPress, tanpa harus menginstal dependensi apa pun.

Bug keamanan akan memungkinkan penyerang yang diautentikasi untuk mengatur ulang situs WordPress dan menghapus hampir semua konten basis data dan media yang diunggah.

Insinyur QA Wordfence dan analis ancaman Ram Gall, menjelaskan bahwa plugin gagal melakukan pemeriksaan nonce dengan benar, membocorkan nonce AJAX di dasbor admin situs yang rentan untuk semua pengguna, “termasuk pengguna dengan hak istimewa rendah seperti pelanggan.”

Sebagai konsekuensi langsung dari bug ini, pengguna tingkat pelanggan yang masuk dapat menyalahgunakannya untuk menghapus semua konten di situs yang menjalankan versi Pengimpor Demo Hashthemes yang belum ditambal.

“Sementara sebagian besar kerentanan dapat memiliki efek merusak, tidak mungkin memulihkan situs di mana kerentanan ini dieksploitasi kecuali telah dicadangkan,” tambah Gall.

Setiap pengguna yang masuk dapat memicu fungsi hdi_install_demo AJAX dan memberikan parameter reset yang disetel ke true, sehingga plugin menjalankan fungsi database_reset. Fungsi ini menghapus database dengan memotong setiap tabel database di situs kecuali untuk wp_options, wp_users, dan wp_usermeta. Setelah database dihapus, plugin kemudian akan menjalankan fungsi clear_uploads, yang menghapus setiap file dan folder di wp-content/uploads. — Ram Gall

Sementara Wordfence melaporkan kerentanan bug ke tim pengembangan plugin pada 25 Agustus 2021, para pengembang tidak membalas pesan pengungkapan selama hampir sebulan.

Ini mendorong Wordfence untuk menghubungi tim plugin WordPress pada 20 September, yang menyebabkan penghapusan plugin pada hari yang sama dan rilis tambalan yang mengatasi bug empat hari kemudian, pada 24 September.

Namun, pengembang Hashthemes Demo Importer tidak menyebutkan rilis 1.1.2 atau pembaruan pada halaman changelog plugin meskipun merilis pembaruan keamanan.

sumber: BLEEPING COMPUTER

PERINGATAN ANCAMAN: Serangan penambang Crypto – Sysrv-Hello Botnet menargetkan pod WordPress

August 31, 2021 by Winnie the Pooh

Tim Riset Keamanan Sysdig telah mengidentifikasi serangan Cryptominer yang menyerang pod Kubernetes yang menjalankan WordPress, terkait dengan Botnet Sysrv-Hello baru-baru ini.

Tujuan serangan itu adalah untuk mengontrol pod, menambang cryptocurrency, dan mereplikasi dirinya dari sistem yang disusupi.

Secara khusus, penyerang menargetkan WordPress yang salah dikonfigurasi untuk melakukan akses awal. Mereka kemudian mencoba menghentikan malware potensial lainnya, menginstal dan mengeksekusi cryptominer, dan akhirnya, mencoba mereplikasi dirinya sendiri (dalam infrastruktur honeypot Sysdig dan di internet).

Yang perlu diperhatikan tentang serangan ini adalah bahwa hash biner dari skrip serangan dan cryptominer sangat baru, dan pendaftar pada basis data malware menunjukkan bahwa sangat sedikit orang yang mendeteksinya. Jadi, sebagian besar perangkat lunak keamanan tidak akan dapat mendeteksi serangan tersebut, dan Anda harus bergantung pada pendeteksian perilakunya untuk mendapatkan peringatan.

Apa itu Botnet Sysrv-Hello?

Botnet Sysrv-hello adalah infeksi Windows dan Linux yang pertama kali diidentifikasi pada akhir Desember 2020, yang mengeksploitasi banyak kerentanan dan disebarkan melalui skrip shell.

sejak identifikasi pertama, penyerang melakukan beberapa perubahan dalam skrip shell yang menginstal implan Sysrv-hello, yang merupakan cara malware executable disebarkan pada sistem host.

Dalam perubahan terbaru mereka, botnet memiliki fitur dan eksploitasi baru untuk replikasi. Fitur baru yang paling penting adalah kemampuan untuk mengunduh penambang seperti Monero dan mulai menambang cryptocurrency.

Selengkapnya: Sysdig

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

WordPress

Apa itu Botnet Sysrv-Hello?

Cookies Settings