Peneliti keamanan telah mendeteksi aktivitas mencurigakan yang melibatkan pemindaian terhadap 1.6 juta situs Wordpress. Pemindaian massal tersebut dilakukan untuk menemukan plugin yang menyediakan celah untuk mengunggah berkas tanpa perlu autentikasi. Meskipun begitu, dari sebanyak 1.599.852 situs Wordpress yang dipindai, hanya sedikit yang masih menjalankan plugin rentan.
Dikutip dari Bleeping Computer, penyerang menargetkan Kaswara Modern WPBakery Page Builder, plugin yang telah ditinggalkan oleh penciptanya sebelum menerima tambalan untuk cacat kritis yang diberi kode CVE-2021-24284.
Kerentanan dalam Kaswara Modern WPBakery Page Builder memungkinkan penyerang untuk menyuntikkan Javascript berbahaya menggunakan versi berapapun dari plugin tersebut tanpa perlu melewati autentikasi. Penyerang kemudian dapat melakukan beberapa aksi seperti mengunggah dan menghapus berkas, hingga pada akhirnya mampu mengambil alih situs.
Serangan Skala Besar
Berdasarkan data telemetri milik Wordfence, serangan bermula pada 4 Juli dan terus berlangsung dengan rata-rata 443.868 upaya tiap hari.
Serangan berasal dari 10.215 alamat IP berbeda. Beberapa di antaranya mengirimkan jutaan request, sedangkan lainnya mengirimkan request dalam jumlah yang lebih kecil.
Teknik Serangan
Penyerang mengirimkan request POST ke alamat "wp-admin/admin-ajax/php" dan bermaksud memanfaatkan fungsi AJAX "uploadFontIcon" milik plugin tersebut untuk mengunggah ZIP berbahaya yang mengandung berkas PHP. Berkas tersebut selanjutnya mengundang trojan NSDW. Trojan tersebut kemudian akan menyuntikan kode ke dalam berkas Javascript asli guna mengarahkan pengunjung ke situs-situs berbahaya yang memuat phishing dan malware.
Beberapa nama berkas ZIP yang digunakan oleh penyerang antara lain adalah "inject.zip", "king_zip.zip", "null.zip", "plugin.zip", and "***_young.zip". Oleh sebab itu, selain munculnya string "; if(ndsw==" dalam berkas Javascript, keberadaan berkas-berkas dengan nama tersebut menjadi indikasi bahwa situs telah terinfeksi.
Penanganan Serangan
Jika situs masih menggunakannya, pengguna disarankan menghapus plugin Kaswara Modern WPBakery Page Builder. Sedangkan jika tidak, alamat IP penyerang tetap perlu diblokir. Detail mengenai serangan dapat disimak dalam blog Wordfence.
Sumber: https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/
Sumber gambar: Unsplash & Bleepingcomputer