Hacker telah mulai menargetkan kerentanan tingkat kritis di plugin WP Automatic pada WordPress untuk membuat akun pengguna dengan hak administratif dan memasang pintu belakang (back door) untuk akses jangka panjang.
Saat ini telah diinstal di lebih dari 30.000 situs web, WP Automatic memungkinkan administrator mengotomatiskan impor konten (misalnya teks, gambar, video) dari berbagai sumber online dan menerbitkannya di situs WordPress mereka. Kerentanan yang dieksploitasi diidentifikasi sebagai CVE-2024-27956 dan menerima skor tingkat keparahan 9,9/10.
Hal ini diungkapkan secara publik oleh para peneliti keamanan di layanan mitigasi kerentanan PatchStack pada 13 Maret dan digambarkan sebagai masalah SQL injection yang berdampak pada versi WP Automtic sebelum 3.9.2.0.
Masalahnya ada pada mekanisme autentikasi pengguna plugin, yang dapat di bypass untuk mengirimkan kueri SQL ke database situs. Hacker dapat menggunakan kueri yang dibuat khusus untuk membuat akun administrator di situs web target.
Lebih dari 5,5 juta upaya serangan
Sejak PatchStack mengungkap masalah keamanan, WPScan Automatic mengamati lebih dari 5,5 juta serangan yang mencoba memanfaatkan kerentanan, sebagian besar tercatat pada tanggal 31 Maret.
WPScan melaporkan bahwa setelah mendapatkan akses admin ke situs target, penyerang membuat back door dan mengaburkan kode agar lebih sulit ditemukan.
“Setelah situs WordPress disusupi, penyerang memastikan umur panjang akses mereka dengan membuat back door dan mengaburkan kodenya,” demikian bunyi laporan WPScan.
Untuk mencegah hacker lain menyusupi situs web dengan mengeksploitasi masalah yang sama dan untuk menghindari deteksi, hacker juga mengganti nama file yang rentan tersebut menjadi “csv.php.” Begitu mereka menguasai situs web, pelaku ancaman sering kali memasang plugin tambahan yang memungkinkan pengunggahan file dan pengeditan kode. WPScan menyediakan serangkaian indikator kompromi yang dapat membantu admin menentukan apakah situs web mereka diretas.
Administrator dapat memeriksa tanda-tanda bahwa peretas mengambil alih situs web dengan mencari keberadaan akun admin yang dimulai dengan “xtw” dan file bernama web.php dan index.php, yang merupakan back door yang ditanam dalam kampanye baru-baru ini.
Untuk mengurangi risiko pembobolan, peneliti merekomendasikan administrator situs WordPress untuk memperbarui plugin WP Automatic ke versi 3.92.1 atau lebih baru. WPScan juga merekomendasikan agar pemilik situs web sering membuat cadangan situs mereka sehingga mereka dapat menginstal salinan bersih dengan cepat jika terjadi penyusupan.
Sumber = Bleeping Computer
