Penyerang secara aktif mengeksploitasi kerentanan kritis di BackupBuddy, sebuah plugin WordPress yang diperkirakan digunakan oleh 140,000 situs web untuk mencadangkan instalasi mereka.
Kerentanan ini memungkinkan penyerang membaca dan mengunduh file sewenang-wenang dari situs web yang terpengaruh, termasuk file yang berisi informasi konfigurasi dan data sensitif seperti kata sandi yang dapat digunakan untuk kompromi lebih lanjut.
Vendor keamanan WordPress Wordfence melaporkan mengamati serangan yang menargetkan kelemahan tersebut mulai 26 Agustus, dan mengatakan bahwa pihaknya telah melakukannya memblokir hampir 5 juta serangan Dari dulu. Pengembang plugin tersebut, iThemes, mengeluarkan patch untuk kelemahan tersebut pada 2 September, lebih dari satu minggu setelah serangan dimulai. Hal ini meningkatkan kemungkinan bahwa setidaknya beberapa situs WordPress yang menggunakan perangkat lunak tersebut telah disusupi sebelum perbaikan tersedia untuk kerentanan tersebut.
Bug Traversal Direktori
Dalam pernyataan di situsnya, iThemes menggambarkan kerentanan traversal direktori berdampak pada pengoperasian situs web BackupBuddy versi 8.5.8.0 hingga 8.7.4.1. Ini mendesak pengguna plugin untuk segera memperbarui ke BackupBuddy versi 8.75, meskipun mereka saat ini tidak menggunakan versi plugin yang rentan.
“Kerentanan ini memungkinkan penyerang melihat konten file apa pun di server Anda yang dapat dibaca oleh instalasi WordPress Anda,” pembuat plugin memperingatkan.
Peringatan iThemes memberikan panduan tentang bagaimana operator situs dapat menentukan apakah situs web mereka telah disusupi dan langkah-langkah yang dapat mereka ambil untuk memulihkan keamanan. Langkah-langkah ini termasuk mengatur ulang kata sandi database, mengubah kata sandinya garam WordPress, dan memutar kunci API serta rahasia lainnya di file konfigurasi situsnya.
Wordfence mengatakan telah melihat penyerang menggunakan kelemahan tersebut untuk mencoba mengambil “file sensitif seperti file /wp-config.php dan /etc/passwd yang dapat digunakan untuk membahayakan korban lebih lanjut.”
Keamanan Plug-in WordPress: Masalah Endemik
Cacat BackupBuddy hanyalah satu dari ribuan kelemahan yang telah terungkap di lingkungan WordPress — hampir semuanya melibatkan plug-in — dalam beberapa tahun terakhir.
Dalam sebuah laporan awal tahun ini, iThemes mengatakan telah mengidentifikasinya total 1,628 kerentanan WordPress terungkap pada tahun 2021 — dan lebih dari 97% diantaranya terkena dampak plug-in. Hampir setengahnya (47.1%) dinilai memiliki tingkat keparahan tinggi hingga kritis. Dan yang meresahkan, 23.2% dari plugin yang rentan tidak diketahui perbaikannya.
Pemindaian cepat terhadap National Vulnerability Database (NVD) oleh Dark Reading menunjukkan bahwa beberapa lusin kerentanan yang berdampak pada situs WordPress telah terungkap sejauh ini pada minggu pertama bulan September saja.
Plug-in yang rentan bukan satu-satunya kekhawatiran situs WordPress; plug-in berbahaya adalah masalah lainnya. Sebuah studi skala besar terhadap lebih dari 400,000 situs web yang dilakukan oleh para peneliti di Institut Teknologi Georgia menemukan sebuah mengejutkan 47,337 plug-in berbahaya diinstal pada 24,931 website, sebagian besar masih aktif.
Sounil Yu, CISO di JupiterOne, mengatakan risiko yang melekat pada lingkungan WordPress sama seperti risiko yang ada di lingkungan mana pun yang memanfaatkan plug-in, integrasi, dan aplikasi pihak ketiga untuk memperluas fungsionalitas.
“Seperti halnya ponsel cerdas, komponen pihak ketiga tersebut memperluas kemampuan produk inti, namun komponen tersebut juga menimbulkan masalah bagi tim keamanan karena komponen tersebut secara signifikan meningkatkan permukaan serangan pada produk inti,” jelasnya, seraya menambahkan bahwa pemeriksaan produk ini juga merupakan tantangan. karena jumlahnya yang banyak dan tidak jelas asal usulnya.
“Tim keamanan memiliki pendekatan yang belum sempurna, dan sering kali memberikan pandangan sepintas pada apa yang saya sebut tiga P: popularitas, tujuan, dan izin,” kata Yu. “Mirip dengan toko aplikasi yang dikelola oleh Apple dan Google, pemeriksaan lebih lanjut perlu dilakukan oleh pasar untuk memastikan bahwa [plug-in, integrasi, dan aplikasi pihak ketiga] yang berbahaya tidak menimbulkan masalah bagi pelanggan mereka,” catatnya.
Masalah lainnya adalah sementara itu WordPress banyak digunakan, sering kali dikelola oleh profesional pemasaran atau desain Web dan bukan profesional TI atau keamanan, kata Bud Broomhead, CEO di Viakoo.
“Pemasangannya mudah dan pelepasannya hanya perlu dipikir-pikir atau tidak pernah dilakukan,” kata Broomhead kepada Dark Reading. “Sama seperti permukaan serangan yang beralih ke IoT/OT/ICS, pelaku ancaman menargetkan sistem yang tidak dikelola oleh TI, terutama sistem yang banyak digunakan seperti WordPress.”
Broomhead menambahkan, “Bahkan ketika WordPress mengeluarkan peringatan tentang plugin yang merupakan kerentanan, prioritas lain selain keamanan dapat menunda penghapusan plugin berbahaya.”
