Celah telah di patch (ditambal), tapi data unduhan menunjukan banyak situs masih rentan.
Kelemahan ini telah secara aktif di eksploitasi oleh para penyerang terhadap website yang menggunakan kedua plugin tersebut.
Dua plugin yang dimaksud adalah EASY WP SMTP dengan 300.000 pengguna aktif dan Social Warfare dengan 70.000 pengguna aktif. Walaupun developer (pengembang) telah merilis Patch untuk menambal celah ini, namun jika dilihat dari data unduhannya, mengindikasikan masih banyak website rentan yang belum menginstall patch ini.
Kelemahan ini telah secara aktif di eksploitasi oleh para penyerang terhadap website yang menggunakan kedua plugin tersebut.
Dua plugin yang dimaksud adalah EASY WP SMTP dengan 300.000 pengguna aktif dan Social Warfare dengan 70.000 pengguna aktif. Walaupun developer (pengembang) telah merilis Patch untuk menambal celah ini, namun jika dilihat dari data unduhannya, mengindikasikan masih banyak website rentan yang belum menginstall patch ini.
EASY WP SMTP yang sudah diperbaiki 5 hari yang lalu baru menunjukan angka 135.000 unduhan, sedangkan untuk Social Warfare kurang dari 20.000 kali unduhan sejak Patch dirilis. Website yang menggunakan salah satu plugin ini harus menonaktifkannya kemudian diperbaharui dengan EASY WP SMTP versi 1.3.9.1 dan Social Warfare versi 3.5.3
Baca Juga :
Serangan yang memanfaatkan celah pada EASY WP SMTP pertama kali dilaporkan oleh perusahaan keamanan NinTechNet pada hari minggu, pada hari itu juga patch dirilis. Hari rabu, perusahaan keamanan lain Defiant melaporkan plugin tetap rentan walau sudah di Patch. Celah yang ada memungkinkan penyerang membuat akun administratif berbahaya pada website yang rentan.
Menurut Defiant ada dua kelompok penyerang, kelompok pertama hanya sebatas membuat akun administratif saja, sedangkan kelompok kedua tidak hanya berhenti sampai membuat akun saja, tapi memanfaatkan akun jahat tersebut untuk melakukan perubahan pada website yang mengarahkan pengunjung ke website berbahaya.
Kelompok terakhir ini menggunakan 2 domain untuk melacak pengguna yang dialihkan, yaitu setforconfigplease[.]com dan getmyfreetraffic[.]com. Hingga hari kamis, peneliti dari firma keamanan Sucuri mengatakan mereka pun mendeteksi aktivitas yang terindikasi menyalah gunakan celah ini.
Sementara itu, celah yang ada pada Social Warfare, memungkinkan penyerang melakukan peretasan serius terhadap website yang rentan. Menurut Defiant, celah yang ada memungkinkan pengunjung sebuah website yang rentan melakukan pengaturan ulang plugin nya. Penyerang memanfaatkannya dengan serangan script lintas-website yang menarik muatan berbahaya dari page Pastebin dan mengeksekusi mereka di browser pengunjung.
Payload mengarahkan pengunjung ke situs berbahaya. Saat tulisan ini dirilis, dua halaman Pastebin berbahaya belum di hapus, yaitu https://pastebin.com/raw/0yJzqbYf dan https://pastebin.com/raw/PcfntxEs. Salah satu domain yang terkandung dalam payload adalah setforconfigplease[.]com.
“Domain-domain ini merupakan bagian dari kumpulan pengalihan yang lebih besar, yang keduanya di hosting di alamat IP yang sama yaitu 176.123.9.52”, tulis Mikey Veenstra peneliti Defiant. “Pengunjung yang diarahkan ke alamat ini selanjutnya diarahkan ke berbagai situs berbahaya, dan aktivitas mereka di lacak melalui cookie. Laporan mengindikasikan berbagai target pengalihan, dari mulai situs porno sampai dengan penipuan”.
Seperti disebutkan sebelumnya, website yang menggunakan salah satu dari plugin wordpress ini berisiko dieksploitasi dan harus segera diperbaharui. Jika pembaruan tidak dapat dilakukan, misalnya jika dilakukan akan mengakibatkan kerusakan, maka sebaiknya pengembang website menonaktifkan plugin sampai pembaruan berhasil dilakukan.
Serangan ini bisa menjadi sebuah peringatan untuk pengguna bahwa bisa saja mereka di alihkan ke situs berbahaya bahkan saat mengunjungi website dengan rekam jejak yang baik dengan sistem keamanan yang bagus sekalipun.
Sumber : arstechnica.com
Sementara itu, celah yang ada pada Social Warfare, memungkinkan penyerang melakukan peretasan serius terhadap website yang rentan. Menurut Defiant, celah yang ada memungkinkan pengunjung sebuah website yang rentan melakukan pengaturan ulang plugin nya. Penyerang memanfaatkannya dengan serangan script lintas-website yang menarik muatan berbahaya dari page Pastebin dan mengeksekusi mereka di browser pengunjung.
Payload mengarahkan pengunjung ke situs berbahaya. Saat tulisan ini dirilis, dua halaman Pastebin berbahaya belum di hapus, yaitu https://pastebin.com/raw/0yJzqbYf dan https://pastebin.com/raw/PcfntxEs. Salah satu domain yang terkandung dalam payload adalah setforconfigplease[.]com.
“Domain-domain ini merupakan bagian dari kumpulan pengalihan yang lebih besar, yang keduanya di hosting di alamat IP yang sama yaitu 176.123.9.52”, tulis Mikey Veenstra peneliti Defiant. “Pengunjung yang diarahkan ke alamat ini selanjutnya diarahkan ke berbagai situs berbahaya, dan aktivitas mereka di lacak melalui cookie. Laporan mengindikasikan berbagai target pengalihan, dari mulai situs porno sampai dengan penipuan”.
Seperti disebutkan sebelumnya, website yang menggunakan salah satu dari plugin wordpress ini berisiko dieksploitasi dan harus segera diperbaharui. Jika pembaruan tidak dapat dilakukan, misalnya jika dilakukan akan mengakibatkan kerusakan, maka sebaiknya pengembang website menonaktifkan plugin sampai pembaruan berhasil dilakukan.
Serangan ini bisa menjadi sebuah peringatan untuk pengguna bahwa bisa saja mereka di alihkan ke situs berbahaya bahkan saat mengunjungi website dengan rekam jejak yang baik dengan sistem keamanan yang bagus sekalipun.
Sumber : arstechnica.com
0 Komentar
Mohon Maaf Jika Komentar Tidak Langsung Dijawab. Bijak Dalam Berkomentar. Komentar Spam akan kami hapus
Penulisan markup di komentar