Plug-in WordPress “UpdraftPlus” telah ditambal pada hari Rabu untuk memperbaiki kerentanan yang membuat cadangan sensitif berisiko, berpotensi mengekspos informasi pribadi dan data otentikasi.
UpdraftPlus adalah alat untuk membuat, memulihkan, dan memigrasikan cadangan untuk file WordPress, database, plug- in dan tema. Menurut situs webnya, UpdraftPlus digunakan oleh lebih dari tiga juta situs WordPress, termasuk yang berasal dari organisasi seperti Microsoft, Cisco, dan NASA.
Klik untuk Mendaftar GRATIS
Bug
Pada hari Senin, Marc-Alexandre Montpas – insinyur keamanan di Automattic Inc., induk WordPress perusahaan – mengirimkan laporan kerusakan keamanan yang merinci “kerentanan parah” yang sejak itu diberi label CVE 2022-0633. Peringkat keparahan cacat terdaftar sebagai Tinggi, di 8.5.
Menurut buletin keamanan yang diposting oleh UpdraftPlus pada hari Rabu, hari nol memungkinkan “setiap pengguna yang masuk pada instalasi WordPress dengan UpdraftPlus aktif untuk menggunakan hak istimewa mengunduh cadangan yang ada, hak istimewa yang seharusnya dibatasi hanya untuk pengguna administratif.”
Backup adalah salah satu aset paling sensitif di lingkungan TI, karena biasanya berisi semua jenis data pengguna, data keuangan, konfigurasi basis data – sungguh, apa saja dan segala sesuatu yang berharga.
Beberapa data ini nantinya dapat dimanfaatkan untuk serangan yang lebih canggih.
“Akses ke cadangan dan basis data kemungkinan pertama akan digunakan untuk pencurian kredensial,” John Bambenek, pemburu ancaman utama di Netenrich, mengatakan kepada Threatpost melalui email pada hari Kamis, “tetapi ada ada banyak kemungkinan bagi penyerang untuk memanfaatkan informasi tersebut.”
Kelemahan mendasar dalam kasus ini adalah mekanisme yang digunakan UpdraftPlus divalidasi yang meminta backup. Seperti yang digariskan oleh analis keamanan WordPress di Wordfence, serangan dimulai dengan fungsi detak jantung WordPress.
“Penyerang perlu mengirim permintaan detak jantung yang dibuat khusus yang berisi parameter data[updraftplus],” kata mereka dalam artikel Kamis. “Dengan menyediakan subparameter yang sesuai, penyerang dapat memperoleh log cadangan yang berisi nonce cadangan dan cap waktu yang kemudian dapat mereka gunakan untuk mengunduh cadangan.”
Yang terpenting, penyerang sudah memerlukan akses ke situs target untuk memanfaatkan fungsi detak jantung yang rentan. Hal ini mengurangi risiko situs web hanya menjadi ancaman orang dalam.
Popularitas UpdraftPlus, dikombinasikan dengan kesederhanaan serangan ini, adalah kombinasi yang kuat.
Dan seperti yang Bud Broomhead, CEO di Viakoo, katakan melalui email ke Threatpost pada hari Kamis, “selalu ada penundaan antara menemukan kerentanan dan menerapkan perbaikan keamanan. Ini adalah kasus untuk membuat semua pengguna (berbayar atau tidak) menerima patch keamanan untuk kerentanan tingkat tinggi seperti ini.”
Bagian dari Tren yang Jauh Lebih Luas
CVE 2022-0633 hampir tidak unik. Kelemahan keamanan di plugin WordPress telah menjadi masalah utama dalam keamanan web dalam beberapa bulan terakhir.
Pada bulan Januari, bug skrip lintas situs di plugin WP HTML Mail mengekspos lebih dari 20.000 situs, dan kerentanan otentikasi yang mirip dengan CVE 2022- 0633 ditemukan di tiga plug-in berbeda yang melayani 84 ribu situs gabungan. Pada 18 Januari saja, dua insiden keamanan besar pecah: kerentanan 9,9 dari 10 yang ditemukan di plugin AdSanity, dan kompromi rantai pasokan terkoordinasi dari 40 tema dan 53 plugin milik AccessPress Themes. Kerentanan
WordPress adalah tidak ada yang baru, tetapi mereka meningkat lebih dari dua kali lipat pada tahun 2021 dan tampaknya tidak akan melambat dalam waktu dekat.
Seperti yang dicatat oleh Broomhead, “mengeksploitasi plugin atau komponen yang banyak digunakan (misalnya mirip dengan Log4j, atau kerentanan open source baru-baru ini) memiliki dampak yang keras realitas; terserah masing-masing dan setiap pengguna akhir untuk mengambil tindakan untuk mencegah kerentanan dieksploitasi terhadap mereka.”
Pada hari Rabu, UpdraftPlus merilis versi patch 1.22.3 (gratis) dan 2.22.3 (berbayar). Administrator untuk situs web WordPress yang rentan harus memperbarui sesegera mungkin.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web