AdSanity, Plugin AccessPress Membuka Banyak Situs WordPress untuk Pengambilalihan

Sistem manajemen konten (CMS) WordPress menawarkan lebih banyak masalah bagi admin minggu ini, berkat sepasang masalah keamanan yang berbeda namun terkait dengan add-on untuk platform.

Masalah pertama memengaruhi plugin WordPress AdSanity. Ini adalah kerentanan keamanan kritis yang dapat memungkinkan eksekusi kode jarak jauh (RCE) dan pengambilalihan situs secara penuh.

Masalah kedua menyangkut serangan rantai pasokan klasik, di mana penjahat dunia maya mengkompromikan 40 tema dan 53 plugin milik AccessPress Themes untuk menyuntik mereka dengan kulit web Jadi, setiap situs web yang memasang salah satu pengaya yang disusupi juga terbuka untuk RCE dan pengambilalihan penuh.

AdSanity Plugin Allows RCE

AdSanity adalah plugin rotator iklan ringan untuk WordPress. Ini memungkinkan pengguna untuk membuat dan mengelola iklan yang ditampilkan di situs web serta menyimpan statistik pada tampilan dan klik, semuanya melalui dasbor terpusat.

Bug, yang membawa peringkat sekitar 9,9 dari 10 pada skala kerentanan-keparahan CVSS, “ dapat memungkinkan pengguna dengan hak istimewa rendah untuk melakukan unggahan file sewenang-wenang, eksekusi kode jarak jauh, dan serangan skrip lintas situs yang tersimpan,” menurut para peneliti di Jaringan Ninja Technologies.

Masalah (tidak ada CVE yang ditetapkan) muncul berkat kontrol akses yang rusak, mereka dijelaskan dalam artikel Selasa. Saat pengguna memasang iklan di situs web, mereka mengunggah file .ZIP yang berisi materi. Proses tersebut dikelola di dalam skrip “adsanity/views/html5-upload.php”, menggunakan fungsi ajax_upload.

“Fungsi itu digunakan untuk mengunggah dan mengekstrak konten arsip .ZIP ke dalam ‘wp-content/uploads/ folder adsanity/{post_id}/’,” menurut NinTechNet. “Ini hanya memiliki nonce keamanan, dapat diakses oleh setiap pengguna dengan Kontributor atau hak istimewa di atas, dan pemeriksaan sederhana untuk memastikan ada file index.html di dalam arsip.”

Di WordPress, izin peran Kontributor dibatasi hanya untuk tiga tugas – membaca semua posting, dan menghapus atau mengedit posting mereka sendiri. Kontributor tidak dapat memublikasikan posting baru atau mengunggah file media, sehingga izin ini biasanya diberikan kepada pembuat konten satu kali atau peran terbatas, pekerja lepas, dan lainnya yang kurang dipercaya untuk bermain-main dengan situs web perusahaan.

Karena bug, meskipun demikian, Kontributor jahat dapat memperoleh akses penuh ke backend situs web melalui plugin AdSanity. Eksploitasi dapat dicapai hanya dengan menambahkan skrip index.php di dalam arsip .ZIP untuk diunggah, catat peneliti.

“Kodenya akan dimuat oleh iframe alih-alih file index.html, dan dieksekusi di dalam metabox setiap kali seorang pengguna mengakses pengelola iklan di backend,” jelas mereka. “Jika blog memiliki file .htaccess untuk mencegah eksekusi kode PHP di dalam folder /uploads/, penyerang dapat dengan mudah mengesampingkan perlindungan itu dengan mengunggah [file] .htaccess lainnya.”

Mereka menambahkan, “Selain itu, penyerang dapat mengunggah file dengan Kode JavaScript juga, yang dapat digunakan untuk menargetkan administrator yang meninjau posting.”

Kerentanan telah diperbaiki di versi 1.8.2, tetapi setelah memperbarui, pemilik situs masih harus meninjau izin pengguna dan akses ke plugin, memperingatkan NinTechNet.

“The versi baru tidak mengizinkan pengguna Kontributor untuk mengunggah file tetapi masih mengizinkan pengguna Penulis+ untuk melakukannya, oleh karena itu jika Anda memiliki pengguna Penulis yang terdaftar di blog Anda, Anda dapat sangat berhati-hati,” jelas peneliti.

AccessThemes Backdoor Bonanza

Sementara itu, peneliti keamanan dari Jetpack, saat melakukan forensik di situs web yang disusupi, menemukan tema pintu belakang dari AccessPress Themes yang memungkinkan penyerang jarak jauh untuk mengeksekusi code.

Jetpack peneliti menyelidiki perpustakaan perusahaan dan dengan cepat menemukan bahwa ketika datang ke penawaran gratis, “semua tema dan sebagian besar plugin … disuntikkan dengan pintu belakang,” yang akan memungkinkan penyerang untuk mengambil kendali penuh dari situs web mana pun yang memiliki salah satu situs web yang disusupi. add-on terinstal.

AccessPress Themes menyediakan beberapa tema dan plugin gratis dan berbayar yang dapat digunakan untuk menyesuaikan situs yang diberdayakan WordPress – 64 tema dan 109 plugin secara keseluruhan, secara kolektif menyumbang 360.000 pemasangan, menurut situs webnya.

Sayangnya, masalahnya tampaknya sedang berlangsung: “Sebagian besar plugin telah diperbarui,” menurut penasihat Jetpack, yang dikeluarkan minggu lalu. “Namun, tema yang terpengaruh belum diperbarui, dan ditarik dari repositori tema WordPress.org.”

Tentu saja, masalah ini memengaruhi penawaran yang diunduh langsung dari situs web pengembang; semua penawaran Tema AccessPress yang diunduh langsung dari WordPress.org bersih, catat para peneliti.

A Webshell Berbasis Cookies

Ekstensi yang terinfeksi berisi penetes untuk cangkang web, yang dimasukkan ke dalam file “inital.php”,  terletak di plugin utama atau direktori tema .

“Saat dijalankan, ia menginstal webshell berbasis cookie di ‘wp-includes/vars.php,`” peneliti menjelaskan. “Shell diinstal sebagai fungsi tepat di depan fungsi ‘wp_is_mobile()’ dengan nama ‘wp_is_mobile_fix().’ Ini mungkin tidak menimbulkan kecurigaan bagi siapa pun yang dengan santai menggulir file ‘vars.php’.”

Setelah shell diinstal, penetes akan memuat gambar jarak jauh ke server perintah-dan-kontrol (C2) yang berisi URL situs yang terinfeksi dan informasi tentang tema yang digunakannya. Kemudian, menghapus file sumber penetes untuk menghindari deteksi, menurut analysis.

C2 dapat mengaktifkan webshell untuk mengeksekusi kode dengan mengirimkan permintaan dengan string agen pengguna “wp_is_mobile,” bersama dengan delapan cookie tertentu. Pintu belakang kemudian menyatu dan menjalankan muatan dari cookie yang disediakan ini. Para peneliti juga melihat varian kedua yang sedikit lebih tua dari pintu belakang yang langsung tertanam di file “functions.php” tema/plugin, kata mereka. Namun, dalam semua kasus, semua penawaran telah disusupi sejak September.

Daftar lengkap tema dan versi yang disusupi oleh serangan tersedia di bagian bawah nasihat asli Jetpack, bersama dengan status patch.

Pengguna yang terpengaruh harus meningkatkan ke versi tetap, jika tersedia – dan jika tidak ada versi aman yang tersedia, mereka dapat menggantinya dengan versi terbaru dari WordPress.org, kata peneliti.

“Harap diperhatikan bahwa ini tidak menghapus pintu belakang dari sistem Anda, jadi selain itu Anda perlu menginstal ulang versi bersih WordPress untuk mengembalikan modifikasi file inti yang dilakukan selama pemasangan pintu belakang,” tambah.

WordPress: Target & Pusat Risiko Juicy Plugin dan tema

WordPress terus diganggu dengan kerentanan – keadaan yang agak menyatu dengan ekosistem, kata Zach Jones, direktur senior penelitian deteksi di NTT Application Security.

“WordPress dan ekosistemnya muncul dari situs web DIY mov yang lebih baik, dan terkadang lebih buruk, sangat terbuka dan dapat diakses,” katanya kepada Threatpost. “Siapa pun dapat menulis plugin WordPress dan membagikannya kepada dunia. WordPress dan bahasa dasarnya, PHP, sering kali menjadi titik masuk ke teknologi web bagi banyak pemula yang berjiwa petualang dan wirausaha, yang merupakan anugerah bagi ekosistem, tetapi merupakan tantangan bagi keamanannya. Saya berbicara secara khusus dari pengalaman pribadi di sini karena WordPress adalah bagian dari paparan awal saya untuk mengembangkan situs web secara profesional, dan saya secara pribadi membuat (untungnya tidak diterbitkan) plugin WordPress yang di belakang penuh dengan kerentanan.”

Dan memang, sumber terbuka sifat dunia WordPress telah menarik banyak pengembang, dengan berbagai tingkat keamanan, kata Yehuda Rosen, insinyur perangkat lunak senior di nVisium.

“Siapa pun dapat membuat dan mengunggah plugin, tema, dan lainnya sendiri — tanpa kredensial atau pengalaman yang diperlukan untuk memulai, ”katanya kepada Threatpost. “Ada lebih dari 55.000 plugin yang tersedia untuk diunduh siapa saja dari WordPress.org saat ini, serta lebih dari 9.000 tema — sebagian besar ditulis oleh pembuat kode yang memiliki sedikit pengalaman dengan praktik terbaik keamanan.”

Dia menambahkan, “Sebagai hasilnya, Anda sekarang memiliki jejak besar dengan kode yang berpotensi rentan disebarkan ke sejumlah besar situs web — yang, tentu saja, membuat ekosistem WordPress menjadi target yang sangat menarik bagi calon penyerang.”

Itu juga berarti bahwa penyerang yang berdedikasi hampir pasti akan menemukan kerentanan di plugin WordPress jika mereka mencarinya.

“Jadi, meskipun hanya 10 persen plugin yang memiliki masalah keamanan, jumlah sebenarnya mungkin jauh lebih tinggi dengan ribuan tema yang rentan,” kata Rosen. “Sifat open-source, bersama dengan banyaknya penyebaran, hampir menjamin bahwa masalah keamanan akan banyak.”

Meski begitu, WordPress telah disebut-sebut sebagai sumber daya lebih dari 40 persen dari semua situs web, dengan total ratusan juta situs web. Dan jangkauannya benar-benar meluas lebih jauh, Rosen menunjukkan.

“WordPress bukan hanya perangkat lunak blog. Automattic – perusahaan di belakang WordPress – diam-diam telah mengambil alih lebih banyak area web selama bertahun-tahun,” katanya. “Beberapa area termasuk pencegahan spam (Akismet), e-commerce (WooCommerce), jejaring sosial (BuddyPress), dan bahkan area yang lebih acak seperti rekrutmen pekerjaan (WPJobBoard) atau podcasting (Pocket Casts). Semua properti di atas dibangun dengan WordPress sebagai inti, dengan beberapa menyebutnya sebagai proyek perangkat lunak paling penting di internet.”

Dengan skala seperti itu, mengamankan semua infrastruktur itu mungkin tampak menakutkan. Roy Horev, salah satu pendiri dan CTO di Vulcan Cyber, mencatat bahwa setiap administrator situs harus ikut serta dan memastikan untuk melakukan dasar-dasar keamanan.

“Siapa pun yang menjalankan WordPress harus cukup cerdas untuk mengetahui untuk tetap mengetahui pembaruan keamanan mereka,” katanya kepada Threatpost. “Setiap kali teknologi meresap seperti WordPress, itu menjadi target populer bagi peretas karena mereka dapat mengandalkan persentase administrator yang tidak mengikuti pembaruan untuk platform inti dan plugin WordPress. Kami merekomendasikan untuk menjalankan audit keamanan WordPress dan pluginnya setidaknya setiap tiga bulan, dan memperbarui perangkat lunak secara bertanggung jawab segera setelah rilis keamanan baru tersedia.” Jones dari

NTT menambahkan, “Dari perspektif penggunaan perusahaan atau WordPress, cerita besarnya di sini adalah bahwa banyak organisasi tidak melakukan ketekunan yang diperlukan untuk meningkatkan WordPress, terutama dalam hal keamanan. Saat memilih untuk menggunakan kerangka kerja atau perangkat lunak pihak ketiga seperti plugin, ketekunan yang cermat harus dilakukan untuk memastikan bahwa risiko tambahan yang diperkenalkan diketahui dan dikendalikan sebagai bagian dari program keamanan aplikasi keseluruhan yang efektif.”