Cyberthreat.id – Peneliti Wordfence Threat Intelligence menemukan serangan aktif yang memanfaatkan celah kritis pada YITH WooCommerce Gift Cards Premium, sebuah plugin di situsweb berbasis WordPress yang telah diinstal lebih dari 50.000 pemasangan.

Wordfence adalah perusahaan keamanan siber yang fokus meneliti dan menyediakan proteksi untuk situsweb berbasis WordPress. Di situswebnya, perusahaan mengatakan telah membuat plugin yang diinstal di lebih 4 juta pemasangan.

Kerentanan plugin tersebut sebetulnya telah diungkap oleh peneliti keamanan Dave Jong pada 22 November 2022 dan telah dilabeli sebagai CVE-2022-45359 yang tergolong kritis (skor 9.8).

Plugin yang terkena dampak yaitu versi 3.19.0 yang memungkinkan penyerang tidak terautentikasi bisa mengunggah file jahat yang dapat dieksekusi ke situsweb WordPress yang menginstal plugin rentan tersebut.

Tak hanya itu, penyerang juga bisa membuat backdoor dan melakukan eksekusi kode jarak jauh sehingga bisa mengambil alih situsweb, tulis Wordfence di blog perusahaan diakses Selasa (27 Desember 2022).

“Kami sangat menyarankan untuk memperbarui ke versi plugin terbaru yaitu 3.21.0 […] karena lerentanan ini telah dieksploitasi secara liar,” tutur perusahaan.

Mendapati hal tersebut, peneliti Wordfence pun melakukan serangan balik dengan “merekayasa balik exploit berdasarkan lalu lintas serangan dan salinan plugin yang rentan.”

Menurut peneliti, masalahnya terletak pada fungsi “import_actions_from_settings_panel” plugin yang berjalan pada “admin_init”.

Selain itu, fungsi tersebut juga tidak memiliki pemeriksaan kemampuan dan pemeriksaan CSRF. Karena masalah keduanya, penyerang bisa mengirim permintaan POST ke “/wp-admin/admin-post.php” menggunakan parameter yang sesuai untuk mengunggah file PHP berbahaya.

Dari mana asal serangan?

“Meskipun kami telah melihat serangan dari lebih dari seratus IP, sebagian besar serangan hanya berasal dari dua alamat IP,” kata Wordfence.

Pertama, alamat IP 103.138.108.15 yang mengirimkan 19.604 serangan terhadap 10.936 situsweb berbeda.

Lalu, kedua, alamat IP 188.66.0.135 telah mengirimkan 1.220 serangan terhadap 928 situsweb.

“Sebagian besar serangan terjadi sehari setelah kerentanan diungkapkan, tetapi terus berlanjut, dengan puncak lainnya pada 14 Desember 2022,” kata Wordfence.

“Karena kerentanan ini mudah dieksploitasi dan memberikan akses penuh ke situsweb yang rentan, kami memperkirakan serangan akan terus berlanjut.”[]