Cyberthreat.id – Perusahaan keamanan WordPress Defiant menemukan bahwa penyerang menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di Plugin Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dikutip dari Bleeping Computer, dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung. Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Defiant mengatakan, bahwa kerentanan yang dipermasalahkan juga memungkinkan penyerang yang tidak diautentikasi untuk membuat akun admin nakal di situs web WordPress yang menjalankan versi plugin yang belum ditambal (hingga dan termasuk 2.10.1). Kerentanan yang dieksploitasi dalam kampanye ini telah ditambal pada bulan Januari dengan dirilisnya versi 2.10.2.

“Menurut catatan kami, kerentanan telah diserang secara aktif sejak 5 Februari 2023, tetapi ini adalah serangan terbesar yang pernah kami lihat,” kata analis ancaman Ram Gall.

Gall mengatakan, jika pihaknya telah memblokir hampir 3 juta serangan terhadap lebih dari 1,5 juta situs, dari hampir 14.000 alamat IP sejak 23 Mei 2023, dan serangan masih berlangsung. Namun, terlepas dari sifat skala besar dari kampanye serangan yang sedang berlangsung ini,  pelaku ancaman menggunakan exploit yang salah konfigurasi yang kemungkinan tidak akan menyebarkan muatan bahkan ketika menargetkan situs WordPress yang menjalankan versi plugin yang rentan.

Meski begitu, admin atau pemilik website yang menggunakan plugin Beautiful Cookie Consent Banner disarankan untuk mengupdate ke versi terbaru karena serangan yang gagal sekalipun dapat merusak konfigurasi plugin yang tersimpan di opsi nsc_bar_bannersettings_json. Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields. Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.