Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri!

Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri! – Sejumlah besar situs web WordPress dilaporkan tengah menjadi sasaran kampanye eksploitasi yang masif dan intensif.

Para penyerang berfokus mengeksploitasi tiga kelemahan keamanan kritis pada dua plugin populer, GutenKit dan Hunk Companion.

Data dari peneliti keamanan siber menunjukkan betapa seriusnya ancaman ini. Hanya dalam dua hari, tanggal 8 dan 9 Oktober, peneliti berhasil memblokir 8,7 juta upaya serangan yang menargetkan pelanggan mereka.

Ini mengindikasikan bahwa banyak pemilik situs yang masih belum melakukan pembaruan keamanan, padahal perbaikan (patch) sudah tersedia hampir setahun lalu.

Tiga Celah Keamanan Kritis yang Dieksploitasi

Operasi ini memanfaatkan tiga kerentanan, yang semuanya diklasifikasikan sebagai kritis dengan skor kerentanan tertinggi (CVSS 9.8).

Celah-celah ini memungkinkan penyerang untuk mencapai Remote Code Execution (RCE) kemampuan untuk menjalankan kode berbahaya dari jarak jauh di server Anda.

1.  CVE-2024-9234 (Plugin GutenKit)

• Tipe Kerentanan: Celah pada endpoint REST tanpa perlu otentikasi.
• Dampak: Penyerang yang tidak terotentikasi (tidak perlu login) dapat menginstal plugin lain secara sembarangan.
• Versi Rentan: GutenKit versi 2.1.0 dan yang lebih lama (dengan sekitar 40.000 instalasi aktif).

2.  CVE-2024-9707 & CVE-2024-11972 (Plugin Hunk Companion)

• Tipe Kerentanan: Kelemahan pada otorisasi (missing-authorization) di endpoint REST themehunk-import.
• Dampak: Mirip dengan di atas, penyerang dapat menginstal plugin sembarangan.
• Versi Rentan: CVE-2024-9707 memengaruhi Hunk Companion 1.8.4 dan versi lama. Dan CVE-2024-11972 memengaruhi Hunk Companion 1.8.5 dan versi sebelumnya (dengan sekitar 8.000 instalasi aktif).

Modus Operandi Penyerang (Cara Kerja Eksploitasi)

Para peretas menggunakan celah instalasi plugin yang tidak sah ini sebagai langkah awal. Setelah mendapatkan akses, mereka akan:

1. Penyerang akan memasukkan plugin lain yang dirancang khusus untuk memungkinkan RCE (Remote Code Execution).
2. Mereka mengunggah arsip .ZIP berisi plugin berbahaya bernama ‘up’ yang disamarkan dan dilindungi kata sandi. Plugin ini memiliki kemampuan untuk mengunggah, mengunduh, menghapus file, dan mengubah izin sistem.
3. Salah satu skrip di dalamnya bahkan menyamar sebagai komponen plugin All in One SEO dan digunakan untuk secara otomatis masuk sebagai administrator, memberikan kendali penuh pada peretas.
4. Jika langkah pertama gagal memberikan akses admin penuh, mereka seringkali menginstal plugin rentan lain bernama ‘wp-query-console’ sebagai cadangan untuk mencapai RCE tanpa otentikasi.

Dengan akses penuh ini, penyerang dapat mencuri data sensitif, merusak situs, menyebarkan malware lebih lanjut, atau menggunakan situs Anda sebagai platform untuk menyerang pihak lain.

Langkah Pencegahan dan Tindakan yang Harus Dilakukan

Kelanjutan serangan massal ini menunjukkan perlunya kesadaran yang tinggi dari para pengelola situs WordPress.

1. Pembaruan Segera (Wajib!)

Langkah paling penting adalah segera memperbarui plugin Anda ke versi yang sudah diperbaiki:

• Plugin Rentan : Versi Minimal untuk Perbaikan
• GutenKit : 2.1.1 (dirilis Oktober 2024)
• Hunk Companion : 1.9.0 (dirilis Desember 2024)

Pastikan semua plugin, tema, dan inti WordPress Anda selalu diperbarui ke versi terbaru yang disediakan oleh vendor. Pembaruan seringkali mengandung perbaikan keamanan yang vital.

2. Pemeriksaan Indikator Kompromi (IOC)

Jika Anda khawatir situs Anda mungkin sudah terinfeksi, periksa access log situs Anda untuk entri yang mencurigakan, terutama permintaan ke endpoint berikut:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

Selain itu, periksa direktori file Anda untuk entri asing di lokasi berikut, yang sering digunakan oleh peretas untuk backdoor:

• /up
• /background-image-cropper
• /ultra-seo-processor-wp
• /oke
• /wp-query-console

3. Langkah Keamanan Tambahan

• Gunakan Firewall Aplikasi Web (WAF), banyak layanan yang dapat membantu memblokir permintaan berbahaya sebelum mencapai situs Anda.
• Selalu sediakan backup data situs Anda (file dan database) yang bersih dan terbaru. Jika terjadi peretasan, Anda bisa memulihkan situs dengan cepat.
• Hapus semua plugin dan tema yang tidak terpakai. Semakin sedikit komponen yang terinstal, semakin kecil pula potensi celah keamanan.

Peringatan: Mengabaikan pembaruan keamanan ibarat membiarkan pintu rumah Anda terbuka. Dalam dunia cyber, hanya butuh satu celah kritis bagi penyerang untuk mengambil alih kendali penuh atas situs Anda, yang dapat berujung pada kerugian finansial dan reputasi yang besar.

Sumber berita:

WeLiveSecurity