Kerentanan serius yang ada di puluhan ribu situs WordPress sedang disalahgunakan secara liar, para peneliti telah memperingatkan.
Pakar keamanan dari tim Wordfence Threat Intelligence baru-baru ini menemukan kerentanan remote code execution (RCE) di sebuah plugin untuk platform CMS populer, yang disebut Tatsu Builder.
Kerentanan dilacak sebagai CVE-2021-25094, dan pertama kali terlihat pada akhir Maret tahun ini. Ini hadir dalam versi gratis dan premium dari plugin WordPress.
Menyebarkan malware
Penyerang menggunakan kelemahan di plugin WordPress untuk menyebarkan dropper, yang kemudian menginstal malware tambahan (terbuka di tab baru). Dropper biasanya ditempatkan di subfolder acak di wp-content/uploads/typehub/custom/.
Nama file dimulai dengan simbol titik, menunjukkan file tersembunyi. Para peneliti mengatakan ini diperlukan untuk mengeksploitasi kerentanan, karena memanfaatkan kondisi ras.
Mengingat bahwa plugin tidak terdaftar di repositori WordPress.org, kata Wordfence, mengidentifikasi dengan tepat berapa banyak situs web yang telah diinstal sangat sulit. Namun, perusahaan memperkirakan bahwa antara 20.000 dan 50.000 situs web menggunakan Tatsu Builder.
Meskipun administrator telah diperingatkan tentang kelemahan tersebut sekitar sepuluh hari yang lalu, Wordfence percaya setidaknya seperempat tetap rentan, yang berarti antara 5.000 dan 12.500 situs web masih dapat diserang.
Serangan, yang dimulai seminggu lalu, masih berlangsung, kata para peneliti, menambahkan bahwa volume serangan mencapai puncaknya dan menurun sejak saat itu.
Kebanyakan dari mereka adalah serangan probing, yang berusaha untuk menentukan apakah situs web tersebut rentan atau tidak. Rupanya, sebagian besar serangan hanya berasal dari tiga IP yang berbeda.
Admin yang ingin tahu apakah mereka telah menjadi target harus memeriksa log mereka untuk string kueri berikut: /wp-admin/admin-ajax.php?action=add_custom_font
Mereka yang memasang plugin Tatsu Builder disarankan untuk memperbarui ke versi terbaru (3.3.13) sesegera mungkin.