Plugin pengoptimalan SEO WordPress yang populer, yang disebut All in One SEO, memiliki sepasang kerentanan keamanan yang, jika digabungkan menjadi rantai eksploitasi, dapat membuat pemilik situs web terbuka untuk pengambilalihan situs. Plugin ini digunakan oleh lebih dari 3 juta situs web.
Penyerang dengan akun di situs – seperti pelanggan, pemegang akun belanja, atau anggota – dapat memanfaatkan celah, yang merupakan bug eskalasi hak istimewa dan injeksi SQL masalah, menurut peneliti di Sucuri.
“Situs web WordPress secara default memungkinkan setiap pengguna di web untuk membuat akun,” kata peneliti dalam sebuah posting pada hari Rabu. “Secara default, akun baru diberi peringkat sebagai pelanggan dan tidak memiliki hak istimewa selain menulis komentar. Namun, kerentanan tertentu, seperti yang baru saja ditemukan, memungkinkan pengguna pelanggan ini memiliki lebih banyak hak istimewa daripada yang seharusnya mereka miliki.”
Pasangan ini siap untuk dieksploitasi dengan mudah, menurut Sucuri, jadi pengguna harus meningkatkan ke versi yang ditambal, v.4.1.5.3. Marc Montpas, seorang peneliti keamanan di Automattic, dipuji karena menemukan bugs.
Privilege Eskalasi dan SQL Injection
Masalah yang lebih parah dari kedua bug tersebut adalah masalah eskalasi hak istimewa, yang memengaruhi versi 4.0.0 dan 4.1.5.2 dari All in One SEO. Ini membawa peringkat kritis 9,9 dari 10 pada skala kerentanan-keparahan CVSS, karena kemudahan eksploitasi yang ekstrem dan fakta bahwa itu dapat digunakan untuk membuat pintu belakang di server web.
Kerentanan “dapat dieksploitasi hanya dengan mengubah satu karakter permintaan menjadi huruf besar,” peneliti di Sucuri menjelaskan.
Pada dasarnya, plugin dapat mengirim perintah ke berbagai titik akhir REST API, dan melakukan pemeriksaan izin untuk memastikan tidak ada orang yang melakukan apa pun yang tidak diizinkan. melakukan. Namun, rute REST API peka terhadap huruf besar/kecil, jadi penyerang hanya perlu mengubah huruf besar/kecil satu karakter untuk melewati pemeriksaan otentikasi, menurut writeup.
“Ketika dieksploitasi, kerentanan ini memiliki kemampuan untuk menimpa file tertentu di dalam WordPress struktur file, secara efektif memberikan akses pintu belakang ke penyerang mana pun, ”kata peneliti Sucuri. “Ini akan memungkinkan pengambilalihan situs web, dan dapat meningkatkan hak istimewa akun pelanggan menjadi admin.”
Bug kedua membawa skor CVSS dengan tingkat keparahan tinggi sebesar 7,7 dan memengaruhi versi 4.1.3.1 dan 4.1.5.2 dari All in One SEO.
Secara khusus, masalahnya terletak pada titik akhir API yang disebut “/wp-json/aioseo/v1/objects.” Jika penyerang mengeksploitasi kerentanan sebelumnya untuk meningkatkan hak istimewa mereka ke tingkat admin, mereka akan mendapatkan kemampuan untuk mengakses titik akhir, dan dari sana dapat mengirim perintah SQL berbahaya ke database back-end untuk mengambil kredensial pengguna, informasi admin, dan informasi sensitif lainnya. data, menurut Sucuri.
All in One pengguna SEO harus memperbarui ke versi yang ditambal agar aman, kata para peneliti. Langkah-langkah defensif lainnya termasuk:
<
ul>iMengubah semua kata sandi akun administrator; andliu
<
ul>iMenambahkan pengerasan tambahan ke panel administrator.
Plugin Paradise untuk Peretas Situs Web
Plugin WordPress terus menjadi jalur yang menarik untuk kompromi situs bagi penyerang siber, catat para peneliti. Misalnya, pada awal Desember, serangan aktif membengkak terhadap lebih dari 1,6 juta situs WordPress, dengan para peneliti menemukan puluhan juta upaya untuk mengeksploitasi empat plugin yang berbeda dan beberapa tema Epsilon Framework.
“Plugin WordPress terus menjadi risiko besar bagi aplikasi web, menjadikannya target reguler bagi penyerang,” kata Uriel Maimon, direktur senior teknologi baru di PerimeterX, melalui email. “Kode bayangan yang diperkenalkan melalui plugin dan kerangka kerja pihak ketiga sangat memperluas permukaan serangan untuk situs web.”
Peringatan datang saat bug baru terus muncul. Awal bulan ini, misalnya, plugin “Variation Swatches for WooCommerce,” yang dipasang di 80.000 situs ritel yang didukung WordPress, ditemukan mengandung kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.
Pada bulan Oktober, dua kerentanan tingkat tinggi di Post Grid, sebuah plugin WordPress dengan lebih dari 60.000 instalasi, ditemukan membuka pintu untuk pengambilalihan situs, menurut para peneliti. Untuk boot, bug yang hampir sama juga ditemukan di plugin saudara Post Grid, Team Showcase, yang memiliki 6.000 instalasi.
Juga pada bulan Oktober, bug plugin WordPress ditemukan dalam penawaran Hashthemes Demo Importer, yang memungkinkan pengguna dengan izin pelanggan sederhana untuk menghapus situs dari semua content.
“Pemilik situs web harus waspada terhadap plugin dan kerangka kerja pihak ketiga dan tetap mengikuti pembaruan keamanan,” kata Maimon. “Mereka harus mengamankan situs web mereka menggunakan firewall aplikasi web, serta solusi visibilitas sisi klien yang dapat mengungkapkan keberadaan kode berbahaya di situs mereka.”