Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs


Cyberthreat.id - Kampanye malware baru memanfaatkan kelemahan keamanan tingkat tinggi di plugin Popup Builder untuk WordPress untuk memasukkan kode JavaScript berbahaya.

Menurut Sucuri, kampanye tersebut telah menginfeksi lebih dari 3.900 situs selama tiga minggu terakhir.

“Serangan ini diatur dari domain yang berumur kurang dari sebulan, dengan pendaftaran sejak 12 Februari 2024,” kata peneliti keamanan Puja Srivastava dalam laporan tertanggal 7 Maret sebagaimana dikutip The Hacker News.

Urutan infeksi melibatkan eksploitasi CVE-2023-6000, kerentanan keamanan di  Popup Builder yang dapat dieksploitasi untuk membuat pengguna admin jahat dan memasang plugin sewenang-wenang.

Kekurangan ini dimanfaatkan sebagai bagian dari kampanye Balada Injector awal Januari ini, yang mencakup tidak kurang dari 7.000 situs.

Rangkaian serangan terbaru mengarah pada penyuntikan kode berbahaya, yang hadir dalam dua varian berbeda dan dirancang untuk mengarahkan pengunjung situs ke situs lain seperti halaman phishing dan penipuan.

Pemilik situs WordPress disarankan untuk selalu memperbarui plugin mereka serta memindai situs mereka untuk mencari kode atau pengguna yang mencurigakan, dan melakukan pembersihan yang sesuai.

“Kampanye malware baru ini berfungsi sebagai pengingat akan risiko jika perangkat lunak situs web Anda tidak diperbarui dan diperbarui,” kata Srivastava.

Perkembangan ini terjadi ketika perusahaan keamanan WordPress Wordfence mengungkapkan bug tingkat tinggi di plugin lain yang dikenal sebagai Ultimate Member yang dapat digunakan untuk memasukkan skrip web berbahaya.

Cacat skrip lintas situs (XSS), dilacak sebagai CVE-2024-2123 (skor CVSS: 7.2), berdampak pada semua versi plugin, termasuk dan sebelum 2.8.3. Telah ditambal pada versi 2.8.4, dirilis pada 6 Maret 2024.

Cacat ini berasal dari sanitasi input dan pelolosan output yang tidak mencukupi, sehingga memungkinkan penyerang yang tidak diautentikasi untuk memasukkan skrip web sewenang-wenang ke halaman yang akan dieksekusi setiap kali pengguna mengunjunginya.

“Dikombinasikan dengan fakta bahwa kerentanan dapat dieksploitasi oleh penyerang yang tidak mempunyai hak istimewa di situs yang rentan, ini berarti ada kemungkinan besar penyerang yang tidak diautentikasi dapat memperoleh akses pengguna administratif di situs yang menjalankan versi plugin yang rentan ketika berhasil dieksploitasi," kata Wordfence.

Perlu dicatat bahwa pengelola plugin telah mengatasi kelemahan serupa (CVE-2024-1071, skor CVSS: 9.8) di versi 2.8.3 yang dirilis pada 19 Februari.

Ini juga mengikuti penemuan kerentanan unggahan file sewenang-wenang di tema Avada WordPress (CVE-2024-1468, skor CVSS: 8.8) dan kemungkinan mengeksekusi kode berbahaya dari jarak jauh. Ini telah diselesaikan di versi 7.11.5.

“Hal ini memungkinkan penyerang terautentikasi, dengan akses tingkat kontributor ke atas, untuk mengunggah file sewenang-wenang di server situs yang terpengaruh yang memungkinkan eksekusi kode jarak jauh,” kata Wordfence. []