Kerentanan Kritikal Pada Lima Plugin WordPress
June 27, 2024
Deskripsi
1
Wordfence Intelligence Team Bersama WordPress's Plug-in Review team menemukan 5 WordPress Plugin resmi yang telah disusupi oleh Threat Actor dengan malicious PHP scripts (CVE-2024-6297) dan memiliki severity CRITICAL (CVSS v3.1: 10). Saat ini plugin tersebut telah terpasang pada lebih dari 35.000 situs. Apabila terinstall, plugin tersebut dapat mencuri credential database serta membuat user dengan privilege Administrator. Dari 24 Juni hingga saat ini, plugin terdampak tidak dapat didownload dari situs resmi Wordpress.
Plugin Terdampak
2
| Nama Plugin | Versi Terdampak | Status | Versi Patched |
| Blaze Widget | 2.2.5 - 2.5.2 | Fixed | 2.5.4 |
| Wrapper Link Element | 1.0.2 - 1.0.3 | Fixed | 1.0.5 |
| Contact Form 6 Multi-Step Addon | 1.0.4 - 1.0.5 | Fixed | 1.0.7 |
| Simply Show Hooks | 1.2.1 - 1.2.2 | No Fix | N.A |
Indicator of Compromise
3
- Terdapat suspicious traffic menuju 94.156.79[.]8
- Terdapat user Administrator baru di Wordpress dengan nama “Options”, “PluginAuth”, atau user tidak dikenal lainnya.
Mitigasi
4
- Review semua plugin yang digunakan oleh aplikasi dan hapus plugin yang sudah tidak diperlukan.
- Lakukan update plugin bila versi patched sudah tersedia.
- Hapus atau disable plugin yang belum tersedia update patch vulnerability.
- Bagi pengelola perimeter security dapat menambahkan IoC di mekanisme deteksi dan proteksi Perusahaan.
Source:
1. https://www.wordfence.com/threat-intel/vulnerabilities/detail/several-wordpressorg-plugins-various-versions-injected-backdoor
2. https://www.bleepingcomputer.com/news/security/plugins-on-wordpressorg-backdoored-in-supply-chain-attack/
