Sebanyak 1,6 juta situs WordPress menjadi target serangan berskala besar yang berasal dari 16.000 alamat IP dengan memanfaatkan celah kelemahan empat plugin dan 15 theme Epsilon Framework.
Perusahaan keamanan WordPress Wordfence yang mengungkapkan rincian serangan, mengatakan pada hari Kamis (9/12) pihaknya telah mendeteksi dan memblokir lebih dari 13,7 juta serangan yang ditujukan pada plugin dan theme dalam periode 36 jam dengan tujuan mengambil alih situs web dan melakukan tindakan jahat.
Plugin yang menjadi sasaran antara lain
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Berikut ini adalah versi Theme Epsilon Framework yang terpengaruh:
- Shapely <=1.2.8
- NewsMag <=2.4.1
- Activello <=1.4.1
- Illdy <=2.1.6
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.6
- Brilliance <=1.2.9
- MedZone Lite <=1.2.5
- Regina Lite <=2.0.5
- Transcend <=1.1.9
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.6
- NatureMag Lite – Tidak temukan patch. rekomendasi di hapus.
Sebagian besar serangan yang diamati oleh Wordfence yang dilakukan oleh musuh dengan memperbarui opsi “users_can_register” (yaitu, siapa pun dapat mendaftar) untuk diaktifkan dan mengatur pengaturan “default_role” (yaitu, peran default pengguna yang mendaftar di blog) menjadi administrator, dengan demikian memungkinkan musuh untuk mendaftar di situs yang rentan sebagai administrator dan mengambil alih kendali.
Terlebih lagi, intrusi dikatakan telah melonjak hanya setelah 8 Desember, menunjukkan bahwa “kerentanan yang baru-baru ini ditambal di PublishPress Capabilities mungkin telah memicu penyerang untuk menargetkan berbagai kerentanan opsi pembaruan sebagai bagian dari kampanye besar-besaran,” kata Chloe Chamberland dari Wordfence.
10 IP Address tertinggi yang melakukan penyerangan selama 36 jam terakhir meliputi:
- 144.91.111.6 with 430,067 attacks blocked.
- 185.9.156.158 with 277,111 attacks blocked.
- 195.2.76.246 with 274,574 attacks blocked.
- 37.187.137.177 with 216,888 attacks blocked.
- 51.75.123.243 with 205,143 attacks blocked.
- 185.200.241.249 with 194,979 attacks blocked.
- 62.171.130.153 with 192,778 attacks blocked.
- 185.93.181.158 with 181,508 attacks blocked.
- 188.120.230.132 with 158,873 attacks blocked.
- 104.251.211.115 with 153,350 attacks blocked.
Mengingat eksploitasi aktif, pemilik situs WordPress yang menjalankan salah satu plugin atau theme yang disebutkan di atas disarankan untuk menerapkan perbaikan terbaru untuk mengurangi ancaman.
Sumber : TheHackerNews dan Wordfence