PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Kali ini ditemukan bug dalam plugin WordPress resmi besutan Google dengan 300.000 instalasi aktif yang dapat memungkinkan penyerang untuk mendapatkan akses ke Google Search Console situs yang ditargetkan.

Site Kit merupakan plugin WordPress yang dirancang oleh Google untuk membantu pemilik situs mendapatkan wawasan tentang bagaimana pengunjung mereka menggunakan dan menemukan situs web mereka melalui statistik resmi yang dikumpulkan dari beberapa alat Google dan ditampilkan langsung di dasbor WordPress.

Plugin ini juga memudahkan untuk mengatur dan mengonfigurasi produk-produk utama Google seperti Search Console, Analytics, Tag Manager, PageSpeed Insights, Optimize, dan AdSense.

Kerentanan Privilege Escalation

Kerentanan privilege escalation Google Search Console ditemukan oleh tim Wordfence pada 21 April dan dilaporkan secara bertanggung jawab ke tim keamanan Google pada 22 April.

Dalam rincian laporan yang diterbitkan Wordfence, bug ini disebabkan oleh pengungkapan proxySetupURL dalam kode sumber HTML halaman admin, URL yang digunakan untuk menghubungkan plugin Site Kit ke Google Search Console melalui Google OAuth.

Lalu ditambah dengan masalah lain di mana “permintaan verifikasi yang digunakan untuk memverifikasi kepemilikan situs yang merupakan tindakan admin terdaftar” tidak memiliki kemampuan pemeriksaan yang memungkinkan permintaan tersebut apakah datang dari pengguna WordPress yang diautentikasi atau tidak.

Kedua bug dalam plugin WordPress ini memungkinkan pengguna tingkat pelanggan untuk menjadi pemilik Google Search Console di situs yang terpengaruh,” kata Wordfence.

Setelah penyerang mendapatkan akses ke Google Search Console situs, mereka dapat menggunakannya untuk keuntungan dalam berbagai cara, diantaranya:


  • Memfasilitasi operasi blackhat SEO dengan memanipulasi¬†search engine result pages
  • Menginjeksikan kode berbahaya untuk monetisasi terlarang (bila digabungkan dengan eksploitasi lain)
  • Menghapus halaman dari Google search engine result pages
  • Mengubah sitemap
  • Melihat data kinerja kompetitif

Baca Juga: “Kerentanan Plugin Page Builder WordPress Ini Berdampak Pada 1 Juta Situs

Tindakan Mitigasi

Untungnya, Google akan secara otomatis mengirim email pemberitahuan ke pemilik situs setiap kali ada user Google Search Console baru ditambahkan ke sebuah situs yang mengatakan bahwa “Pemilik properti dapat mengubah pengaturan penting yang memengaruhi bagaimana Google Search berinteraksi dengan situs atau aplikasi Anda.”

Untuk berjaga-jaga jika peringatan email mungkin masuk ke folder spam akun email pengguna, Wordfence juga memberikan instruksi terperinci tentang cara memverifikasi integritas kepemilikan Google Search Console untuk memeriksa apakah ada user berbahaya yang telah ditambahkan oleh penyerang atau tidak.

Sebagai tindakan pencegahan tambahan, pengguna juga dapat mengatur ulang koneksi Site Kit WordPress-nya sehingga pengguna harus menghubungkan kembali semua layanan Google yang sebelumnya sudah terhubung.

Google memperbaiki kerentanan pada 7 Mei dengan merilis Site Kit 1.8.0, setelah perbaikan untuk kerentanan keamanan diumumkan kepada publik di repositori Github plugin tersebut pada 4 Mei.

Semua pengguna Site Kit sangat disarankan untuk segera memperbarui instalasinya ke versi 1.8.0, versi terbaru yang sepenuhnya sudah diperbaiki.


administrator

Just a simple person who like photography, videography, code, and cyber security enthusiast.