Terdeteksi hacker yang secara aktif mengeksploitasi dua kerentanan keamanan dalam plugin Elementor Pro dan Ultimate Addons untuk Elementor WordPress dengan tujuan akhirnya yaitu mengeksekusi kode arbitrer dari jarak jauh dan sepenuhnya mengambil alih target yang rentan.
Laporan terdeteksinya aktor penjahat siber yang berusaha untuk menyalahgunakan dua kerentanan dalam serangan yang sedang berlangsung ini dilaporkan oleh tim Threat Intelligence Wordfence.
Penyerang bisa menghapus situs setelah eksploitasinya berhasil
Elementor Pro adalah plugin berbayar dengan perkiraan lebih dari 1 juta instalasi aktif yang membantu pengguna untuk dengan mudah membuat situs web WordPress dari awal dengan bantuan built-in theme builder, perancang widget berbentuk visual, dan dukungan CSS khusus.
Kerentanan keamanan dalam plugin Elementor Pro merupakan kerentanan remote-code-execution yang dikategorikan sebagai kerentanan kritis yang memungkinkan penyerang dengan akses pengguna terdaftar untuk mengunggah file arbitrer di situs web yang ditargetkan dan mengeksekusi kode dari jarak jauh.
Penyerang yang berhasil mengeksploitasi kerentanan keamanan ini kemudian dapat menginstal backdoor atau webshell untuk mempertahankan akses ke situs yang disusupi, mendapatkan akses admin penuh untuk pengambil alihan, atau bahkan menghapus seluruh situs.
Jika penyerang tidak dapat mendaftar sebagai pengguna, penyerang dapat mengeksploitasi kerentanan keamanan kedua yang mempengaruhi plugin Ultimate Addons untuk Elementor WordPress (diinstal pada lebih dari 110.000 situs) yang akan memungkinkan mereka untuk mendaftar sebagai pengguna tingkat pelanggan di situs mana pun yang menjalankan plugin meskipun pendaftaran pengguna tidak diperbolehkan.
Tindakan mitigasi eksploitasi kerentanan keamanan Elementor Pro & Ultimate Addons for Elementor WordPress
Untuk mitigasi serangan yang sedang berlangsung ini, pengguna plugin perlu memperbarui Elementor Pro ke versi 2.9.4 yang mana dalam versi tersebut telah dirilis perbaikan kerentanan remote-code-execution.
Lalu bagi pengguna Ultimate Addons untuk Elementor WordPress harus segera memperbarui plugin ke versi 1.24.2 atau versi yang lebih baru.
Baca Juga: “Plugin WordPress Ninja Forms Perbaiki Kerentanan Yang Berdampak Pada Sekitar 1 Juta Situs“
An update: @elemntor has released Pro version 2.9.4, and our threat intelligence team has verified it fixes the authenticated file upload vulnerability. Please ensure you update your Elementor Pro plugins to 2.9.4. Kudos to Elementor for the fast fix. https://t.co/Ahcn3AtUK1
— Wordfence (@wordfence) May 7, 2020
Tim Wordfence merekomendasikan mengambil langkah-langkah berikut untuk memastikan bahwa situs belum disusupi:
- Periksa apakah ada pengguna tingkat pelanggan yang tidak dikenal di situs. Ini dapat menunjukkan bahwa situs telah disusupi sebagai bagian dari kampanye aktif ini atau tidak. Jika ditemukan ada, maka segera hapus akun tersebut.
- Periksa file yang bernama “wp-xmlrpc.php.” Ini dapat dianggap sebagai indikasi penyusupan, jadi periksa apakah terdapat file tersebut di situs atau tidak.
- Hapus semua file atau folder yang tidak dikenal yang ditemukan di direktori /wp-content/uploads/elementor/custom-icons/. File yang ada di direktori ini setelah akun tingkat pelanggan berbahaya dibuat merupakan indikasi penyusupan yang jelas.
