Telah terdeteksi operasi serangan siber berskala besar menargetkan situs web berbasis WordPress selama akhir pekan lalu yang bertujuan untuk mencuri file konfigurasi dari situs.
Serangan ini menggunakan eksploitasi lama untuk mengunduh atau mengekspor file wp-config.php dari situs web yang rentan, mengekstrak kredensial basis data, dan kemudian menggunakan nama pengguna serta kata sandi untuk mengambil alih basis data.
Ram Gall, seorang analis di Wordfence, penyedia layanan web application firewall (WAF), mengatakan bahwa serangan akhir pekan lalu adalah proporsi yang sangat besar bila dibandingkan dengan apa yang biasa dilihat perusahaan setiap hari.
Gall mengatakan “operasi ini menyumbang 75% dari semua upaya eksploitasi kerentanan plugin dan tema di seluruh ekosistem WordPress.”
Gall mengatakan Wordfence memblokir lebih dari 130 juta upaya eksploitasi pada jaringannya saja, yang menargetkan lebih dari 1,3 juta situs WordPress, namun, serangan itu diyakini telah menargetkan lebih banyak situs lain yang tidak tercakup oleh jaringan Wordfence.
Wordfence mengatakan serangan itu dilakukan dari 20.000 jaringan dengan alamat IP yang berbeda. Sebagian besar IP ini juga sebelumnya digunakan dalam serangan berskala besar lain yang menargetkan situs WordPress pada awal Mei.
Baca Juga: “Ditemukan Kerentanan Dalam Plugin WordPress PageLayer, 200.000 Website Kena Dampaknya“
Selama operasi tahap pertama, aktor penjahat siber mengeksploitasi sejumlah kerentanan XSS (Cross-Site Scripting) dan berusaha memasukkan pengguna tingkat admin baru dan backdoor di situs yang ditargetkan.
Operasi tahap pertama tersebut juga memiliki skala yang sama besarnya, karena serangan XSS kelompok ini melebihi semua serangan XSS yang dilakukan oleh gabungan kelompok lain.
Gall percaya bahwa ada dua operasi menargetkan kerentanan yang berbeda, namun kemungkinan besar telah diatur oleh aktor penjahat siber yang sama.
