Apa itu serangan zero-day atau zero-day vulnerability? serangan zero-day adalah serangan cyber yang terjadi di waktu yang sama, ketika kelemahan atau issue keamanan ditemukan dalam sebuah sistem perangkat lunak. Sehingga memungkinkan dimanfaatkan oleh hacker, untuk melakukan exploitasi website sebelum diperbaiki oleh pihak developer.
Bagi para pengguna File Manager — salah satu plugin WordPress yang paling populer — telah disarankan untuk melakukan pembaruan ke versi terkini setelah marak terjadinya eksploitasi zero day vulnerability.
Terjadinya cacat pada remote code execution (RCE), yang sebelumnya telah memperoleh nilai CVSS paling tinggi (10), memungkinkan penyerang untuk mengeksekusi arbitrary code dan mengunggah file berbahaya ke situs yang rentan dibobol.
Kerusakan ini ditemukan oleh Ville Korhonen, pimpinan tim sistem di salah satu perusahaan WordPress hosting di Finlandia bernama Seravo, yang kemudian ia tuliskan di sebuah blog post.
“Penyerang berpotensi melakukan apapun yang mereka inginkan — mencuri data pribadi, menghancurkan situs, hingga menggunakan website untuk melakukan serangan lebih lanjut ke website yang berbeda,” kata Ville, yang dikutip dari tulisannya di blog.
File Manager, yang berfungsi untuk membantu administrator WordPress mengatur file di website mereka, memiliki lebih dari 700.000 instalasi aktif.
Menurut blog post yang dipublikasikan oleh divisi security WordPress pada tangga 1 September yang lalu, firewall yang dikerahkan oleh Wordfence dalam beberapa waktu belakangan, telah berhasil memblokir lebih dari 450.000 usaha pengekploitasian yang menargetkan zero-day vulnerability.
Masih menurut tim security WordPress, penyerang melakukan pelacakan terhadap adanya kecacatan dengan cara mencoba menginjeksi file-file kosong ke dalam situs.
Wordfence menyarankan para pengguna untuk melakukan pengecekan file di dalam File Manager untuk menemukan indikasi berupa file-file hardfork.php, hardfind.php, x.php, dan enam IP address yang sering dipakai oleh penyerang.
Para penyelundup ini “memakai upload command untuk mengunggah file PHP berisi webshells yang disembunyikan di dalam file image ke direktori wp-content/plugins/wp-file-manager/lib/files/,” kata Chloe Chamberland, analis ancaman cyber di Wordfence.
elFinder
Kerentanan juga ditemukan di elFinder, file manager open source yang digunakan oleh plugin ini. “Permasalahan bermula ketika plugin File Manager mengubah ekstensi file pada library elFinder dari connector.minimal.php.dist menjadi .php, sehingga file ini bisa langsung dieksekusi, meskipun connector file-nya tidak digunakan oleh File Manager itu sendiri,” kata Chloe menjelaskan.
“Library ini biasanya memuat file yang memang tidak dimaksudkan untuk dipakai sebagai ‘as-is’ tanpa menambahkan access controls. File ini juga biasanya tidak memiliki direct access restrictions, yang artinya, file ini bisa diakses oleh siapa saja. File semacam ini bisa digunakan untuk menginisiasi command elFinder dan terhubung dengan file elFinderConnector.class.php.
Untungnya, katanya menambahkan, “elFinder memiliki sistem perlindungan built-in untuk melawan directory traversal,” sehingga penyerang tidak bisa mengeksekusi command tidak bertanggung jawab di luar file directory plugin.
Kerentanan ini ditemukan di File Manager versi 6.0 hingga 6.8, dan kemudian diperbaiki di versi 6.9, yang dirilis oleh pihak developer plugin, Webdesi9, beberapa jam setelah dinotifikasi tentang adanya kecacatan ini oleh Seravo..
Masalah serius
File management dan plugin utilitas lainnya biasanya “memiliki beberapa fitur yang apabila diekspos di dalam area admin dari instalasi WordPress Anda bisa menyebabkan masalah yang serius,” tambah Chloe.
Hal ini termasuk ketika penyerang melakukan manipulasi file atau mengunggah file-file jahat langsung dari dashboard WordPress, yang berpotensi memberikan akses yang lebih leluasa ketika mereka telah menjamah area admin.
“Contohnya, penyerang bisa memperoleh akses ke area admin dari sebuah situs dengan cara membobol password, lalu mengakses plugin ini dan mengunggah webshell untuk melakukan enumerasi lebih lanjut terhadap server dan bukan tidak mungkin akan melakukan kerusakan-kerusakan lainnya.”
Menanggapi situasi ini, Wordfence pun merekomendasikan semua pengguna untuk uninstall utility plugins saat sedang tidak digunakan. Dengan demikian, tidak akan tercipta intrusion vector yang memudahkan penyerang untuk melakukan tindak perusakan.
Baca juga artikel tentang keamanan WordPress berikut : Bugs pada WordPress 5.5