Friday , November 17 2017
Home / Vulnerability / Hack Website WordPress Hanya Dengan Komentar

Hack Website WordPress Hanya Dengan Komentar

Wordpress Zero-day Vulnerability

Sebelumnya telah dilaporkan tentang vulnerability plugin pada WordPress, tapi kali ini seorang peneliti keamanan Finlandia telah menemukan vulnerability zero-day penting dalam mesin inti dari content management system WordPress.

WordPress CMS yang digunakan oleh Jutaan situs rentan terhadap cacat zero-day yang dapat memungkinkan hacker untuk eksekusi kode jarak jauh pada server Web untuk mengambil kontrol penuh dari itu.

vulnerability, ditemukan oleh Jouko Pynnönen dari perusahaan keamanan Finlandia yang berbasis Klikki Oy, adalah cacat Cross-Site Scripting (XSS) yang terkubur di dalam WordPress “sistem komentar”.

vulnerability mempengaruhi versi WordPress 3.9.3, 4.1.1, 4.1.2, dan WordPress versi terbaru 4.2.

Pynnönen menungkapkan rincian dari cacat zero-day, bersama dengan video dan bukti konsep kode untuk mengeksploitasi bug, pada posting blognya pada hari Minggu sebelum tim WordPress bisa berhasil merilis patch.

Mengapa peneliti membuat Zero-Day disebarkan ke publik?

Sebuah cross-site scripting-(XSS) vulnerability serupa ditambal minggu ini oleh pengembang WordPress, yang hampir 14 bulan setelah bug dilaporkan ke tim.

Karena takut keterlambatan dalam memperbaiki lubang ini, Pynnönen mempublikasinya dengan rincian penting vulnerability zero-day di WordPress 4.2 kebawah, sehingga pengguna dari content management system populer ini bisa diperingatkan sebelumnya.

Selain itu, Pynnonen melaporkan vulnerability terhadap tim WordPress tetapi mereka “menolak semua upaya komunikasi” ia membuat laporan itu sejak November 2014.

Eksploitasi vulnerability Zero-Day

vulnerability ini memungkinkan hacker untuk menyuntikkan kode JavaScript berbahaya ke bagian komentar yang muncul di bagian bawah Jutaan blog WordPress atau posting artikel di seluruh dunia. Namun, tindakan ini harus diblokir dalam keadaan biasa.

Hal ini dapat memungkinkan hacker untuk mengubah password, menambahkan administrator baru, atau melakukan tindakan lain yang hanya bisa dilakukan oleh administrator yang sah dari website. Ini adalah apa yang kita sebut serangan scripting cross-site.

Video Demonstrasi

Anda dapat menonton video demonstrasi di bawah ini yang menunjukkan serangan dalam tindakan : Pynnonen menggambarkan cacat Zero-Day seperti di bawah ini:

  “Jika dipicu oleh administrator log-in, di bawah pengaturan default penyerang dapat memanfaatkan vulnerability untuk mengeksekusi kode arbitrary pada server melalui plugin dan tema editor,” tulis Pynnönen dalam posting blog yang diterbitkan Minggu malam.

   “Atau penyerang bisa mengubah password administrator, membuat account administrator baru, atau melakukan apa pun yang sedang login-in administrator dapat dilakukan pada sistem target.”

Bagaimana Zero-Day mengeksploitasi

Zero-day mengeksploitasi disediakan oleh karya-karya peneliti dengan posting kode JavaScript sederhana seperti komentar dan kemudian menambahkan selama 66.000 karakter atau 64 KB lebih.

Ketika komentar diproses oleh seseorang dengan hak admin WordPress ke website, kode berbahaya akan dieksekusi tanpa memberikan indikasi untuk admin.

Secara default, WordPress tidak secara otomatis mempublikasikan komentar untuk diposting kecuali komentar tersebut telah disetujui oleh administrator situs.

Hacker bisa melakukan bypass dengan membodohi administrator dengan komentar biasa mereka, setelah disetujui komentar tersebut memungkinkan menjadi komentar berbahaya dari orang yang secara otomatis menyetujui dan menerbitkan ke pos yang sama.

WordPress lakukan patch Zero-Day

Dalam rangka untuk memperbaiki lubang keamanan, administrator harus meng-upgrade CMS WordPress 4.2.1, yang dirilis beberapa hari lalu.

“Ini adalah rilis keamanan penting untuk semua versi sebelumnya dan kami sangat mendorong Anda untuk memperbarui situs Anda segera,” kata tim WordPress versi terbaru.

WordPress versi 4.2.1 dilaporkan merupakan perbaikan vulnerability zero-day dilansir Pynnonen. Jadi jika Anda memiliki situs web WordPress, pastikan bahwa Anda menjalankan versi terbaru dari CMS dengan semua plugin up-to-date.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You might also likeclose
Free WordPress Themes - Download High-quality Templates