Peretas secara aktif mengeksploitasi dua kerentanan kritis-keparahan dalam tema dan plugin Houzez untuk WordPress, dua pengaya premium yang digunakan terutama di situs web real estat.
Tema Houzez adalah plugin premium seharga $69, menawarkan pengelolaan daftar yang mudah dan pengalaman pelanggan yang mulus. Situs vendor mengklaim melayani lebih dari 35.000 pelanggan di industri real estat.
Kedua kerentanan tersebut ditemukan oleh peneliti ancaman Patchstack, Dave Jong, dan dilaporkan ke vendor tema, ‘ThemeForest,’ dengan satu kelemahan diperbaiki di versi 2.6.4 (Agustus 2022) dan yang lainnya di versi 2.7.2 (November 2022).
Namun, laporan Patchstack baru memperingatkan bahwa beberapa situs web belum menerapkan pembaruan keamanan, dan pelaku ancaman secara aktif mengeksploitasi kelemahan lama ini dalam serangan yang sedang berlangsung.
Disalahgunakan untuk mengambil kendali situs
Cacat Houzez pertama dilacak sebagai CVE-2023-26540 dan memiliki tingkat keparahan 9,8 dari 10,0 per standar CVSS v3.1, mengkategorikannya sebagai kerentanan kritis.
Ini adalah kesalahan konfigurasi keamanan yang memengaruhi plugin Tema Houzez versi 2.7.1 dan yang lebih lama dan dapat dieksploitasi dari jarak jauh tanpa memerlukan otentikasi untuk melakukan eskalasi hak istimewa.
Versi yang memperbaiki masalah adalah tema Houzez 2.7.2 atau lebih baru.
Cacat kedua telah menerima pengidentifikasi CVE-2023-26009dan juga dinilai kritis (CVSS v3.1: 9.8), berdampak pada plugin Houzes Login Register.
Ini memengaruhi versi 2.6.3 dan yang lebih lama, memungkinkan penyerang yang tidak diautentikasi untuk melakukan eskalasi hak istimewa di situs menggunakan plugin.
Versi yang mengatasi ancaman keamanan adalah Houzez Login Register 2.6.4 atau lebih baru.
Dave Jong memberi tahu BleepingComputer bahwa pelaku ancaman mengeksploitasi kerentanan ini dengan mengirimkan permintaan ke titik akhir yang mendengarkan permintaan pembuatan akun.
Karena bug pemeriksaan validasi di sisi server, permintaan dapat dibuat untuk membuat pengguna administrator di situs, memungkinkan penyerang mengambil kendali penuh atas situs WordPress.
Dalam serangan yang diamati oleh Patchstack, pelaku ancaman mengunggah backdoor yang mampu menjalankan perintah, menyuntikkan iklan di situs web, atau mengalihkan lalu lintas ke situs berbahaya lainnya.
“Karena peran pengguna yang diinginkan dapat disediakan oleh pengguna, tetapi tidak divalidasi dengan benar di sisi server, itu dapat diatur ke nilai “administrator” untuk membuat akun baru yang memiliki peran pengguna administrator, “Peneliti PatchStack D.Jong memberi tahu BleepingComputer.
“Setelah ini, mereka dapat melakukan apa saja dengan situs yang mereka inginkan meskipun yang biasanya kita lihat adalah plugin jahat akan diunggah yang berisi pintu belakang.
Sayangnya, Patchstack melaporkan bahwa kekurangannya disalahgunakan saat menulis ini, jadi penerapan tambalan yang tersedia harus ditangani dengan prioritas tertinggi oleh pemilik dan administrator situs web.
