Peretas sekarang secara aktif menyelidiki versi plugin Essential Addons for Elementor yang rentan di ribuan situs web WordPress dalam pemindaian Internet besar-besaran, mencoba untuk mengeksploitasi cacat pengaturan ulang kata sandi akun kritis yang diungkapkan di awal bulan.
Cacat kritis-keparahan dilacak sebagai CVE-2023-32243 dan memengaruhi Addons Penting untuk Elementor versi 5.4.0 hingga 5.7.1, memungkinkan penyerang yang tidak diautentikasi untuk mengatur ulang kata sandi akun administrator secara sewenang-wenang dan mengambil alih kendali situs web.
Cacat itu memengaruhi lebih dari satu juta situs web ditemukan oleh PatchStack pada 8 Mei 2023, dan diperbaiki oleh vendor pada 11 Mei, dengan rilis plugin versi 5.7.2.
Skala eksploitasi
Pada 14 Mei 2023, para peneliti menerbitkan exploit proof-of-concept (PoC) di GitHub, membuat alat ini tersedia secara luas bagi penyerang.
Pada saat itu, pembaca BleepingComputer dan pemilik situs web melaporkan bahwa situs mereka diserang oleh peretas yang mengatur ulang kata sandi admin dengan memanfaatkan kelemahan tersebut. Namun, skala eksploitasi tidak diketahui.
Laporan Wordfence yang diterbitkan kemarin menjelaskan lebih lanjut, dengan perusahaan yang mengklaim telah mengamati jutaan upaya penyelidikan untuk keberadaan plugin di situs web dan telah memblokir setidaknya 6.900 upaya eksploitasi.
Sehari setelah pengungkapan cacat, WordFence mencatat 5.000.000 pindaian yang mencari file plugin ‘readme.txt’, yang berisi informasi versi plugin, dan karenanya menentukan apakah sebuah situs rentan.
“Meskipun ada layanan yang menyelidiki data penginstalan untuk tujuan yang sah, kami yakin data ini menunjukkan bahwa penyerang mulai mencari situs yang rentan segera setelah kerentanan terungkap,” komentar Wordfence dalam laporan.
Sebagian besar permintaan ini hanya berasal dari dua alamat IP, ‘185.496.220.26’ dan ‘185.244.175.65.’
Adapun upaya eksploitasi, alamat IP ‘78.128.60.112’ memiliki volume yang cukup besar, memanfaatkan eksploitasi PoC yang dirilis di GitHub. IP penyerang peringkat tinggi lainnya menghitung antara 100 dan 500 percobaan.
Pemilik situs web yang menggunakan plugin ‘Essential Addons for Elementor’ disarankan untuk menerapkan pembaruan keamanan yang tersedia dengan segera menginstal versi 5.7.2 atau yang lebih baru.
“Mengingat betapa mudahnya kerentanan ini berhasil dieksploitasi, kami sangat menyarankan semua pengguna pembaruan plugin ASAP untuk memastikan situs mereka tidak terganggu oleh kerentanan ini,” saran Wordfence.
Selain itu, administrator situs web harus menggunakan indikator penyusupan yang tercantum pada laporan Wordfence dan menambahkan alamat IP yang menyinggung ke daftar blokir untuk menghentikan serangan ini dan serangan di masa mendatang.
Pengguna paket keamanan gratis Wordfence akan dicakup oleh perlindungan terhadap CVE-2023-32243 pada 20 Juni 2023, sehingga saat ini mereka juga terpapar.
