Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.
Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.
Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.
Perusahaan keamanan WordPress Defiant, yang menemukan serangan tersebut, mengatakan bahwa kerentanan yang dipermasalahkan juga memungkinkan penyerang yang tidak diautentikasi untuk membuat akun admin nakal di situs web WordPress yang menjalankan versi plugin yang belum ditambal (hingga dan termasuk 2.10.1).
Cacat keamanan yang dieksploitasi dalam kampanye ini telah ditambal pada bulan Januari dengan dirilisnya versi 2.10.2.
“Menurut catatan kami, kerentanan telah diserang secara aktif sejak 5 Februari 2023, tetapi ini adalah serangan terbesar yang pernah kami lihat,” kata analis ancaman Ram Gall.
“Kami telah memblokir hampir 3 juta serangan terhadap lebih dari 1,5 juta situs, dari hampir 14.000 alamat IP sejak 23 Mei 2023, dan serangan masih berlangsung.”
Terlepas dari sifat skala besar dari kampanye serangan yang sedang berlangsung ini, Gall mengatakan pelaku ancaman menggunakan eksploit yang salah konfigurasi yang kemungkinan tidak akan menyebarkan muatan bahkan ketika menargetkan situs WordPress yang menjalankan versi plugin yang rentan.
Meski begitu, admin atau pemilik website yang menggunakan plugin Beautiful Cookie Consent Banner disarankan untuk mengupdate ke versi terbaru karena serangan yang gagal sekalipun dapat merusak konfigurasi plugin yang tersimpan di opsi nsc_bar_bannersettings_json.
Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.
Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.
Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi yang rentan Tambahan Penting untuk Elementor Dan Bidang Kustom Lanjutan WordPress plugin.
Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.
