Plugin Quick Page/Post Redirect, yang diinstal di lebih dari 70.000 situs WordPress, memiliki pintu belakang yang ditambahkan lima tahun lalu yang memungkinkan memasukkan kode arbitrer ke situs pengguna.
Malware tersebut ditemukan oleh Austin Ginder, pendiri penyedia hosting WordPress Anchor, yang menemukannya setelah 12 situs yang terinfeksi di armadanya memicu peringatan keamanan.
Plugin Quick Page/Post Redirect, tersedia di WordPress.org selama beberapa tahun, adalah plugin utilitas dasar yang digunakan untuk membuat pengalihan di postingan, halaman, dan URL khusus.
WordPress.org untuk sementara menarik plugin dari direktori sambil menunggu peninjauan. Tidak jelas apakah pembuat plugin memperkenalkan pintu belakang atau disusupi oleh pihak ketiga.
Ginder menjelaskan bahwa plugin resmi versi 5.2.1 dan 5.2.2, yang dirilis antara tahun 2020 dan 2021, menyertakan mekanisme pembaruan mandiri tersembunyi yang menunjuk ke domain pihak ketiga, tidak terikat[.]comyang memungkinkan memasukkan kode arbitrer di luar kendali WordPress.org.
Pada bulan Februari 2021, self-updater yang berbahaya telah dihapus dari versi plugin berikutnya di WordPress.org, sebelum peninjau kode sempat memeriksanya.
Pada bulan Maret 2021, menurut Ginder, situs yang menjalankan Quick Page/Post Redirect 5.2.1 dan 5.2.2 secara diam-diam menerima versi 5.2.3 yang dirusak dari server eksternal tersebut, yang memperkenalkan pintu belakang pasif.
Namun, pembangunan dari ‘w.anadnet[.]com’ server dengan kode pintu belakang tambahan memiliki hash yang berbeda dari versi plugin yang sama yang bersumber dari WordPress.org.
Pintu belakang pasif hanya terpicu bagi pengguna yang logout untuk menyembunyikan aktivitasnya dari admin. Itu terhubung ke ‘the_content’ dan mengambil data dari server ‘anadnet’, kemungkinan besar digunakan untuk operasi spam SEO.
“Mekanisme sebenarnya adalah SEO parasit terselubung. Plugin ini menyewakan peringkat Google di tujuh puluh ribu situs web kembali kepada siapa pun yang mengoperasikan saluran belakang itu pada tahun 2021,” Ginder menjelaskan.
Namun, bahaya sebenarnya bagi situs web yang terkena dampak berasal dari mekanisme pembaruan itu sendiri, yang memungkinkan eksekusi kode arbitrer sesuai permintaan. Mekanisme tersebut masih ada di situs yang menggunakan plugin, namun tidak aktif karena subdomain perintah dan kontrol eksternal yang berbahaya tidak teratasi. Tapi domainnya aktif.
Solusi bagi pengguna yang terkena dampak adalah dengan menghapus plugin dan menggantinya dengan salinan bersih versi 5.2.4 yang bersumber dari WordPress.org ketika sudah tersedia kembali.
Ginder menyertakan pesan untuk siapa pun yang berada di balik backdoor, mendesak mereka untuk melakukan hal yang benar sekarang dan mempublikasikan manifes pembaruan statis yang memaksa semua instalasi yang terpengaruh untuk secara otomatis mengupgrade ke versi WordPress.org yang bersih, yang secara efektif menghapus backdoor dari situs yang sebelumnya disusupi.
Peneliti memperingatkan bahwa Quick Page/Post Redirect masih memiliki 70.000 instalasi dengan pemeriksaan pembaruan yang mengarah ke server ‘anadnet’.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
