Gelombang Serangan Massal Targetkan Plugin WordPress Lawas GutenKit dan Hunk Companion
Para peretas saat ini meluncurkan kampanye eksploitasi massal yang menargetkan situs WordPress menggunakan plugin GutenKit dan Hunk Companion yang masih menjalankan versi lama dan rentan terhadap celah keamanan kritis. Kedua plugin tersebut memiliki kelemahan yang memungkinkan penyerang melakukan remote code execution (RCE) dan mengambil alih kendali penuh situs korban.
Firma keamanan WordPress, Wordfence, melaporkan telah memblokir lebih dari 8,7 juta upaya serangan hanya dalam dua hari pada 8 dan 9 Oktober. Serangan ini memanfaatkan tiga celah serius yang terdaftar sebagai CVE-2024-9234, CVE-2024-9707, dan CVE-2024-11972, yang seluruhnya memiliki tingkat keparahan CVSS 9.8 (kritis).
CVE-2024-9234 ditemukan pada plugin GutenKit versi 2.1.0 dan sebelumnya, merupakan celah pada endpoint REST yang dapat dieksploitasi tanpa autentikasi untuk menginstal plugin tambahan secara bebas. Sementara CVE-2024-9707 dan CVE-2024-11972 memengaruhi plugin Hunk Companion versi 1.8.5 ke bawah, yang memiliki celah otorisasi tidak memadai pada endpoint themehunk-import.
Kedua jenis kerentanan ini memungkinkan penyerang — baik yang telah memiliki akun di situs maupun pihak luar tanpa akses login — menginstal plugin berbahaya yang membuka jalan bagi eksekusi kode jarak jauh.
Meskipun pembaruan keamanan telah dirilis sejak Oktober 2024 (GutenKit 2.1.1) dan Desember 2024 (Hunk Companion 1.9.0), banyak situs masih belum memperbarui plugin mereka, sehingga tetap rentan terhadap serangan ini.
Metode Serangan dan Indikator Kompromi
Berdasarkan hasil analisis Wordfence, penyerang mengunggah plugin berbahaya yang disamarkan dalam arsip ZIP bernama “up” di GitHub. Paket tersebut berisi skrip obfuscation yang dapat mengunggah, menghapus, dan mengubah izin file. Salah satu skrip yang dilindungi kata sandi bahkan menyamar sebagai komponen All in One SEO, yang otomatis memberikan akses administrator kepada peretas.
Jika upaya untuk memasang backdoor penuh gagal, pelaku biasanya menginstal plugin rentan lainnya seperti wp-query-console, yang dapat dimanfaatkan untuk melakukan eksekusi perintah tanpa autentikasi (unauthenticated RCE).
Para peneliti juga menemukan sejumlah alamat IP dengan aktivitas mencurigakan tinggi, yang digunakan untuk mengirim permintaan berbahaya ke situs WordPress.
Sebagai indikator kompromi, administrator disarankan untuk memeriksa log akses yang berisi permintaan ke:
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
Selain itu, penting untuk meninjau direktori berikut untuk memastikan tidak ada file berbahaya:/up, /background-image-cropper, /ultra-seo-processor-wp, /oke, dan /wp-query-console.
Rekomendasi Keamanan
Wordfence dan para pakar keamanan mendesak semua administrator WordPress untuk:
- Segera memperbarui plugin GutenKit dan Hunk Companion ke versi terbaru.
- Memeriksa situs untuk aktivitas mencurigakan atau file asing.
- Menerapkan pembatasan akses REST API jika tidak digunakan secara aktif.
- Memantau log keamanan dan alamat IP yang sering melakukan permintaan tidak biasa.
Serangan ini menjadi pengingat penting bahwa plugin lama dengan celah keamanan terbuka dapat dimanfaatkan secara besar-besaran untuk menyerang ribuan situs WordPress di seluruh dunia.
Sumber: BleepingComputer
