Jakarta, PCplus – Ada celah keamanan serius dalam plugin LiteSpeed Cache untuk WordPress yang bisa membuat penyerang yang tidak terautentikasi mendapatkan akses tingkat administrator dan melakukan tindakan berbahaya. Kerentanan ini, yang dikenal sebagai CVE-2024-50550 (skor CVSS: 8.1), sudah diperbaiki dalam versi 6.5.2 dari plugin tersebut.
Baca Juga: Duh, WordPress.com Di-hack!
“Plugin ini memiliki kerentanan eskalasi hak istimewa yang memungkinkan pengunjung yang tidak terautentikasi mendapatkan akses admin, sehingga mereka bisa mengunggah dan menginstal plugin berbahaya,” kata peneliti keamanan Patchstack, Rafie Muhammad, seperti dikutip PCplus dari Thehackernews.com.
LiteSpeed Cache sendiri merupakan plugin populer untuk mempercepat situs WordPress dengan fungsi caching dan optimasi canggih. Saat ini plugin dipasang di lebih dari enam juta situs. Masalah ini berasal dari fungsi bernama is_role_simulation dan mirip dengan celah sebelumnya yang ditemukan pada Agustus 2024 (CVE-2024-28000, skor CVSS: 9.8). Celah ini disebabkan oleh penggunaan pemeriksaan hash keamanan yang lemah yang bisa dipaksa oleh penyerang. Akibatnya hacker bisa menyalahgunakan fitur crawler untuk mensimulasikan pengguna yang masuk, termasuk admin.
Namun, eksploitasi yang berhasil bergantung pada konfigurasi plugin berikut:
Crawler -> General Settings -> Crawler: ON
Crawler -> General Settings -> Run Duration: 2500 – 4000
Crawler -> General Settings -> Interval Between Runs: 2500 – 4000
Crawler -> General Settings -> Server Load Limit: 0
Crawler -> Simulation Settings -> Role Simulation: 1 (ID pengguna dengan peran admin)
Crawler -> Summary -> Activate: Ubah setiap baris menjadi OFF kecuali Administrator
Saat ini LiteSpeed sudah mengeluarkan patch yang menghapus proses simulasi peran. Patch ini juga memperbarui langkah pembuatan hash menggunakan generator nilai acak untuk menghindari pembatasan hash hingga 1 juta kemungkinan.
Masalah di hash keamanan
“Kerentanan ini menunjukkan pentingnya memastikan kekuatan dan ketidakpastian nilai yang digunakan sebagai hash keamanan atau nonce,” kata Muhammad. “Fungsi rand() dan mt_rand() dalam PHP mungkin cukup acak untuk banyak kasus, tetapi tidak cukup tidak terduga untuk fitur keamanan, terutama jika mt_srand digunakan dalam kemungkinan terbatas.”
CVE-2024-50550 adalah celah keamanan ketiga yang ditemukan dalam LiteSpeed dalam dua bulan terakhir. Dua lainnya adalah CVE-2024-44000 (skor CVSS: 7.5) dan CVE-2024-47374 (skor CVSS: 7.2). Ini terjadi beberapa minggu setelah Patchstack merinci dua celah kritis dalam Ultimate Membership Pro. Ini bisa menyebabkan eskalasi hak istimewa dan eksekusi kode. Namun, masalah tersebut sudah diperbaiki dalam versi 12.8 dan yang lebih baru.
CVE-2024-43240 (skor CVSS: 9.4) – Sebuah kerentanan eskalasi hak istimewa yang memungkinkan penyerang untuk mendaftar ke tingkat keanggotaan apa pun dan mendapatkan peran yang terkait dengannya. CVE-2024-43242 (skor CVSS: 9.0) – Sebuah kerentanan injeksi objek PHP yang memungkinkan penyerang untuk mengeksekusi kode arbitrer.
Patchstack juga memperingatkan bahwa drama hukum antara induk WordPress, Automattic, dan WP Engine telah membuat beberapa pengembang meninggalkan repositori WordPress.org. Hal ini membuat pengguna harus memantau saluran komunikasi yang sesuai untuk memastikan mereka mendapatkan informasi terbaru tentang kemungkinan penutupan plugin dan masalah keamanan.
“Pengguna yang tidak menginstal plugin secara manual yang dihapus dari repositori WordPress.org berisiko tidak mendapatkan pembaruan baru yang bisa mencakup perbaikan keamanan penting,” kata CEO Patchstack, Oliver Sild. “Ini bisa membuat situs web rentan terhadap peretas yang biasanya mengeksploitasi kerentanan yang diketahui dan memanfaatkan situasi seperti itu.”