Baru-baru ini WordPress merilis update WordPress 4.7.3 yang salah satunya memperbaiki bug WordPress REST API Endpoint.
Celah ini bertanggung jawab atas lebih dari satu juta website WordPress yang di-deface dan hacker mencoba untuk membuat uang dari serangan ini. Dan masalahnya tidak hanya itu saja, ternyata melalui bug WordPress REST API Endpoint, hacker juga dapat menyimpan script untuk melakukan serangan cross-site.
Marc Montpas, peneliti keamanan dari Sucuri, mengatakan bahwa hacker yang men-deface website WordPress menggunakan eksploitasi untuk celah REST API Endpoint, juga dapat menyimpan JavaScript yang berbahaya pada website yang akan dijalankan nantinya.
Dikombinasikan dengan serangan content injection, sangat mungkin bagi hacker untuk men-deface post random yang ada di website dan menyimpan kode JavaScript berbahaya. Kode ini akan dijalankan ketika pengunjung melihat post tersebut dan ketika siapa saja mengedit post dari Dashboard WordPress. Sebagai hasilnya, administrator yang mencoba memperbaiki post yang di-deface, secara tidak sadar malah menjalankan script berbahaya, yang akan digunakan sebagai backdoor masuk ke website dan membuat user admin baru.
Masalah ini belum di patch hingga WordPress merilis update WordPress 4.7.3 baru, karena masalah tersebut tidak bisa diekploitasi tanpa bug content injection pada REST API Endpoint dan tanpa hacker memiliki hak kontributor di WordPress.
Montpas menjelaskan selema penelitiannya pada celah REST API, dia menemukan bagaimana cara meng-embed kode pendek pada WordPress. Montpas mengatakan, bahwa fungsi youtube_embed_url dapat digunakan sebagai skenario dimana hacker dapat menyimpan kode serangan XSS yang akan dijalankan nanti.
Celah REST API memungkinkan hacker dengan satu baris kode eksploitasi dapat mengakses API dan menganti konten website dan URL permalinks.
Peneliti dari Sucuri kembali menyarankan kepada admin WordPress untuk tidak pernah mematikan fitur update otomatis pada website WordPress. Dan sekarang pastikan bahwa WordPress yang digunakan sudah diupdate ke versi WordPress 4.7.3 terbaru.
