Di lansir dari Wordfence, tim keamanannya menemukan kerentanan bypass otentikasi kritis dalam plugin Really Simple Security (sebelumnya dikenal sebagai Really Simple SSL), yang mencakup versi gratis dan berbayar, dan telah digunakan di lebih dari 4 juta situs web. Plugin ini dirancang untuk meningkatkan keamanan di platform WordPress dengan fitur-fitur seperti konfigurasi SSL, perlindungan login, otentikasi dua faktor (2FA), dan deteksi kerentanan secara real-time.
“Kerentanan ini merupakan salah satu yang paling serius dalam sejarah 12 tahun menjadi penyediaan keamanan WordPress“, ungkap tim keamanan Wordfence. Celah ini memungkinkan penyerang mendapatkan akses administratif penuh dari jarak jauh ke situs yang menjalankan plugin tersebut.
Untuk memperburuk keadaan, kerentanan ini dapat dieksploitasi massal menggunakan skrip otomatis, yang berpotensi menyebabkan kampanye pengambilalihan situs web dalam skala besar.
Wordfence mengusulkan agar penyedia hosting memaksa-memperbarui plugin di situs pelanggan dan memindai database mereka untuk memastikan tidak ada yang menjalankan versi rentan.
2FA yang mengarah ke keamanan yang lebih lemah
Pada 6 November 2024, István Márton dari Wordfence menemukan cacat keparahan kritis yaitu CVE-2024-10924. Cacat ini terjadi karena penanganan kesalahan pemeriksaan pengguna yang tidak tepat dalam tindakan dua faktor (2FA) REST API, yang memungkinkan akses tidak sah ke akun pengguna apa pun, termasuk administrator.
Secara khusus, masalahnya terletak pada fungsi ‘check_login_and_get_user()’ yang memverifikasi identitas pengguna dengan memeriksa parameter ‘user_id’ dan ‘login_nonce’.
Ketika ‘login_nonce’ tidak valid, permintaan tidak ditolak sebagaimana mestinya. Sebaliknya, ‘authenticate_and_redirect()’ memverifikasi pengguna hanya berdasarkan ‘user_id’, yang secara efektif memungkinkan bypass otentikasi.
Kerentanan ini secara kritis mempengaruhi pemilik situs yang telah mengaktifkan “otentikasi dua-faktor (2FA)”. CVE-2024-10924 berdampak pada versi plugin dari 9.0.0 dan hingga 9.1.11.1 dari rilis “gratis”, “pro”, dan “pro multisite”.
Pengembang mengatasi cacat ini dengan memastikan bahwa kode sekarang benar menangani verifikasi ‘login_nonce’ gagal, keluar dari fungsi ‘check_login_and_get_user()’ segera.
Pihak pengembang menerapkan perbaikan pada versi 9.1.2, yang dirilis pada 12 November untuk pengguna berbayar (pro) dan 14 November untuk pengguna gratis (free). Vendor berkoordinasi dengan WordPress.org untuk melakukan pembaruan keamanan paksa pada pengguna plugin, tetapi administrator situs web masih perlu memeriksa dan memastikan mereka menjalankan versi terbaru (9.1.2). Pengguna versi berbayar (pro) harus memperbarui versi 9.1.2 secara manual karena pembaruan otomatis dinonaktifkan saat lisensi mereka kedaluwarsa.
Pada 17 Desember 2024, situs statistik WordPress.org, yang memantau pemasangan plugin versi gratis, menunjukkan sekitar 936.000 unduhan.
Sumber:
https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/
https://www.wordfence.com/blog/2024/11/really-simple-security-vulnerability/
https://www.wordfence.com/threat-intel/vulnerabilities/detail/really-simple-security-free-pro-and-pro-multisite-900-9111-authentication-bypass
https://www.ionix.io/blog/cve-2024-10924-explained-security-plugin-flaw-in-millions-of-wordpress-sites/
https://wordpress.org/plugins/really-simple-ssl/advanced/
https://www.cve.org/CVERecord?id=CVE-2024-10924