400.000+ Pengguna Plugin WordPress Orbit Fox Rentan Bug Privilege Escalation yang berpotensi mengambil alih situs

Orbit-Fox-privilege-escalation-to-takeover-site

Local-Hunter.com - Dua kerentanan (bug) ditemukan di plugin WordPress bernama Orbit Fox yang memungkinkan penyerang untuk memasukkan kode berbahaya JavaScript serta mampu  untuk mengendalikan situs web yang rentan.

Fungsionalitas plugin Orbit Fox biasanya digunakan dengan berbagai modul seperti tombol icon sosial media, monitoring uptime, dukungan Google Analytics, icon menu, template halaman yang responsive, add-on pembuat halaman, dan menyediakan gambar unggulan berkualitas dengan penyediaan gratis. Fitur yang ada pada plugin Orbit Fox diantara lain yaitu GDPR privacy policy, Template directory, Sharing module, Beaver builder, Gutenberg blocks, Free stock photos, Widget section untuk tema Hestia.

Plugin ini disediakan oleh pengembang Themeisle yang saat ini memiliki versi terbaru yaitu 2.10.3 dengan total pengguna yang mengunduh mencapai 400.000+. Adapun fitur dari Orbit Fox memungkinkan administrator situs menambahkan contact form dan widget yang menarik di dalamnya.

Temuan ini pertama kali ditemukan oleh peneliti keamanan dari WordFence pada 19 November 2020, dengan dua bug yaitu Authenticated Privilege Escalation dan Stored XSS. Salah satu kesalahan fatal ini memungkinkan penyerang mengubah hak akses istimewa menjadi administrator yang berpotensi mengambil alih website secara keseluruhan.

Sementara temuan Stored XSS memungkinkan penyerang melakukan serangan melalui akses kontributor atau pengarang dari website untuk memasukkan kode JavaScript ke dalam postingan. Injeksi kode berbahaya semacam ini biasanya dimanfaatkan untuk  mengarahkan pengunjung ke situs pengiklanan jahat yang penuh dengan malware berbahaya. Selain itu, penyerang juga bisa membuat pengguna administrator baru.

Vulnerability Authenticated Privilege Escalation

Bug pertama yang ditemukan peneliti keamanan WordFence berada di widget pendaftaran yang dimiliki Orbit Fox. Widget ini bisa digunakan untuk membuat formulir pendaftaran yang disesuaikan saat ingin membuat halaman Elementor dan Beaver Builder. Administrator bisa mengatur peran default untuk ditetapkan ke pengguna yang sebelumnya sudah mendaftar.

"Pengguna tingkat rendah seperti kontributor, penulis maupun editor tidak diperlihatkan opsi untuk menyetel peran pengguna default dari editor. Namun, kami menemukan bahwa mereka masih dapat mengubah peran pengguna melalui permintaan dengan parameter yang sesuai," tulis WordFence di postingan blog.

Plugin ini sebenarnya memberikan perlindungan di sisi client untuk mencegah pemilih peran ditampilkan kepada pengguna yang memiliki tingkat akses yang lebih rendah pada saat menambahkan formulir pendaftaran. Namun sayangnya, tidak ada perlindungan atau validasi di sisi server untuk memverifikasi bahwa pengguna resmi benar-benar menyetel perang pengguna default dalam sebuah permintaan.

Validasi sisi server terjadi ketika data dikirim ke server saat pengguna memasukkannya ke dalam formulir, lalu server menerima permintaan dan kemudian server akan memeriksa masalah keamanan serta memastikan bahwa data diformat dengan benar untuk mempersiapkan pengajuan ke sumber data.

Akibat tidak adanya validasi di sisi server, penyerang yang memiliki akses rendah seperti kontributor atau penulis untuk situs tersebut, dengan menetapkan peran pengguna yang diubah menjadi administrator setelah pendaftaran berhasil. Sederhananya, penyerang melakukan pendaftaran sendiri sebagai pengguna baru kemudian user_rolenya diubah menjadi administrator.

Untuk mengeksploitasi kelemahan ini, maka situs website harus mengaktifkan user_registration dan menjalankan plugin Elementor dan Beaver Builder. Jika situs website tersebut tidak mengaktifkan user_registration dan tidak memasang plugin Elementor, maka tidak ada pengaruh apapun.oleh kerentanan ini.

Vulnerability Stored XSS

Bug lain yang ditemukan peneliti keamanan WordFence yaitu Cross-site-scripting atau lebih dikenal sebagai XSS. Masalah ini muncul dikarenakan kontributor dan penulis dapat menambahkan skrip ke dalam postingan, karena plugin Orbit Fox tidak memiliki kemampuan yang memfilter HTML.

Akses tingkat rendah dapat melakukan hal semacam ini untuk memasukkan kode JavaScript yang berbahaya ke halaman posting, yang nantinya browser akan menavigasi pengguna ke halaman itu. Seperti biasa, penyerang akan memanfaatkan kelemahan ini untuk membuat administrator baru ataupun secara langsung mengeksekusi halaman menggunakan muatan kode JavaScript yang dialihkan ke halaman berbahaya di luar situs.

Disclosure Timeline
19 November 2020 - Analisis temuan WordFence terhadap dua kerentanan.
23 November 2020 - Pengembang plugin mengonfirmasi kotak masuk untuk menangani diskusi.
24 November 2020 - WordFence menyampaikan pengungkapan kedua kerentanan sedang dan kritis.
08 Desember 2020 - WordFence belum menerima jawaban dari pengembang
15 Desember 2020 - WordFence menindaklanjuti terkait laporan yang tidak diselesaikan.
17 Desember 2020 - WordFence menerima laporan perbaikan dari pengembang Orbit Fox
19 Desember 2020 - Pengguna Wordfence gratis menerima aturan firewall.