Hacker nutzen die Schwachstelle des WordPress LiteSpeed-Plugins aus

LiteSpeed Cache ist ein Plugin, das Millionen von WordPress-Website-Administratoren verwenden, um die Ladezeiten von Seiten und die Benutzererfahrung zu verbessern.

Aber WPScan hat eine Schwachstelle (CVE-2023-40000) in der älteren Version des Plugins gemeldet, die Hacker nutzen können, um die vollständige Kontrolle über eine Website zu erlangen.

Ihr CVSS-Score von 8,3 zeigt an, dass es sich um eine schwerwiegende Schwachstelle handelt. Hacker können sich als tatsächliche Administratoren ausgeben und die Kontrolle über die Seite übernehmen.

LiteSpeed hat die Schwachstelle mit Version 5.7.0.1 gepatcht, aber über 1,8 Millionen Benutzer haben das Plugin noch nicht aktualisiert.

Inhaltsverzeichnis

• Schwachstellendetails - Was ist die Lösung, wenn Ihre Seite betroffen ist?

Schwachstellendetails

CVE-2023-40000 wurde im Oktober 2023 gemeldet und kann für Stored Cross-Site Scripting verwendet werden.

Hacker könnten diese Schwachstelle ausnutzen, um Administratorrechte für ihre Benutzerkonten zu gewähren und die Kontrolle über die Websites zu erlangen.

„Das Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über die Parameter ‚nameservers‘ und ‚_msg‘ aufgrund unzureichender Eingabesäuberung und Ausgabeescapierung, was es nicht authentifizierten Angreifern ermöglicht, beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, wann immer ein Benutzer auf eine injizierte Seite zugreift.“ sagte WPScan in seinem Blogbeitrag.

Das Sicherheitsforschungsunternehmen teilte auch mit, dass die Malware Code in die Kern-Dateien von WordPress injiziert. Es wurden 1.232.810 Anfragen von den IP-Adressen 94.102.51.144 und 70.472 von der IP-Adresse 31.43.191.220 entdeckt.

Beide IP-Adressen suchten im Internet nach bestehenden WordPress-Seiten mit installierten alten Versionen des LiteSpeed Cache-Plugins. LiteSpeed Cache hat über fünf Millionen Benutzer, und ein Drittel von ihnen hat nicht auf die gepatchte Version des Plugins aktualisiert.

Wenn Sie ungewöhnlichen Verkehr auf Ihrer Website bemerken und Administratorbenutzer mit den Namen „wpsupp?user“ oder „wp?configuser“ finden, ist Ihre Website bereits kompromittiert.

Sie können auch die Datenbank nach verdächtigen Zeichenfolgen wie „eval(atob(Strings.fromCharCode“ durchsuchen und auf Anfragen von IP-Adressen wie 45.150.67.235 achten.

Was ist die Lösung, wenn Ihre Seite betroffen ist?

Sie müssen ein vorheriges Backup der Seite verwenden, um die Malware-Infektion zu beseitigen. Zur Vorsichtsmaßnahme sollten Sie die installierten Plugins auf Ihrer WordPress-Website überprüfen.

Stellen Sie sicher, dass alle verfügbaren und ausstehenden Plugin-Updates, einschließlich LiteSpeed Cache, manuell installiert werden.