Los hackers explotan la vulnerabilidad del plugin LiteSpeed de WordPress

LiteSpeed Cache es un plugin que millones de administradores de sitios web de WordPress utilizan para mejorar los tiempos de carga de las páginas y la experiencia del usuario.

Pero WPScan señaló un exploit (CVE-2023-40000) en la versión anterior del plugin que los hackers pueden usar para obtener control total de un sitio web.

Su puntuación CVSS de 8.3 indica que es una vulnerabilidad severa. Los hackers pueden hacerse pasar por administradores reales y tomar control del sitio.

LiteSpeed ha corregido la vulnerabilidad con la versión 5.7.0.1, pero más de 1.8 millones de usuarios aún no han actualizado el plugin.

Tabla de Contenidos

• Detalles de la Vulnerabilidad - ¿Cuál es la Resolución si Su Sitio Está Afectado?

Detalles de la Vulnerabilidad

CVE-2023-40000 fue señalado en octubre de 2023 y puede ser utilizado para Cross-Site Scripting Almacenado.

Los hackers podrían aprovechar este exploit para otorgar privilegios de administrador a sus cuentas de usuario y obtener control de los sitios web.

“El plugin para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros ‘nameservers’ y ‘_msg’ debido a una insuficiente sanitización de entrada y escape de salida, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.” dijo WPScan en su publicación de blog.

La empresa de investigación de seguridad también compartió que el malware inyecta código en los archivos centrales de WordPress. Descubrió 1,232,810 solicitudes desde las direcciones IP 94.102.51.144 y 70,472 desde la dirección IP 31.43.191.220, respectivamente.

Ambas direcciones IP estaban buscando en la web sitios de WordPress existentes con versiones antiguas de los plugins LiteSpeed Cache instalados. LiteSpeed Cache tiene más de cinco millones de usuarios, y un tercio de ellos no ha actualizado a la versión corregida del plugin.

Si nota tráfico inusual en su sitio web y encuentra usuarios administradores llamados “wpsupp?user” o “wp?configuser,” su sitio web ya está comprometido.

También puede buscar en la base de datos cadenas sospechosas como “eval(atob(Strings.fromCharCode “y estar atento a solicitudes de direcciones IP como 45.150.67.235.

¿Cuál es la Resolución si Su Sitio Está Afectado?

Debe utilizar una copia de seguridad anterior del sitio para purgar la infestación de malware. Como medida de precaución, revise los plugins instalados en su sitio web de WordPress.

Asegúrese de que todas las actualizaciones de plugins disponibles y pendientes, incluido LiteSpeed Cache, se instalen manualmente.