Millones de sitios de WordPress vulnerables a ataques de toma de control debido a un error en LiteSpeed Cache

Una vulnerabilidad crítica en el popular plugin LiteSpeed Cache para WordPress puede permitir a los actores de amenazas tomar el control de sitios web tras crear cuentas de administrador no autenticadas, lo que representa un riesgo significativo para millones de usuarios.

LiteSpeed Cache para WordPress (LSCWP) es un plugin de aceleración de sitios todo en uno de código abierto con más de 5 millones de instalaciones activas.

Cuenta con un caché exclusivo a nivel de servidor y una colección de características de optimización. Soporta WordPress Multisite y es compatible con los plugins más populares, incluyendo WooCommerce, bbPress y Yoast SEO.

La vulnerabilidad rastreada como CVE-2024-28000 (Puntuación CVSS: 9.8) fue descubierta por John Blackbourn, un miembro de la comunidad Patchstack Alliance, quien la reportó al programa de recompensas por errores de día cero de Patchstack el 1 de agosto de 2024.

El equipo de LiteSpeed respondió rápidamente desarrollando un parche para la vulnerabilidad y enviándolo con el lanzamiento de la versión 6.4 de LiteSpeed Cache el 13 de agosto de 2024.

El fallo de seguridad, que es una escalada de privilegios no autenticada, fue descubierto en la función de simulación de usuario del plugin LiteSpeed Cache. Es causado por un mecanismo de hash de seguridad débil en las versiones de LiteSpeed Cache hasta e incluyendo la 6.3.0.1.

La explotación exitosa de esta vulnerabilidad permite a los usuarios no autenticados suplantar su ID de usuario por el de un administrador en las versiones vulnerables de LiteSpeed Cache, lo que finalmente les permite registrarse como usuarios de nivel administrativo y tomar completamente el control de un sitio de WordPress.

Esto no requiere interacción del usuario y puede ser explotado a través de la red sin requerir ningún privilegio.

Además, el actor de amenazas puede instalar plugins dañinos, cambiar configuraciones cruciales, redirigir tráfico a sitios web maliciosos, distribuir malware a los visitantes o robar datos de usuarios.

“Pudimos determinar que un ataque de fuerza bruta que itera todos los 1 millón de valores posibles conocidos para el hash de seguridad y los pasa en la cookie litespeed_hash — incluso ejecutándose a una relativamente baja de 3 solicitudes por segundo — puede obtener acceso al sitio como cualquier ID de usuario dado en un período de entre unas pocas horas y una semana”, explicó el investigador de seguridad de Patchstack, Rafie Muhammad, el miércoles.

“El único requisito previo es conocer el ID de un usuario de nivel administrador y pasarlo en la cookie litespeed_role. La dificultad de determinar tal usuario depende completamente del sitio objetivo y tendrá éxito con un ID de usuario 1 en muchos casos.”

Aunque se lanzó un parche para abordar esta vulnerabilidad crítica de seguridad, las estadísticas de descarga del repositorio oficial de plugins de WordPress revelan que el plugin solo ha sido descargado poco más de 2.5 millones de veces, lo que sugiere que más de la mitad de todos los sitios web que utilizan el plugin son vulnerables a posibles ataques entrantes.

Incluso el equipo de Inteligencia de Amenazas de Wordfence ha advertido sobre la amenaza potencial. “Recomendamos encarecidamente a los usuarios que actualicen sus sitios con la última versión parcheada de Litespeed Cache, versión 6.4.1 en el momento de escribir esto, lo antes posible.

No tenemos dudas de que esta vulnerabilidad será explotada activamente muy pronto”, advirtió Chloe Chamberland, líder de inteligencia de amenazas de Wordfence, en una publicación de blog el lunes.

Para protegerse de posibles ataques, se recomienda encarecidamente que aquellos que utilizan LiteSpeed Cache para sus sitios web actualicen a la versión 6.4 o posterior.

Si no puede actualizar, debe deshabilitar/desinstalar el plugin, ya que existe la posibilidad de que sea vulnerable a una situación de toma de control completa del sitio web.