Les hackers exploitent la vulnérabilité du plugin LiteSpeed de WordPress

LiteSpeed Cache est un plugin que des millions d’administrateurs de sites WordPress utilisent pour améliorer les temps de chargement des pages et l’expérience utilisateur.

Mais WPScan a signalé une exploitation (CVE-2023-40000) dans l’ancienne version du plugin que les hackers peuvent utiliser pour prendre le contrôle complet d’un site web.

Son score CVSS de 8.3 indique qu’il s’agit d’une vulnérabilité sévère. Les hackers peuvent se faire passer pour de véritables administrateurs et prendre le contrôle du site.

LiteSpeed a corrigé la vulnérabilité avec la version 5.7.0.1, mais plus de 1,8 million d’utilisateurs n’ont pas encore mis à jour le plugin.

Table des matières

• Détails de la vulnérabilité - Quelle est la résolution si votre site est affecté ?

Détails de la vulnérabilité

CVE-2023-40000 a été signalé en octobre 2023 et peut être utilisé pour le Cross-Site Scripting stocké.

Les hackers pourraient tirer parti de cette exploitation pour accorder des privilèges d’administrateur à leurs comptes utilisateurs et prendre le contrôle des sites web.

« Le plugin pour WordPress est vulnérable au Cross-Site Scripting stocké via les paramètres ‘nameservers’ et ‘_msg’ en raison d’une sanitation des entrées et d’une échappement des sorties insuffisantes, permettant aux attaquants non authentifiés d’injecter des scripts web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accède à une page injectée. » a déclaré WPScan dans son article de blog.

La société de recherche en sécurité a également partagé que le malware injecte du code dans les fichiers principaux de WordPress. Elle a découvert 1 232 810 requêtes provenant des adresses IP 94.102.51.144 et 70 472 de l’adresse IP 31.43.191.220, respectivement.

Les deux adresses IP recherchaient sur le web des sites WordPress existants avec d’anciennes versions des plugins LiteSpeed Cache installés. LiteSpeed Cache compte plus de cinq millions d’utilisateurs, et un tiers d’entre eux n’ont pas mis à jour la version corrigée du plugin.

Si vous remarquez un trafic inhabituel sur votre site web et trouvez des utilisateurs administrateurs nommés « wpsupp?user » ou « wp?configuser », votre site web est déjà compromis.

Vous pouvez également rechercher dans la base de données des chaînes suspectes comme « eval(atob(Strings.fromCharCode » et faire attention aux requêtes provenant d’adresses IP telles que 45.150.67.235.

Quelle est la résolution si votre site est affecté ?

Vous devez utiliser une sauvegarde précédente du site pour purger l’infestation de malware. Par mesure de précaution, passez en revue les plugins installés sur votre site WordPress.

Assurez-vous que toutes les mises à jour de plugins disponibles et en attente, y compris LiteSpeed Cache, sont installées manuellement.