Des millions de sites WordPress vulnérables à une attaque de prise de contrôle en raison d'un bug de LiteSpeed Cache

Une vulnérabilité critique dans le plugin LiteSpeed Cache pour WordPress, largement utilisé, peut permettre à des acteurs malveillants de prendre le contrôle de sites web après avoir créé des comptes administrateurs non authentifiés, posant ainsi un risque significatif pour des millions d’utilisateurs.

LiteSpeed Cache pour WordPress (LSCWP) est un plugin d’accélération de site tout-en-un open-source avec plus de 5 millions d’installations actives.

Il dispose d’un cache exclusif au niveau du serveur et d’une collection de fonctionnalités d’optimisation. Il prend en charge WordPress Multisite et est compatible avec les plugins les plus populaires, y compris WooCommerce, bbPress et Yoast SEO.

La vulnérabilité suivie sous le nom de CVE-2024-28000 (Score CVSS : 9.8) a été découverte par John Blackbourn, membre de la communauté Patchstack Alliance, qui l’a signalée au programme de récompense pour bugs Zero Day de Patchstack le 1er août 2024.

L’équipe de LiteSpeed a réagi rapidement en développant un correctif pour la vulnérabilité et en le livrant avec la version 6.4 de LiteSpeed Cache le 13 août 2024.

Le défaut de sécurité, qui est une élévation de privilèges non authentifiée, a été découvert dans la fonctionnalité de simulation d’utilisateur du plugin LiteSpeed Cache. Il est causé par un mécanisme de hachage de sécurité faible dans les versions de LiteSpeed Cache jusqu’à et y compris 6.3.0.1.

L’exploitation réussie de cette vulnérabilité permet à des utilisateurs non authentifiés de falsifier leur ID utilisateur pour celui d’un administrateur dans les versions vulnérables de LiteSpeed Cache, ce qui leur permet finalement de s’enregistrer en tant qu’utilisateurs de niveau administratif et de prendre complètement le contrôle d’un site WordPress.

Cela ne nécessite aucune interaction de l’utilisateur et peut être exploité sur le réseau sans nécessiter de privilèges.

De plus, l’acteur malveillant peut installer des plugins nuisibles, modifier des paramètres cruciaux, rediriger le trafic vers des sites web malveillants, distribuer des logiciels malveillants aux visiteurs ou voler des données utilisateur.

« Nous avons pu déterminer qu’une attaque par force brute qui itère tous les 1 million de valeurs possibles connues pour le hachage de sécurité et les passe dans le cookie litespeed_hash — même en exécutant à un rythme relativement bas de 3 requêtes par seconde — est capable d’accéder au site en tant que n’importe quel ID utilisateur donné entre quelques heures et une semaine », a expliqué le chercheur en sécurité de Patchstack, Rafie Muhammad, mercredi.

« La seule condition préalable est de connaître l’ID d’un utilisateur de niveau Administrateur et de le passer dans le cookie litespeed_role. La difficulté de déterminer un tel utilisateur dépend entièrement du site cible et réussira avec un ID utilisateur 1 dans de nombreux cas. »

Bien qu’un correctif ait été publié pour résoudre cette vulnérabilité de sécurité critique, les statistiques de téléchargement du dépôt officiel de plugins de WordPress révèlent que le plugin n’a été téléchargé que plus de 2,5 millions de fois, ce qui suggère que plus de la moitié de tous les sites utilisant le plugin sont vulnérables à des attaques potentielles.

Même l’équipe de renseignement sur les menaces de Wordfence a averti du danger potentiel. « Nous conseillons fortement aux utilisateurs de mettre à jour leurs sites avec la dernière version corrigée de Litespeed Cache, version 6.4.1 au moment de la rédaction, dès que possible. Nous n’avons aucun doute que cette vulnérabilité sera exploitée activement très bientôt », a averti Chloe Chamberland, responsable du renseignement sur les menaces de Wordfence, dans un article de blog lundi.

Pour se protéger contre des attaques potentielles, il est fortement recommandé à ceux qui utilisent LiteSpeed Cache pour leurs sites web de mettre à jour vers la version 6.4 ou ultérieure.

Si vous ne pouvez pas mettre à jour, vous devriez désactiver/désinstaller le plugin, car il y a une chance potentielle qu’il soit vulnérable à une situation de prise de contrôle complète du site web.