Gli hacker sfruttano la vulnerabilità del plugin LiteSpeed di WordPress

LiteSpeed Cache è un plugin che milioni di amministratori di siti WordPress utilizzano per migliorare i tempi di caricamento delle pagine e l’esperienza utente.

Ma WPScan ha segnalato un exploit (CVE-2023-40000) nella versione precedente del plugin che gli hacker possono utilizzare per ottenere il completo controllo di un sito web.

Il suo punteggio CVSS di 8.3 indica che si tratta di una vulnerabilità grave. Gli hacker possono fingere di essere amministratori reali e prendere il controllo del sito.

LiteSpeed ha corretto la vulnerabilità con la versione 5.7.0.1, ma oltre 1,8 milioni di utenti non hanno ancora aggiornato il plugin.

Table Of Contents

• Dettagli sulla vulnerabilità - Qual è la risoluzione se il tuo sito è colpito?

Dettagli sulla vulnerabilità

CVE-2023-40000 è stata segnalata lo scorso ottobre 2023 e può essere utilizzata per Cross-Site Scripting Memorizzato.

Gli hacker potrebbero sfruttare questo exploit per concedere privilegi di amministratore ai propri account utente e ottenere il controllo dei siti web.

“Il plugin per WordPress è vulnerabile a Cross-Site Scripting Memorizzato tramite i parametri ‘nameservers’ e ‘_msg’ a causa di una insufficiente sanitizzazione dell’input e di un’uscita non sicura, consentendo agli attaccanti non autenticati di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede a una pagina iniettata.” ha dichiarato WPScan nel suo post sul blog.

La società di ricerca sulla sicurezza ha anche condiviso che il malware inietta codice nei file core di WordPress. Ha scoperto 1.232.810 richieste dall’indirizzo IP 94.102.51.144 e 70.472 dall’indirizzo IP 31.43.191.220, rispettivamente.

Entrambi gli indirizzi IP stavano cercando nel web siti WordPress esistenti con versioni obsolete dei plugin LiteSpeed Cache installati. LiteSpeed Cache ha oltre cinque milioni di utenti, e un terzo di essi non ha aggiornato alla versione corretta del plugin.

Se noti un traffico insolito sul tuo sito web e trovi utenti amministratori chiamati “wpsupp?user” o “wp?configuser,” il tuo sito web è già compromesso.

Puoi anche cercare nel database stringhe sospette come “eval(atob(Strings.fromCharCode “e prestare attenzione alle richieste provenienti da indirizzi IP come 45.150.67.235.

Qual è la risoluzione se il tuo sito è colpito?

Devi utilizzare un backup precedente del sito per purgare l’infestazione di malware. Per precauzione, rivedi i plugin installati sul tuo sito WordPress.

Assicurati che tutti gli aggiornamenti dei plugin disponibili e in sospeso, incluso LiteSpeed Cache, siano installati manualmente.