Milioni di siti WordPress vulnerabili a attacchi di takeover a causa di un bug di LiteSpeed Cache

Una vulnerabilità critica nel plugin LiteSpeed Cache per WordPress, ampiamente utilizzato, può consentire agli attaccanti di prendere il controllo dei siti web dopo aver creato account admin non autenticati, rappresentando così un rischio significativo per milioni di utenti.

LiteSpeed Cache per WordPress (LSCWP) è un plugin open-source per l’accelerazione dei siti tutto-in-uno con oltre 5 milioni di installazioni attive.

Dispone di una cache esclusiva a livello di server e di una serie di funzionalità di ottimizzazione. Supporta WordPress Multisite ed è compatibile con i plugin più popolari, tra cui WooCommerce, bbPress e Yoast SEO.

La vulnerabilità tracciata come CVE-2024-28000 (Punteggio CVSS: 9.8) è stata scoperta da John Blackbourn, un membro della comunità Patchstack Alliance, che l’ha segnalata al programma di bug bounty Zero Day di Patchstack il 1° agosto 2024.

Il team di LiteSpeed ha risposto prontamente sviluppando una patch per la vulnerabilità e rilasciandola con la versione 6.4 di LiteSpeed Cache il 13 agosto 2024.

Il difetto di sicurezza, che è un’escalation di privilegi non autenticata, è stato scoperto nella funzionalità di simulazione utente del plugin LiteSpeed Cache. È causato da un debole meccanismo di hash di sicurezza nelle versioni di LiteSpeed Cache fino e compresa la 6.3.0.1.

Lo sfruttamento riuscito di questa vulnerabilità consente agli utenti non autenticati di falsificare il proprio ID utente con quello di un amministratore nelle versioni vulnerabili di LiteSpeed Cache, il che consente loro di registrarsi come utenti a livello amministrativo e di prendere completamente il controllo di un sito WordPress.

Questo non richiede alcuna interazione da parte dell’utente e può essere sfruttato attraverso la rete senza richiedere privilegi.

Inoltre, l’attaccante può installare plugin dannosi, modificare impostazioni cruciali, reindirizzare il traffico verso siti web malevoli, distribuire malware ai visitatori o rubare dati degli utenti.

“Abbiamo potuto determinare che un attacco di forza bruta che itera tutti i 1 milione di valori possibili noti per l’hash di sicurezza e li passa nel cookie litespeed_hash — anche eseguendo a una relativamente bassa velocità di 3 richieste al secondo — è in grado di ottenere accesso al sito come qualsiasi ID utente dato entro poche ore e una settimana,” ha spiegato il ricercatore di sicurezza di Patchstack Rafie Muhammad mercoledì.

“L’unico prerequisito è conoscere l’ID di un utente a livello di amministratore e passarla nel cookie litespeed_role. La difficoltà di determinare tale utente dipende interamente dal sito target e avrà successo con un ID utente 1 in molti casi.”

Sebbene sia stata rilasciata una patch per affrontare questa vulnerabilità critica di sicurezza, le statistiche di download dal repository ufficiale dei plugin di WordPress rivelano che il plugin è stato scaricato poco più di 2,5 milioni di volte, suggerendo che più della metà di tutti i siti web che utilizzano il plugin sono vulnerabili a potenziali attacchi in arrivo.

Anche il team di Threat Intelligence di Wordfence ha avvertito del potenziale rischio. “Consigliamo vivamente agli utenti di aggiornare i loro siti con l’ultima versione patchata di Litespeed Cache, versione 6.4.1 al momento della scrittura, il prima possibile.

Non abbiamo dubbi che questa vulnerabilità sarà attivamente sfruttata molto presto,” ha avvertito Chloe Chamberland, responsabile della threat intel di Wordfence, in un post sul blog lunedì.

Per proteggersi da potenziali attacchi, si raccomanda vivamente a coloro che utilizzano LiteSpeed Cache per i loro siti web di aggiornare alla versione 6.4 o successiva.

Se non sei in grado di aggiornare, dovresti disabilitare/disinstallare il plugin, poiché c’è una possibilità potenziale che possa essere vulnerabile a una situazione di takeover completo del sito web.