ハッカーがWordPress LiteSpeedプラグインの脆弱性を悪用

LiteSpeed Cacheは、数百万のWordPressウェブサイト管理者がページの読み込み時間とユーザーエクスペリエンスを改善するために使用しているプラグインです。

しかし、WPScanは、ハッカーがウェブサイトの完全な制御を得るために使用できるプラグインの古いバージョンにおける脆弱性（CVE-2023-40000）を警告しました。

そのCVSSスコアは8.3であり、深刻な脆弱性であることを示しています。ハッカーは実際の管理者になりすまし、サイトを制御することができます。

LiteSpeedはバージョン5.7.0.1で脆弱性を修正しましたが、180万人以上のユーザーがまだプラグインをアップグレードしていません。

目次

• 脆弱性の詳細 - サイトが影響を受けた場合の解決策は？

脆弱性の詳細

CVE-2023-40000は2023年10月に警告され、Stored Cross-Site Scriptingに使用される可能性があります。

ハッカーはこの脆弱性を利用して、管理者権限を自分のユーザーアカウントに付与し、ウェブサイトを制御することができます。

「WordPress用のプラグインは、‘nameservers’および‘_msg’パラメータを介してStored Cross-Site Scriptingに対して脆弱であり、不十分な入力サニタイズと出力エスケープにより、認証されていない攻撃者がページに任意のウェブスクリプトを注入できるようになり、ユーザーが注入されたページにアクセスするたびに実行されます。」とWPScanはブログ投稿で述べています。

このセキュリティリサーチ会社は、マルウェアがWordPressのコアファイルにコードを注入することも共有しました。94.102.51.144からの1,232,810件のリクエストと、31.43.191.220からの70,472件のリクエストを発見しました。

両方のIPアドレスは、古いバージョンのLiteSpeed Cacheプラグインがインストールされた既存のWordPressサイトを探していました。LiteSpeed Cacheは500万人以上のユーザーを持ち、そのうちの3分の1は修正されたバージョンにアップグレードしていません。

ウェブサイトで異常なトラフィックに気づいた場合や、「wpsupp?user」または「wp?configuser」という名前の管理者ユーザーを見つけた場合、あなたのウェブサイトはすでに侵害されています。

また、「eval(atob(Strings.fromCharCode」のような疑わしい文字列をデータベースで検索し、45.150.67.235のようなIPアドレスからのリクエストに注意してください。

サイトが影響を受けた場合の解決策は？

マルウェアの感染を排除するために、以前のサイトバックアップを使用する必要があります。予防措置として、WordPressウェブサイトにインストールされているプラグインを確認してください。

LiteSpeed Cacheを含む、すべての利用可能および保留中のプラグインの更新が手動でインストールされていることを確認してください。