해커들이 WordPress LiteSpeed 플러그인의 취약점을 악용하다

LiteSpeed Cache는 수백만 명의 WordPress 웹사이트 관리자가 페이지 로드 시간과 사용자 경험을 개선하기 위해 사용하는 플러그인입니다.

하지만 WPScan은 해커들이 웹사이트를 완전히 제어하는 데 사용할 수 있는 플러그인의 이전 버전에서의 취약점(CVE-2023-40000)을 발견했습니다.

CVSS 점수 8.3은 심각한 취약점을 나타냅니다. 해커들은 실제 관리자인 척 하여 사이트를 제어할 수 있습니다.

LiteSpeed는 버전 5.7.0.1로 취약점을 패치했지만, 180만 명 이상의 사용자가 아직 플러그인을 업그레이드하지 않았습니다.

목차

• 취약점 세부정보 - 사이트가 영향을 받는 경우 해결 방법은 무엇인가요?

취약점 세부정보

CVE-2023-40000은 2023년 10월에 발견되었으며 저장된 교차 사이트 스크립팅에 사용될 수 있습니다.

해커들은 이 취약점을 이용하여 자신의 사용자 계정에 관리자 권한을 부여하고 웹사이트를 제어할 수 있습니다.

“WordPress용 플러그인은 ‘nameservers’ 및 ‘_msg’ 매개변수를 통해 저장된 교차 사이트 스크립팅에 취약하며, 이는 불충분한 입력 정리 및 출력 이스케이프 때문에 발생하여 인증되지 않은 공격자가 사용자가 주입된 페이지에 접근할 때마다 실행되는 임의의 웹 스크립트를 주입할 수 있게 합니다.”라고 WPScan은 블로그 게시물에서 말했습니다.

이 보안 연구 회사는 또한 악성 코드가 WordPress 핵심 파일에 코드를 주입한다고 공유했습니다. 94.102.51.144에서 1,232,810개의 요청과 31.43.191.220에서 70,472개의 요청을 발견했습니다.

두 IP 주소는 구버전의 LiteSpeed Cache 플러그인이 설치된 기존 WordPress 사이트를 찾기 위해 웹을 검색하고 있었습니다. LiteSpeed Cache는 500만 명 이상의 사용자가 있으며, 그 중 3분의 1은 패치된 버전으로 업그레이드하지 않았습니다.

웹사이트에서 비정상적인 트래픽을 감지하고 “wpsupp?user” 또는 “wp?configuser”라는 이름의 관리자 사용자를 발견하면, 귀하의 웹사이트는 이미 손상된 것입니다.

또한 “eval(atob(Strings.fromCharCode”와 같은 의심스러운 문자열을 데이터베이스에서 검색하고 45.150.67.235와 같은 IP 주소에서의 요청을 주의 깊게 살펴보세요.

사이트가 영향을 받는 경우 해결 방법은 무엇인가요?

악성 코드 감염을 제거하기 위해 이전 사이트 백업을 사용해야 합니다. 예방 조치로, WordPress 웹사이트에 설치된 플러그인을 검토하세요.

LiteSpeed Cache를 포함한 모든 사용 가능한 및 보류 중인 플러그인 업데이트가 수동으로 설치되었는지 확인하세요.