Milhões de Sites WordPress Vulneráveis a Ataques de Tomada de Controle Devido a Bug no LiteSpeed Cache

Uma vulnerabilidade crítica no amplamente utilizado plugin LiteSpeed Cache para WordPress pode permitir que agentes de ameaça assumam sites após criar contas de administrador não autenticadas, representando assim um risco significativo para milhões de usuários.

LiteSpeed Cache para WordPress (LSCWP) é um plugin de aceleração de site tudo-em-um de código aberto com mais de 5 milhões de instalações ativas.

Ele apresenta um cache exclusivo em nível de servidor e uma coleção de recursos de otimização. Suporta WordPress Multisite e é compatível com os plugins mais populares, incluindo WooCommerce, bbPress e Yoast SEO.

A vulnerabilidade rastreada como CVE-2024-28000 (Pontuação CVSS: 9.8) foi descoberta por John Blackbourn, um membro da comunidade Patchstack Alliance, que a relatou ao programa de recompensas por bugs Zero Day da Patchstack em 1º de agosto de 2024.

A equipe do LiteSpeed respondeu prontamente desenvolvendo um patch para a vulnerabilidade e enviando-o com o lançamento da versão 6.4 do LiteSpeed Cache em 13 de agosto de 2024.

A falha de segurança, que é uma escalada de privilégio não autenticada, foi descoberta no recurso de simulação de usuário do plugin LiteSpeed Cache. É causada por um mecanismo de hash de segurança fraco nas versões do LiteSpeed Cache até e incluindo 6.3.0.1.

A exploração bem-sucedida dessa vulnerabilidade permite que usuários não autenticados falsifiquem seu ID de usuário para o de um administrador nas versões vulneráveis do LiteSpeed Cache, o que, em última análise, permite que se registrem como usuários de nível administrativo e assumam completamente um site WordPress.

Isso não requer interação do usuário e pode ser explorado pela rede sem exigir quaisquer privilégios.

Além disso, o agente de ameaça pode instalar plugins prejudiciais, alterar configurações cruciais, redirecionar tráfego para sites maliciosos, distribuir malware para visitantes ou roubar dados de usuários.

“Conseguimos determinar que um ataque de força bruta que itera todos os 1 milhão de valores possíveis conhecidos para o hash de segurança e os passa no cookie litespeed_hash — mesmo rodando a uma taxa relativamente baixa de 3 requisições por segundo — é capaz de ganhar acesso ao site como qualquer ID de usuário dentro de algumas horas a uma semana,” explicou o pesquisador de segurança da Patchstack, Rafie Muhammad, na quarta-feira.

“O único pré-requisito é conhecer o ID de um usuário de nível Administrador e passá-lo no cookie litespeed_role. A dificuldade de determinar tal usuário depende inteiramente do site alvo e terá sucesso com um ID de usuário 1 em muitos casos.”

Embora um patch tenha sido lançado para resolver essa vulnerabilidade crítica de segurança, as estatísticas de download do repositório oficial de plugins do WordPress revelam que o plugin foi baixado pouco mais de 2,5 milhões de vezes, sugerindo que mais da metade de todos os sites que usam o plugin são vulneráveis a potenciais ataques.

Até mesmo a equipe de Inteligência de Ameaças do Wordfence alertou sobre a ameaça potencial. “Recomendamos fortemente que os usuários atualizem seus sites com a versão corrigida mais recente do Litespeed Cache, versão 6.4.1 no momento da redação, o mais rápido possível.

Não temos dúvidas de que essa vulnerabilidade será explorada ativamente em breve,” alertou Chloe Chamberland, líder de inteligência de ameaças do Wordfence, em um post no blog na segunda-feira.

Para se proteger contra potenciais ataques, é altamente recomendável que aqueles que usam o LiteSpeed Cache para seus sites atualizem para a versão 6.4 ou posterior.

Se você não puder atualizar, deve desativar/desinstalar o plugin, pois há uma chance potencial de que ele seja vulnerável a uma situação de tomada de controle completa do site.