Хакеры используют уязвимость плагина LiteSpeed для WordPress

LiteSpeed Cache — это плагин, который миллионы администраторов сайтов на WordPress используют для улучшения времени загрузки страниц и пользовательского опыта.

Но WPScan обнаружил эксплойт (CVE-2023-40000) в старой версии плагина, который хакеры могут использовать для получения полного контроля над сайтом.

Его оценка CVSS 8.3 указывает на то, что это серьезная уязвимость. Хакеры могут выдавать себя за настоящих администраторов и захватывать контроль над сайтом.

LiteSpeed устранил уязвимость в версии 5.7.0.1, но более 1.8 миллиона пользователей еще не обновили плагин.

Содержание

• Подробности уязвимости - Каково решение, если ваш сайт затронут?

Подробности уязвимости

CVE-2023-40000 была отмечена в октябре 2023 года и может быть использована для хранения межсайтового скриптинга.

Хакеры могут использовать этот эксплойт, чтобы предоставить права администратора своим учетным записям и получить контроль над веб-сайтами.

«Плагин для WordPress уязвим для хранения межсайтового скриптинга через параметры ‘nameservers’ и ‘_msg’ из-за недостаточной очистки входных данных и экранирования выходных данных, что позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице», — сказал WPScan в своем блоге.

Компания по исследованию безопасности также сообщила, что вредоносное ПО внедряет код в основные файлы WordPress. Она обнаружила 1,232,810 запросов от IP-адреса 94.102.51.144 и 70,472 от IP-адреса 31.43.191.220 соответственно.

Оба IP-адреса искали в интернете существующие сайты WordPress с установленными старыми версиями плагинов LiteSpeed Cache. LiteSpeed Cache имеет более пяти миллионов пользователей, и треть из них не обновили плагин до исправленной версии.

Если вы заметили необычный трафик на своем сайте и нашли администраторов с именами «wpsupp?user» или «wp?configuser», ваш сайт уже скомпрометирован.

Вы также можете просмотреть базу данных на наличие подозрительных строк, таких как «eval(atob(Strings.fromCharCode» и следить за запросами от IP-адресов, таких как 45.150.67.235.

Каково решение, если ваш сайт затронут?

Вы должны использовать предыдущую резервную копию сайта, чтобы удалить заражение вредоносным ПО. В качестве предосторожности проверьте установленные плагины на вашем сайте WordPress.

Убедитесь, что все доступные и ожидающие обновления плагинов, включая LiteSpeed Cache, установлены вручную.