Миллионы сайтов WordPress уязвимы к атаке захвата из-за ошибки LiteSpeed Cache

Критическая уязвимость в широко используемом плагине LiteSpeed Cache для WordPress может позволить злоумышленникам захватывать веб-сайты после создания неаутентифицированных учетных записей администратора, что представляет собой значительный риск для миллионов пользователей.

LiteSpeed Cache для WordPress (LSCWP) — это открытый, универсальный плагин для ускорения работы сайта с более чем 5 миллионами активных установок.

Он включает в себя эксклюзивный кэш на уровне сервера и набор функций оптимизации. Он поддерживает WordPress Multisite и совместим с самыми популярными плагинами, включая WooCommerce, bbPress и Yoast SEO.

Уязвимость, отслеживаемая как CVE-2024-28000 (оценка CVSS: 9.8), была обнаружена Джоном Блэкборном, членом сообщества Patchstack Alliance, который сообщил о ней в программу вознаграждений за уязвимости Zero Day от Patchstack 1 августа 2024 года.

Команда LiteSpeed быстро отреагировала, разработав патч для уязвимости и выпустив его с релизом версии LiteSpeed Cache 6.4 13 августа 2024 года.

Данный недостаток безопасности, который представляет собой неаутентифицированное повышение привилегий, был обнаружен в функции симуляции пользователей плагина LiteSpeed Cache. Он вызван слабым механизмом хеширования безопасности в версиях LiteSpeed Cache до и включая 6.3.0.1.

Успешная эксплуатация этой уязвимости позволяет неаутентифицированным пользователям подменять свой идентификатор пользователя на идентификатор администратора в уязвимых версиях LiteSpeed Cache, что в конечном итоге позволяет им зарегистрироваться как пользователи с административными правами и полностью захватить сайт WordPress.

Это не требует взаимодействия с пользователем и может быть использовано через сеть без необходимости в каких-либо привилегиях.

Более того, злоумышленник может установить вредоносные плагины, изменить важные настройки, перенаправить трафик на вредоносные веб-сайты, распространять вредоносное ПО среди посетителей или украсть данные пользователей.

«Нам удалось определить, что атака грубой силы, которая перебирает все 1 миллион известных возможных значений для хеша безопасности и передает их в куки litespeed_hash — даже при относительно низкой скорости 3 запроса в секунду — может получить доступ к сайту как любой данный идентификатор пользователя в течение нескольких часов или недели», — объяснил исследователь безопасности Patchstack Рафие Мухаммад в среду.

«Единственным предварительным условием является знание идентификатора пользователя уровня администратора и передача его в куки litespeed_role. Сложность определения такого пользователя полностью зависит от целевого сайта и будет успешной с идентификатором пользователя 1 в большинстве случаев.»

Хотя патч был выпущен для устранения этой критической уязвимости безопасности, статистика загрузок из официального репозитория плагинов WordPress показывает, что плагин был загружен чуть более 2.5 миллиона раз, что предполагает, что более половины всех веб-сайтов, использующих этот плагин, уязвимы к потенциальным атакам.

Даже команда Threat Intelligence Wordfence предупреждала о потенциальной угрозе. «Мы настоятельно советуем пользователям обновить свои сайты до последней исправленной версии Litespeed Cache, версии 6.4.1 на момент написания, как можно скорее.

У нас нет сомнений, что эта уязвимость будет активно эксплуатироваться очень скоро», — предупредила Хлоя Чемберленд, руководитель отдела разведки угроз Wordfence, в блоге в понедельник.

Чтобы защититься от потенциальных атак, настоятельно рекомендуется тем, кто использует LiteSpeed Cache для своих веб-сайтов, обновиться до версии 6.4 или более поздней.

Если вы не можете обновиться, вам следует отключить/удалить плагин, так как существует вероятность, что он будет уязвим к ситуации полного захвата веб-сайта.