Ошибка Litespeed Cache подвергает миллионы сайтов WordPress атакам на поглощение

Критическая уязвимость в плагине LiteSpeed Cache WordPress может позволить злоумышленникам получить контроль над миллионами сайтов после создания неавторизованных учетных записей администраторов.

LiteSpeed Cache - это самый популярный плагин для ускорения работы сайтов WordPress с открытым исходным кодом, имеющий более 5 миллионов активных установок и поддерживающий WooCommerce, bbPress, ClassicPress и Yoast SEO.

Уязвимость повышения привилегий без аутентификации (CVE-2024-28000) была обнаружена в функции симуляции пользователей плагина и вызвана слабой проверкой хэша в LiteSpeed Cache до версии 6.3.0.1 включительно.

Исследователь безопасности Джон Блэкборн (John Blackbourn) отправил сообщение об этом дефекте в программу Patchstack bug bounty 1 августа. Команда LiteSpeed разработала исправление и поставила его вместе с LiteSpeed Cache версии 6.4, выпущенной 13 августа.

Успешная эксплуатация позволяет любому неаутентифицированному посетителю получить доступ на уровне администратора, который может быть использован для полного захвата сайтов с уязвимыми версиями LiteSpeed Cache путем установки вредоносных плагинов, изменения критических настроек, перенаправления трафика на вредоносные сайты, распространения вредоносного ПО среди посетителей или кражи пользовательских данных.

«Нам удалось установить, что атака грубой силы, которая перебирает все 1 миллион известных возможных значений хэша безопасности и передает их в cookie litespeed_hash - даже при относительно низкой скорости 3 запроса в секунду - способна получить доступ к сайту под любым идентификатором пользователя в течение от нескольких часов до недели», - пояснил в среду исследователь безопасности Patchstack Рафи Мухаммад (Rafie Muhammad).

«Единственным условием является знание идентификатора пользователя уровня администратора и передача его в cookie litespeed_role. Сложность определения такого пользователя полностью зависит от целевого сайта, и во многих случаях это удается при идентификаторе пользователя 1».

Хотя команда разработчиков выпустила версии, устраняющие эту критическую уязвимость, в прошлый вторник, статистика загрузок из официального репозитория плагинов WordPress показывает, что плагин был скачан чуть более 2,5 миллионов раз, что, вероятно, оставляет более половины всех использующих его сайтов незащищенными от входящих атак.

Ранее в этом году злоумышленники использовали неавторизованный межсайтовый скриптинг в LiteSpeed Cache (CVE-2023-40000) для создания неавторизованных пользователей-администраторов и получения контроля над уязвимыми сайтами. В мае команда безопасности Automattic, WPScan, предупредила, что угрозы начали сканирование на предмет целей в апреле, после того как было зафиксировано более 1,2 миллиона запросов только с одного вредоносного IP-адреса.

«Мы настоятельно рекомендуем пользователям как можно скорее обновить свои сайты до последней исправленной версии Litespeed Cache, версии 6.4.1 на момент написания этой статьи. Мы не сомневаемся, что эта уязвимость будет активно эксплуатироваться очень скоро», - предупредила сегодня руководитель отдела анализа угроз Wordfence Хлоя Чемберленд.

В июне команда Wordfence Threat Intelligence также сообщила о том, что некий угрожающий субъект сделал бэкдоринг как минимум пяти плагинов на WordPress.org и добавил вредоносные PHP-скрипты для создания учетных записей с правами администратора на сайтах, где они используются.