В LiteSpeed Cache, кэширующем плагине для ускорения просмотра веб-страниц на более чем 6 миллионах сайтов WordPress, обнаружена очередная уязвимость критической степени серьезности.
Дефект, отслеживаемый как CVE-2024-44000 и классифицируемый как проблема неаутентифицированного захвата учетной записи, был обнаружен Рафи Мухаммадом (Rafie Muhammad) из Patchstack 22 августа 2024 года. Исправление стало доступно вчера с выпуском LiteSpeed Cache версии 6.5.0.1.
Уязвимость связана с функцией отладочной регистрации плагина, которая при включении записывает в файл все заголовки HTTP-ответов, включая заголовок «Set-Cookie».
Эти заголовки содержат сессионные куки, используемые для аутентификации пользователей, поэтому если злоумышленник сможет их украсть, он сможет выдать себя за пользователя-администратора и получить полный контроль над сайтом.
Чтобы воспользоваться дефектом, злоумышленник должен иметь доступ к файлу журнала отладки в '/wp-content/debug.log'. При отсутствии ограничений доступа к файлу (например, правил .htaccess) это возможно, если просто ввести правильный URL.
Конечно, злоумышленник сможет украсть только сессионные куки пользователей, которые заходили на сайт, когда функция отладки была активна, но это включает даже события входа в систему в прошлом, если журналы хранятся бесконечно долго и не стираются периодически.
Производитель плагина, компания LiteSpeed Technologies, решила эту проблему, переместив журнал отладки в специальную папку ('/wp-content/litespeed/debug/'), изменив имена файлов журнала в случайном порядке, убрав опцию регистрации куки-файлов и добавив фиктивный индексный файл для дополнительной защиты.
Пользователям LiteSpeed Cache рекомендуется очистить все файлы 'debug.log' на своих серверах, чтобы удалить потенциально валидные куки сессии, которые могут быть украдены угрожающими лицами.
Также следует установить правило .htaccess, запрещающее прямой доступ к лог-файлам, поскольку рандомизированные имена в новой системе все еще могут быть угаданы с помощью многократных попыток/брутфорсинга.
WordPress.org сообщает, что чуть более 375 000 пользователей загрузили LiteSpeed Cache вчера, в день выхода версии 6.5.0.1, так что количество сайтов, остающихся уязвимыми для этих атак, может превысить 5,6 миллиона.
В последнее время этот плагин остается в эпицентре исследований в области безопасности из-за своей огромной популярности и потому, что хакеры постоянно ищут возможности атаковать веб-сайты с его помощью.
В мае 2024 года было замечено, что хакеры используют устаревшую версию плагина, подверженную дефекту межсайтового скриптинга без аутентификации, отслеживаемому как CVE-2023-40000, для создания пользователей-администраторов и захвата контроля над сайтами.
Совсем недавно, 21 августа 2024 года, была обнаружена критическая уязвимость повышения привилегий без аутентификации, обозначенная как CVE-2024-28000, и исследователи забили тревогу по поводу того, как легко ее использовать.
Всего через несколько часов после обнародования уязвимости угрожающие лица начали массово атаковать сайты, а компания Wordfence сообщила о блокировании почти 50 000 атак.
Сегодня прошло две недели с момента раскрытия информации, и тот же портал сообщает о 340 000 атак за последние 24 часа.
174Компания Google выпустила сентябрьские обновления безопасности Android 2024, исправляющие 34 уязвимости, включая CVE-2024-32896, активно эксплуатируемую уязвимость повышения привилегий, которая ранее была устранена на устройствах Pixel.
203Сегодня ФБР предупредило о том, что северокорейские хакерские группы агрессивно атакуют криптовалютные компании и их сотрудников с помощью сложных социально-инженерных атак с целью внедрения вредоносного ПО, предназначенного для кражи их криптоактивов.
197Исследователи безопасности Checkmarx обнаружили устойчивую кампанию, направленную на разработчиков Roblox с помощью вредоносных пакетов npm.
144Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии