Descoberto pelo pesquisador de segurança John Blackbourn, um bug do Litespeed Cache expõe milhões de sites WordPress a ataques de aquisição.
O LiteSpeed Cache é um plugin de aceleração de sites WordPress de código aberto e o mais popular, com mais de 5 milhões de instalações ativas e suporte para WooCommerce, bbPress, ClassicPress e Yoast SEO.
E infelizmente, uma vulnerabilidade crítica no plugin LiteSpeed Cache WordPress pode permitir que invasores assumam o controle de milhões de sites após criar contas de administrador desonestas.
Bug do Litespeed Cache expõe milhões de sites WordPress
A vulnerabilidade de escalonamento de privilégios não autenticados (CVE-2024-28000) foi encontrada no recurso de simulação de usuário do plugin e é causada por uma verificação de hash fraca no LiteSpeed Cache até e incluindo a versão 6.3.0.1.
O pesquisador de segurança John Blackbourn enviou a falha ao programa de recompensas por bugs do Patchstack em 1º de agosto. A equipe do LiteSpeed desenvolveu um patch e o enviou com o LiteSpeed Cache versão 6.4, lançado em 13 de agosto.
A exploração bem-sucedida permite que qualquer visitante não autenticado obtenha acesso de nível de administrador, que pode ser usado para assumir completamente o controle de sites que executam versões vulneráveis do LiteSpeed Cache instalando plug-ins maliciosos, alterando configurações críticas, redirecionando o tráfego para sites maliciosos, distribuindo malware para visitantes ou roubando dados do usuário.
“Conseguimos determinar que um ataque de força bruta que itera todos os 1 milhão de valores possíveis conhecidos para o hash de segurança e os passa no cookie litespeed_hash — mesmo executando a relativamente baixas 3 solicitações por segundo — é capaz de obter acesso ao site como qualquer ID de usuário dentro de algumas horas e uma semana”, explicou o pesquisador de segurança do Patchstack Rafie Muhammad na quarta-feira.
“O único pré-requisito é saber o ID de um usuário de nível de administrador e passá-lo no cookie litespeed_role. A dificuldade de determinar tal usuário depende inteiramente do site de destino e terá sucesso com um ID de usuário 1 em muitos casos.”
Embora a equipe de desenvolvimento tenha lançado versões que abordam essa vulnerabilidade crítica de segurança na última terça-feira, as estatísticas de download do repositório oficial de plugins do WordPress mostram que o plugin foi baixado apenas pouco mais de 2,5 milhões de vezes, provavelmente deixando mais da metade de todos os sites que o usam expostos a ataques de entrada.
No início deste ano, os invasores exploraram uma falha de script entre sites não autenticada do LiteSpeed Cache (CVE-2023-40000) para criar usuários administradores desonestos e obter controle de sites vulneráveis.
Em maio, a equipe de segurança da Automattic, WPScan, alertou que os agentes de ameaças começaram a escanear alvos em abril após ver mais de 1,2 milhão de sondagens de apenas um endereço IP malicioso.
“Recomendamos fortemente que os usuários atualizem seus sites com a versão mais recente corrigida do Litespeed Cache, versão 6.4.1 no momento em que este artigo foi escrito, o mais rápido possível. Não temos dúvidas de que essa vulnerabilidade será explorada ativamente muito em breve”, alertou a líder de inteligência de ameaças do Wordfence, Chloe Chamberland.
Em junho, a equipe de inteligência de ameaças do Wordfence também relatou que um agente de ameaça fez backdoor em pelo menos cinco plugins no WordPress.org e adicionou scripts PHP maliciosos para criar contas com privilégios de administrador em sites que os executam.
