Bug do Litespeed Cache expõe milhões de sites WordPress

Descoberto pelo pesquisador de segurança John Blackbourn, um bug do Litespeed Cache expõe milhões de sites WordPress a ataques de aquisição.

O LiteSpeed ​​Cache é um plugin de aceleração de sites WordPress de código aberto e o mais popular, com mais de 5 milhões de instalações ativas e suporte para WooCommerce, bbPress, ClassicPress e Yoast SEO.

E infelizmente, uma vulnerabilidade crítica no plugin LiteSpeed ​​Cache WordPress pode permitir que invasores assumam o controle de milhões de sites após criar contas de administrador desonestas.

Bug do Litespeed Cache expõe milhões de sites WordPress

Bug do Litespeed Cache expõe milhões de sites WordPress
Bug do Litespeed Cache expõe milhões de sites WordPress

A vulnerabilidade de escalonamento de privilégios não autenticados (CVE-2024-28000) foi encontrada no recurso de simulação de usuário do plugin e é causada por uma verificação de hash fraca no LiteSpeed ​​Cache até e incluindo a versão 6.3.0.1.

O pesquisador de segurança John Blackbourn enviou a falha ao programa de recompensas por bugs do Patchstack em 1º de agosto. A equipe do LiteSpeed ​​desenvolveu um patch e o enviou com o LiteSpeed ​​Cache versão 6.4, lançado em 13 de agosto.

A exploração bem-sucedida permite que qualquer visitante não autenticado obtenha acesso de nível de administrador, que pode ser usado para assumir completamente o controle de sites que executam versões vulneráveis ​​do LiteSpeed ​​Cache instalando plug-ins maliciosos, alterando configurações críticas, redirecionando o tráfego para sites maliciosos, distribuindo malware para visitantes ou roubando dados do usuário.

“Conseguimos determinar que um ataque de força bruta que itera todos os 1 milhão de valores possíveis conhecidos para o hash de segurança e os passa no cookie litespeed_hash — mesmo executando a relativamente baixas 3 solicitações por segundo — é capaz de obter acesso ao site como qualquer ID de usuário dentro de algumas horas e uma semana”, explicou o pesquisador de segurança do Patchstack Rafie Muhammad na quarta-feira.

“O único pré-requisito é saber o ID de um usuário de nível de administrador e passá-lo no cookie litespeed_role. A dificuldade de determinar tal usuário depende inteiramente do site de destino e terá sucesso com um ID de usuário 1 em muitos casos.”

Embora a equipe de desenvolvimento tenha lançado versões que abordam essa vulnerabilidade crítica de segurança na última terça-feira, as estatísticas de download do repositório oficial de plugins do WordPress mostram que o plugin foi baixado apenas pouco mais de 2,5 milhões de vezes, provavelmente deixando mais da metade de todos os sites que o usam expostos a ataques de entrada.

No início deste ano, os invasores exploraram uma falha de script entre sites não autenticada do LiteSpeed ​​Cache (CVE-2023-40000) para criar usuários administradores desonestos e obter controle de sites vulneráveis.

Em maio, a equipe de segurança da Automattic, WPScan, alertou que os agentes de ameaças começaram a escanear alvos em abril após ver mais de 1,2 milhão de sondagens de apenas um endereço IP malicioso.

“Recomendamos fortemente que os usuários atualizem seus sites com a versão mais recente corrigida do Litespeed Cache, versão 6.4.1 no momento em que este artigo foi escrito, o mais rápido possível. Não temos dúvidas de que essa vulnerabilidade será explorada ativamente muito em breve”, alertou a líder de inteligência de ameaças do Wordfence, Chloe Chamberland.

Em junho, a equipe de inteligência de ameaças do Wordfence também relatou que um agente de ameaça fez backdoor em pelo menos cinco plugins no WordPress.org e adicionou scripts PHP maliciosos para criar contas com privilégios de administrador em sites que os executam.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.