Hackers estão explorando bug crítico no plugin LiteSpeed ​​Cache

Pouco tempo depois de divulgado o problema, hackers estão explorando bug crítico no plugin LiteSpeed ​​Cache.

Os hackers já começaram a explorar a vulnerabilidade de gravidade crítica que afeta o LiteSpeed ​​Cache, um plugin do WordPress usado para acelerar os tempos de resposta, um dia após os detalhes técnicos se tornarem públicos.

Hackers estão explorando bug crítico no plugin LiteSpeed ​​Cache

Hackers estão explorando bug crítico no plugin LiteSpeed ​​Cache
Hackers estão explorando bug crítico no plugin LiteSpeed ​​Cache

O problema de segurança é rastreado como CVE-2024-28000 e permite escalar privilégios sem autenticação em todas as versões do plugin do WordPress até 6.3.0.1.

A vulnerabilidade decorre de uma verificação de hash fraca no recurso de simulação de usuário do plugin, que pode ser explorada por invasores forçando brutamente o valor do hash para criar contas de administrador desonestas.

Isso pode levar a uma tomada completa dos sites afetados, permitindo a instalação de plugins maliciosos, alterando configurações críticas, redirecionando o tráfego para sites maliciosos e roubando dados do usuário.

Rafie Muhammad do Patchstack compartilhou os detalhes sobre como acionar a geração de hash em uma postagem, mostrando como forçar brutamente o hash para escalar privilégios e, em seguida, criar uma nova conta de administrador por meio da API REST.

O método de Muhammad demonstrou que um ataque de força bruta percorrendo todos os 1 milhão de valores de hash de segurança possíveis a três solicitações por segundo pode obter acesso ao site como qualquer ID de usuário em apenas algumas horas e até uma semana.

O LiteSpeed ​​Cache é usado por mais de 5 milhões de sites. No momento em que este artigo foi escrito, apenas cerca de 30% executavam uma versão segura do plug-in, deixando uma superfície de ataque de milhões de sites vulneráveis.

A empresa de segurança WordPress Wordfence relata que detectou e bloqueou mais de 48.500 ataques direcionados ao CVE-2024-28000 nas últimas 24 horas, um número que reflete intensa atividade de exploração.

Chloe Charmberland, da Wordfence, alertou sobre esse cenário ontem, dizendo: “Não temos dúvidas de que essa vulnerabilidade será explorada ativamente muito em breve”.

Esta é a segunda vez neste ano que hackers têm como alvo o LiteSpeed ​​Cache. Em maio, os invasores usaram uma falha de script entre sites (CVE-2023-40000) para criar contas de administrador desonestas e assumir o controle de sites vulneráveis.

Na época, o WPScan relatou que os agentes de ameaças começaram a escanear alvos em abril, com mais de 1,2 milhão de sondagens detectadas de um único endereço IP malicioso.

Os usuários do LiteSpeed ​​Cache são recomendados a atualizar para a versão mais recente disponível, 6.4.1, o mais rápido possível ou desinstalar o plugin do seu site.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.