Pouco tempo depois de divulgado o problema, hackers estão explorando bug crítico no plugin LiteSpeed Cache.
Os hackers já começaram a explorar a vulnerabilidade de gravidade crítica que afeta o LiteSpeed Cache, um plugin do WordPress usado para acelerar os tempos de resposta, um dia após os detalhes técnicos se tornarem públicos.
Hackers estão explorando bug crítico no plugin LiteSpeed Cache
O problema de segurança é rastreado como CVE-2024-28000 e permite escalar privilégios sem autenticação em todas as versões do plugin do WordPress até 6.3.0.1.
A vulnerabilidade decorre de uma verificação de hash fraca no recurso de simulação de usuário do plugin, que pode ser explorada por invasores forçando brutamente o valor do hash para criar contas de administrador desonestas.
Isso pode levar a uma tomada completa dos sites afetados, permitindo a instalação de plugins maliciosos, alterando configurações críticas, redirecionando o tráfego para sites maliciosos e roubando dados do usuário.
Rafie Muhammad do Patchstack compartilhou os detalhes sobre como acionar a geração de hash em uma postagem, mostrando como forçar brutamente o hash para escalar privilégios e, em seguida, criar uma nova conta de administrador por meio da API REST.
O método de Muhammad demonstrou que um ataque de força bruta percorrendo todos os 1 milhão de valores de hash de segurança possíveis a três solicitações por segundo pode obter acesso ao site como qualquer ID de usuário em apenas algumas horas e até uma semana.
O LiteSpeed Cache é usado por mais de 5 milhões de sites. No momento em que este artigo foi escrito, apenas cerca de 30% executavam uma versão segura do plug-in, deixando uma superfície de ataque de milhões de sites vulneráveis.
A empresa de segurança WordPress Wordfence relata que detectou e bloqueou mais de 48.500 ataques direcionados ao CVE-2024-28000 nas últimas 24 horas, um número que reflete intensa atividade de exploração.
Chloe Charmberland, da Wordfence, alertou sobre esse cenário ontem, dizendo: “Não temos dúvidas de que essa vulnerabilidade será explorada ativamente muito em breve”.
Esta é a segunda vez neste ano que hackers têm como alvo o LiteSpeed Cache. Em maio, os invasores usaram uma falha de script entre sites (CVE-2023-40000) para criar contas de administrador desonestas e assumir o controle de sites vulneráveis.
Na época, o WPScan relatou que os agentes de ameaças começaram a escanear alvos em abril, com mais de 1,2 milhão de sondagens detectadas de um único endereço IP malicioso.
Os usuários do LiteSpeed Cache são recomendados a atualizar para a versão mais recente disponível, 6.4.1, o mais rápido possível ou desinstalar o plugin do seu site.