En kritisk sårbarhet i WordPress-tillegget LiteSpeed Cache gjør det mulig for angripere å ta kontroll over flere millioner nettsider ved å opprette falske administratorkontoer, skriver Bleeping Computer.
LiteSpeed Cache er åpen kildekode, og ifølge Bleeping Computer det mest populære tillegget (plugin) for å forbedre ytelsen til WordPress-nettsteder.
Tillegget har mer enn 5 millioner aktive installasjoner og støtte for WooCommerce, bbPress, ClassicPress og Yoast SEO.
– Tillegget har en sårbarhet som gjør at ikke-autentiserte brukere kan eskalere sine rettigheter, noe som gjør det mulig for en hvilken som helst uautorisert bruker å få administratortilgang. Etter dette kan ondsinnede plugins lastes opp og installeres, skriver sikkerhetsforskeren Rafie Muhammad i Patchstack i en rapport.
Største "bug bounty"-utbetaling noensinne
Sårbarheten (CVE-2024-28000) ble oppdaget av sikkerhetsforskeren John Blackburn, som sendte den inn til Patchstacks "bug bounty"-program den 1. august.
Ifølge Patchstack resulterte det i deres største bug bounty-utbetaling noensinne for en WordPress-sårbarhet – 14.400 dollar (i overkant av 150.000 kroner).
Sårbarheten skyldes en svakhet i implementeringen av funksjonalitet for simulering av brukere:
- En crawler går med jevne mellomrom gjennom sidene på nettstedet for å cache dem, og når den gjør det simulerer den at den er en innlogget bruker med en bestemt ID.
- Denne simuleringen er beskyttet av en svak sikkerhets-hash som bruker kjente verdier. Hashen skal beskytte mot at andre enn LiteSpeed Cache-crawleren kan simulere en bruker.
- Algoritmen som lager hashen lager kun 1 million verdier, og disse genereres kun én gang før det lagres i databasen for senere bruk.
Alvorlig feil i populær WordPress-plugin rammer over to millioner nettsider
2,5 millioner i fare
– Et brute force-angrep som itererer over alle de 1 million kjente mulige hash-verdiene og videresender dem i litespeed_hash-cookien — selv ved en relativt lav hastighet på 3 forespørsler per sekund — kan få tilgang til nettstedet som en hvilken som helst bruker-ID i løpet av alt fra noen få timer til en uke, skriver Rafie Muhammad i Patchstack.
LiteSpeed fikk ut en patch som ble sendt ut sammen med LiteSpeed Cache 6.4 som kom 13. august. Ifølge Bleeping Computer har denne blitt lastet ned i overkant av 2,5 millioner ganger, som betyr at det fortsatt er rundt 2,5 millioner nettsider som er utsatt for angrep.
Du kan lese en detaljert gjennomgang av hvordan sårbarheten fungerer – med kodeeksempler – her.
Ikke første gang
Dette er ikke første gang det har blitt oppdaget alvorlige sårbarheter i LiteSpeed Cache.
I mai i år ble det oppdaget en cross-site-scripting-sårbarhet som kunne gjøre det mulig for angripere å opprette falske brukere med administratorrettigheter og ta kontroll over nettstedet.
Hvis du har et nettsted som bruker LiteSpeed Cache, bør du snarest mulig oppdatere til den nyeste versjonen. LiteSpeed har mer informasjon om dette på sine nettsider.