LiteSpeed Cache WordPressプラグインに重大な脆弱性があり、攻撃者が不正な管理者アカウントを作成した後、数百万のウェブサイトを乗っ取る可能性がある。
LiteSpeed Cacheはオープンソースで、最も人気のあるWordPressサイト高速化プラグインであり、500万以上のアクティブインストールがあり、WooCommerce、bbPress、ClassicPress、Yoast SEOをサポートしている。
認証されていない特権昇格の脆弱性(CVE-2024-28000)は、プラグインのユーザーシミュレーション機能に見つかり、バージョン6.3.0.1までのLiteSpeed Cacheの弱いハッシュチェックが原因となっている。
セキュリティ研究者のJohn Blackbourn氏は8月1日、この欠陥をPatchstackのバグ報奨金プログラムに提出した。 LiteSpeedチームはパッチを開発し、8月13日にリリースされたLiteSpeed Cacheバージョン6.4に同梱した。
悪用に成功すると、認証されていない訪問者であれば誰でも管理者レベルのアクセス権を得ることができ、これを利用して、悪質なプラグインのインストール、重要な設定の変更、悪質なウェブサイトへのトラフィックのリダイレクト、訪問者へのマルウェアの配布、ユーザーデータの窃取などによって、脆弱なLiteSpeed Cacheバージョンを実行しているウェブサイトを完全に乗っ取ることができる。
「私たちは、セキュリティハッシュの既知の可能な値100万個をすべて繰り返し、それらをlitespeed_hashクッキーに渡す総当たり攻撃は、比較的低い毎秒3リクエストで実行しても、数時間から1週間以内に任意のユーザーIDとしてサイトにアクセスできることを突き止めることができました」と、Patchstackのセキュリティ研究者Rafie Muhammad氏は水曜日に説明した。
「唯一の前提条件は、管理者レベルのユーザーのIDを知っていて、それをlitespeed_roleクッキーに渡すことです。そのようなユーザーを決定することの難しさは、完全にターゲットサイトに依存し、多くの場合、ユーザーID 1で成功します。”
開発チームは先週火曜日にこの重大なセキュリティ脆弱性に対処したバージョンをリリースしたが、WordPressの公式プラグイン・リポジトリからのダウンロード統計によると、このプラグインは250万回強しかダウンロードされておらず、このプラグインを使用している全ウェブサイトの半数以上が攻撃を受けている可能性がある。
今年初め、攻撃者はLiteSpeed Cacheの認証されていないクロスサイトスクリプティングの欠陥(CVE-2023-40000)を悪用し、不正な管理者ユーザーを作成して脆弱なウェブサイトを制御していた。5月、Automattic社のセキュリティチームであるWPScanは、たった1つの悪意のあるIPアドレスから120万件を超えるプローブがあったことを受け、脅威者が4月に標的のスキャンを開始したと警告した。
“我々はユーザーに対し、できるだけ早くLitespeed Cacheの最新パッチが適用されたバージョン(本稿執筆時点ではバージョン6.4.1)でサイトを更新するよう強く勧告する。我々は、この脆弱性が間もなく積極的に悪用されることに疑いの余地はありません」と、Wordfenceの脅威インテルリードであるChloe Chamberlandも本日警告している。
Wordfenceの脅威インテリジェンスチームは6月にも、脅威行為者がWordPress.orgの少なくとも5つのプラグインをバックドアし、悪意のあるPHPスクリプトを追加して、それらを実行しているウェブサイトに管理者権限を持つアカウントを作成したことを報告している。
Comments