Wordpress

人気のあるWordPressプラグインLiteSpeed Cacheの無料版は、その最新リリースで、認証されていないサイト訪問者が管理者権限を得ることができる危険な特権昇格の欠陥を修正した。

LiteSpeed Cacheは、600万以上のWordPressサイトで使用されているキャッシュプラグインで、ユーザーのブラウジング体験の高速化と改善に役立っている。

CVE-2024-50550として追跡されている新たに発見された深刻度の高い欠陥は、プラグインの「ロールシミュレーション」機能の弱いハッシュチェックが原因である。

この機能の関数(‘is_role_simulation()’)は、クッキーに保存された弱いセキュリティハッシュ値(‘litespeed_hash’と’litespeed_flash_hash’)を使って2つの主要なチェックを行います。

しかし、これらのハッシュは限られたランダム性で生成されるため、特定の設定下で予測可能になってしまいます。

具体的には、CVE-2024-50550を悪用するためには、クローラーの以下の設定が必要である:

  1. 実行時間と間隔を2,500秒から4,000秒の間に設定。
  2. サーバー負荷の上限を0に設定。
  3. 役割シミュレーションを管理者に設定。

Patchstackのセキュリティ研究者であるRafie Muhammad氏は、ハッシュ値が32文字であるにもかかわらず、攻撃者は100万通りの可能性の中からハッシュ値を予測/ブルートフォースすることができる、と自身の記事で説明している。

この欠陥の悪用に成功した攻撃者は、管理者の役割をシミュレートすることができ、任意のプラグインやマルウェアをアップロードしてインストールしたり、バックエンドのデータベースにアクセスしたり、ウェブページを編集したりすることができる。

この欠陥は台湾の研究者によって発見され、2024年9月23日にPatchstackに報告された。

10月10日までに、現実的な悪用シナリオを提示する完全に動作するPoCが準備され、追加の検討のためにライトスピードと共有された。

10月17日、ベンダーのLiteSpeed Technologiesは、プラグインのバージョン6.5.2でCVE-2024-50550の修正をリリースし、ハッシュ値のランダム性を改善し、ブルートフォース(総当たり攻撃)を事実上不可能にした。

WordPress.orgのダウンロード統計によると、パッチのリリース以降、およそ200万サイトがアップグレードしており、最善のシナリオでは、まだ400万サイトがこの欠陥にさらされていることになる。

ライトスピードのセキュリティ問題

人気プラグインであるLiteSpeed Cacheが複数の重大な欠陥を修正したため、今年はLiteSpeed Cacheとそのユーザーにとってかなり波乱に満ちた年となった。

2024年5月、ハッカーは認証されていないクロスサイトスクリプティングの欠陥(CVE-2023-40000)を持つプラグインの古いバージョンを悪用し、管理者アカウントを作成してサイトを乗っ取った。

その後、8月に研究者は、認証されていない特権昇格の重大な脆弱性(CVE-2024-28000)を特定し、その悪用が容易であることを警告しました。この脆弱性が公表されてから数時間のうちに、攻撃者は大規模な攻撃を開始し、Wordfence は約 50,000 件の攻撃をブロックしました。

最近では、9月にプラグインがCVE-2024-44000を修正しました。これは、認証されていない管理者アカウントの乗っ取りバグで、秘密を含むログの公開によって可能になりました。