Įsilaužėliai jau pradėjo išnaudoti kritinį pažeidžiamumą, kuris paveikia „LiteSpeed Cache“ – „WordPress“ papildinį, naudojamą reagavimo laikui pagreitinti, praėjus dienai po techninių detalių paskelbimo viešai.
Saugos problema stebima kaip CVE-2024-28000 ir leidžia padidinti privilegijas be autentifikavimo visose „WordPress“ papildinio versijose iki 6.3.0.1.
Pažeidžiamumas kyla dėl silpnos maišos patikros įskiepio naudotojo modeliavimo funkcijoje, kuria gali pasinaudoti užpuolikai, žiauriai priverčiantys maišos vertę sukurti nesąžiningas administratoriaus paskyras.
Tai gali lemti visišką paveiktų svetainių perėmimą, leidžiantį įdiegti kenkėjiškus papildinius, pakeisti svarbius nustatymus, nukreipti srautą į kenkėjiškas svetaines ir pavogti naudotojų duomenis.
„Patchstack“ atstovas Rafie Muhammadas vakar pasidalijo informacija apie tai, kaip suaktyvinti maišos generavimą, parodydamas, kaip žiauriai priversti maišą padidinti privilegijas ir tada sukurti naują administratoriaus paskyrą per REST API.
Muhammedo metodas parodė, kad žiaurios jėgos ataka, apjungianti visas 1 milijoną galimų saugos maišos verčių trimis užklausomis per sekundę, gali gauti prieigą prie svetainės kaip bet kurio vartotojo ID vos per kelias valandas ir net per savaitę.
„LiteSpeed Cache“ naudoja daugiau nei 5 milijonai svetainių. Šiuo metu tik apie 30 % naudoja saugią papildinio versiją, todėl milijonai pažeidžiamų svetainių atakuoja.
„WordPress“ saugos įmonė „Wordfence“ praneša, kad per pastarąsias 24 valandas ji aptiko ir užblokavo daugiau nei 48 500 atakų, nukreiptų prieš CVE-2024-28000, o tai rodo intensyvią išnaudojimo veiklą.
„Wordfence“ atstovė Chloe Charmberland vakar įspėjo apie šį scenarijų, sakydama: „Neabejojame, kad šis pažeidžiamumas bus labai greitai išnaudojamas“.
Tai jau antras kartas šiais metais, kai įsilaužėliai taikėsi „LiteSpeed Cache“. Gegužės mėnesį užpuolikai panaudojo kelių svetainių scenarijų trūkumą (CVE-2023-40000), kad sukurtų nesąžiningas administratoriaus paskyras ir perimtų pažeidžiamas svetaines.
Tuo metu WPScan pranešė, kad grėsmių veikėjai balandžio mėnesį pradėjo nuskaityti taikinius, aptikę daugiau nei 1,2 mln. zondų iš vieno kenkėjiško IP adreso.
„LiteSpeed Cache“ naudotojams rekomenduojama kuo greičiau atnaujinti į naujausią turimą 6.4.1 versiją arba pašalinti papildinį iš savo svetainės.