WordPress için LiteSpeed Cache eklentisini etkileyen yüksek önemdeki bir kusur, tehdit aktörleri tarafından duyarlı web sitelerinde hileli yönetici hesapları oluşturmak için aktif olarak kullanılıyor.
Bulgular, güvenlik açığından (CVE-2023-40000, CVSS puanı: 8,3) wpsupp-user ve wp-configuser adlarıyla sahte yönetici kullanıcılar oluşturmak için yararlanıldığını söyleyen WPScan’den geliyor.
Şubat 2024’te Patchstack tarafından açıklanan CVE-2023-40000, kimliği doğrulanmamış bir kullanıcının özel hazırlanmış HTTP istekleri aracılığıyla ayrıcalıkları yükseltmesine izin verebilecek depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır.
Kusur, Ekim 2023’te 5.7.0.1 sürümünde giderildi. Eklentinin son sürümünün 25 Nisan 2024’te yayınlanan 6.2.0.1 olduğunu belirtmekte fayda var.
LiteSpeed Cache’in 5 milyondan fazla aktif kurulumu var ve istatistikler 5.7, 6.0, 6.1 ve 6.2 dışındaki sürümlerin tüm web sitelerinin %16,8’inde hala aktif olduğunu gösteriyor.
Automattic’in sahibi olduğu şirkete göre, kötü amaçlı yazılımlar genellikle WordPress dosyalarına dns.startservicefounds gibi alanlarda barındırılan JavaScript kodunu enjekte ediyor[.]com ve api.startservicefounds[.]com.
WordPress sitelerinde yönetici hesapları oluşturmak, tehdit aktörünün web sitesi üzerinde tam kontrol sahibi olmasına ve kötü amaçlı yazılım enjekte etmekten kötü amaçlı eklentiler yüklemeye kadar keyfi eylemler gerçekleştirmesine olanak tanıdığından ciddi sonuçlara yol açabilir.
Potansiyel tehditleri azaltmak için kullanıcılara en son düzeltmeleri uygulamaları, yüklü tüm eklentileri incelemeleri ve şüpheli dosya ve klasörleri silmeleri tavsiye ediliyor.
“Araştır [the] ‘eval(atob(Strings.fromCharCode’) gibi şüpheli dizeler için veritabanı” dedi WPScan, “özellikle litespeed.admin_display.messages seçeneğinde.”
Bu gelişme, Sucuri’nin, kullanıcıları yarım yamalak yazılım indirmek veya kurbanları kisve altında kişisel bilgi sağlamaya ikna etmek için tasarlanmış sahte CAPTCHA doğrulama istemleri kullanan, virüslü WordPress sitelerinde Mal.Metrica adlı bir yönlendirme dolandırıcılığı kampanyasını ortaya çıkarmasıyla ortaya çıktı. ödül göndermek.
Güvenlik araştırmacısı Ben Martin, “Bu istem rutin bir insan doğrulama kontrolü gibi görünse de aslında tamamen sahtedir ve bunun yerine kullanıcıyı düğmeyi tıklatmaya kandırmaya çalışarak kötü niyetli ve dolandırıcı web sitelerine yönlendirme başlatmaktadır” dedi.
Balada Injector gibi, etkinlik de CDN veya web analiz hizmetlerini taklit eden harici komut dosyalarını enjekte etmek için WordPress eklentilerinde yakın zamanda açıklanan güvenlik kusurlarından yararlanıyor. 2024 yılında şu ana kadar Mal.Metrica ile 17.449 kadar web sitesinin güvenliği ihlal edildi.
Martin, “WordPress web sitesi sahipleri çekirdek dosyalar, eklentiler ve temalar için otomatik güncellemeleri etkinleştirmeyi düşünebilir” dedi. “İnternetin düzenli kullanıcıları, yersiz veya şüpheli görünen bağlantılara tıklama konusunda da dikkatli olmalıdır.”