Açık kaynaklı OpenLiteSpeed Web Sunucusunda ve uzaktan kod yürütmeyi başarmak için silahlandırılabilecek kurumsal varyantında çok sayıda yüksek önemde kusur ortaya çıkarıldı.
Palo Alto Networks Unit 42 Perşembe günü yayınlanan bir raporda, “Zarflar, güvenlik açıklarını zincirleyerek ve bunlardan yararlanarak web sunucusunu tehlikeye atabilir ve tamamen ayrıcalıklı uzaktan kod yürütme elde edebilir.” Dedi.
LiteSpeed Web Sunucusunun açık kaynak sürümü olan OpenLiteSpeed, dünya çapında 1,9 milyon benzersiz sunucuya sahip altıncı en popüler web sunucusudur.
Üç kusurdan ilki, web kök dizinindeki yasak dosyalara erişmek için kullanılabilecek bir dizin geçiş hatasıdır (CVE-2022-0072, CVSS puanı: 5.8).
Kalan iki güvenlik açığı (CVE-2022-0073 ve CVE-2022-0074, CVSS puanları: 8.8), ayrıcalıklı kod yürütme elde etmek için zincirlenebilecek, sırasıyla bir ayrıcalık yükseltme ve komut yerleştirme durumuyla ilgilidir.
Birim 42 araştırmacıları Artur Avetisyan, Aviv Sasson, Ariel Zelivansky, “İster kaba kuvvet saldırıları, ister sosyal mühendislik yoluyla gösterge panosunun kimlik bilgilerini elde etmeyi başaran bir tehdit aktörü, sunucuda kod yürütmek için güvenlik açığından yararlanabilir.” ve Nathaniel Quist, CVE-2022-0073’ten bahsetti.
OpenLiteSpeed’in (1.5.11’den 1.7.16’ya kadar) ve LiteSpeed’in (5.4.6’dan 6.0.11’e kadar) birden çok sürümü, sorumlu açıklamanın ardından 1.7.16.1 ve 6.0.12 sürümlerinde ele alınan sorunlardan etkilenir. 4 Ekim 2022’de.