6 milyondan fazla WordPress sitesinde kullanıcıların gezinme hızını artırmaya yönelik bir önbellekleme eklentisi olan LiteSpeed Cache’de kritik öneme sahip bir güvenlik açığı daha keşfedildi.
CVE-2024-44000 olarak izlenen ve kimliği doğrulanmamış hesap ele geçirme sorunu olarak kategorize edilen kusur, Patchstack’ten Rafie Muhammad tarafından 22 Ağustos 2024’te keşfedildi. Dün LiteSpeed Cache sürüm 6.5.0.1’in yayınlanmasıyla bir düzeltme kullanıma sunuldu.
Hata ayıklama özelliği çerezleri dosyaya yazar
Güvenlik açığı, eklentinin hata ayıklama günlüğü özelliğine bağlı. Bu özellik, etkinleştirildiğinde “Set-Cookie” başlığı da dahil olmak üzere tüm HTTP yanıt başlıklarını bir dosyaya kaydediyor.
Bu başlıklar, kullanıcıların kimliğini doğrulamak için kullanılan oturum çerezlerini içerir; dolayısıyla bir saldırgan bunları çalabilirse, bir yönetici kullanıcısı gibi davranabilir ve sitenin tam kontrolünü ele geçirebilir.
Bu açığı istismar edebilmek için saldırganın ‘/wp-content/debug.log’ içindeki hata ayıklama günlük dosyasına erişebilmesi gerekir. Hiçbir dosya erişim kısıtlaması (örneğin .htaccess kuralları) uygulanmadığında, bu yalnızca doğru URL’yi girerek mümkündür.
Elbette saldırgan yalnızca hata ayıklama özelliği etkinken siteye giriş yapan kullanıcıların oturum çerezlerini çalabilecektir; ancak bu, kayıtların süresiz olarak tutulması ve periyodik olarak silinmemesi durumunda geçmişteki oturum açma olaylarını da kapsar.
Eklentinin satıcısı LiteSpeed Technologies, hata ayıklama günlüğünü özel bir klasöre (‘/wp-content/litespeed/debug/’) taşıyarak, günlük dosya adlarını rastgele hale getirerek, çerezleri kaydetme seçeneğini kaldırarak ve ekstra koruma için sahte bir dizin dosyası ekleyerek sorunu çözdü.
LiteSpeed Cache kullanıcılarının, tehdit aktörleri tarafından çalınabilecek potansiyel olarak geçerli oturum çerezlerini silmek için sunucularındaki tüm ‘debug.log’ dosyalarını temizlemeleri önerilir.
Ayrıca, günlük dosyalarına doğrudan erişimi engellemek için bir .htaccess kuralı da belirlenmelidir; çünkü yeni sistemdeki rastgele isimler, birden fazla deneme/kaba kuvvet saldırısı yoluyla tahmin edilebilir.
WordPress.org, LiteSpeed Cache’in v6.5.0.1 sürümünün yayınlandığı dün 375.000’den fazla kullanıcının indirdiğini bildiriyor; dolayısıyla bu saldırılara karşı savunmasız kalan site sayısı 5,6 milyonu geçebilir.
LiteSpeed Cache ateş altında
Söz konusu eklenti, son zamanlardaki büyük popülaritesi ve bilgisayar korsanlarının sürekli olarak web sitelerine saldırmak için fırsat araması nedeniyle güvenlik araştırmalarının merkezinde yer almaya devam ediyor.
Mayıs 2024’te, bilgisayar korsanlarının, CVE-2023-40000 olarak izlenen kimliği doğrulanmamış bir siteler arası betik çalıştırma açığından etkilenen eklentinin eski bir sürümünü hedef alarak yönetici kullanıcılar oluşturmaya ve siteleri kontrol altına almaya çalıştıkları gözlemlendi.
Daha yakın bir tarihte, 21 Ağustos 2024’te, CVE-2024-28000 olarak adlandırılan, kimliği doğrulanmamış kritik bir ayrıcalık yükseltme güvenlik açığı keşfedildi ve araştırmacılar, bu açığın istismar edilmesinin ne kadar kolay olduğu konusunda alarma geçti.
Güvenlik açığının ortaya çıkmasından birkaç saat sonra tehdit grupları toplu halde sitelere saldırmaya başladı ve Wordfence’in raporuna göre yaklaşık 50.000 saldırı engellendi.
İlk açıklamanın üzerinden bugün iki hafta geçti ve aynı portal, son 24 saatte 340 bin saldırı yaşandığını bildiriyor.