LiteSpeed Cache WordPress eklentisindeki kritik bir güvenlik açığı, saldırganların sahte yönetici hesapları oluşturarak milyonlarca web sitesini ele geçirmesine olanak tanıyabiliyor.
LiteSpeed Cache, 5 milyondan fazla aktif kurulum ve WooCommerce, bbPress, ClassicPress ve Yoast SEO desteğiyle açık kaynaklı ve en popüler WordPress site hızlandırma eklentisidir.
Kimliği doğrulanmamış ayrıcalık yükseltme güvenlik açığı (CVE-2024-28000), eklentinin kullanıcı simülasyonu özelliğinde bulundu ve LiteSpeed Cache’in 6.3.0.1 sürümüne kadar olan sürümlerinde zayıf bir karma denetiminden kaynaklanıyor.
Güvenlik araştırmacısı John Blackbourn, açığı 1 Ağustos’ta Patchstack’in hata ödül programına bildirdi. LiteSpeed ekibi bir yama geliştirdi ve 13 Ağustos’ta yayınlanan LiteSpeed Cache 6.4 sürümüyle birlikte gönderdi.
Başarılı bir istismar, kimliği doğrulanmamış ziyaretçilerin yönetici düzeyinde erişim elde etmesini sağlar ve bu erişim, kötü amaçlı eklentiler yükleyerek, kritik ayarları değiştirerek, trafiği kötü amaçlı web sitelerine yönlendirerek, ziyaretçilere kötü amaçlı yazılım dağıtarak veya kullanıcı verilerini çalarak savunmasız LiteSpeed Cache sürümlerini çalıştıran web sitelerini tamamen ele geçirmek için kullanılabilir.
Patchstack güvenlik araştırmacısı Rafie Muhammad Çarşamba günü yaptığı açıklamada, “Güvenlik karması için bilinen tüm 1 milyon olası değeri yineleyen ve bunları litespeed_hash çerezine geçiren bir kaba kuvvet saldırısının, saniyede nispeten düşük 3 istekte bile çalışsa, birkaç saat ile bir hafta arasında değişen bir süre içinde verilen herhangi bir kullanıcı kimliğiyle siteye erişim sağlayabileceğini tespit edebildik” dedi.
“Tek ön koşul, Yönetici düzeyindeki bir kullanıcının kimliğini bilmek ve bunu litespeed_role çerezine geçirmektir. Böyle bir kullanıcıyı belirlemenin zorluğu tamamen hedef siteye bağlıdır ve birçok durumda 1 kullanıcı kimliğiyle başarılı olur.”
Geçtiğimiz Salı günü geliştirme ekibi bu kritik güvenlik açığını gideren sürümleri yayınlasa da, WordPress’in resmi eklenti deposundan alınan indirme istatistikleri, eklentinin yalnızca 2,5 milyonun biraz üzerinde indirildiğini gösteriyor. Bu da eklentiyi kullanan tüm web sitelerinin yarısından fazlasını gelen saldırılara açık hale getirmiş olabilir.
Bu yılın başlarında saldırganlar, sahte yönetici kullanıcıları oluşturmak ve savunmasız web sitelerinin kontrolünü ele geçirmek için LiteSpeed Cache’in kimliği doğrulanmamış çapraz site betikleme açığını (CVE-2023-40000) kullandı. Mayıs ayında, Automattic’in güvenlik ekibi WPScan, tehdit aktörlerinin yalnızca bir kötü amaçlı IP adresinden 1,2 milyondan fazla araştırma gördükten sonra Nisan ayında hedefleri taramaya başladıkları konusunda uyardı.
“Kullanıcılara, bu yazının yazıldığı tarihte Litespeed Cache’in en son yamalı sürümü olan 6.4.1 sürümüyle sitelerini mümkün olan en kısa sürede güncellemelerini şiddetle tavsiye ediyoruz. Bu güvenlik açığının çok yakında aktif olarak istismar edileceğinden şüphemiz yok,” diye uyardı Wordfence tehdit istihbarat lideri Chloe Chamberland bugün.
Haziran ayında Wordfence Tehdit İstihbarat ekibi, bir tehdit aktörünün WordPress.org’daki en az beş eklentiye arka kapı açtığını ve bunları çalıştıran web sitelerinde yönetici ayrıcalıklarına sahip hesaplar oluşturmak için kötü amaçlı PHP betikleri eklediğini bildirdi.