Popüler WordPress eklentisi LiteSpeed Cache’in ücretsiz sürümü, en son sürümünde, kimliği doğrulanmamış site ziyaretçilerinin yönetici hakları kazanmasına olanak verebilecek tehlikeli bir ayrıcalık yükseltme kusurunu düzeltti.
LiteSpeed Cache, altı milyondan fazla WordPress sitesi tarafından kullanılan ve kullanıcının gezinme deneyimini hızlandırmaya ve geliştirmeye yardımcı olan bir önbellek eklentisidir.
Yeni keşfedilen ve CVE-2024-50550 olarak izlenen yüksek önemdeki kusur, eklentinin farklı kullanıcı düzeylerinden site taramalarında tarayıcıya yardımcı olmak için kullanıcı rollerini simüle etmek üzere tasarlanan “rol simülasyonu” özelliğindeki zayıf karma kontrolünden kaynaklanıyor.
Özelliğin işlevi (‘is_role_simulation()’), çerezlerde depolanan zayıf güvenlik karma değerlerini (‘litespeed_hash’ ve ‘litespeed_flash_hash’) kullanarak iki temel kontrol gerçekleştirir.
Bununla birlikte, bu karmalar sınırlı rastgelelikle üretilir ve bu da onları belirli yapılandırmalar altında tahmin edilebilir kılar.
Özellikle CVE-2024-50550’nin kötüye kullanılabilmesi için tarayıcıda aşağıdaki ayarların yapılandırılması gerekir:
- Çalıştırma süresi ve aralıkları 2.500 ila 4.000 saniye arasında ayarlanır.
- Sunucu yük limiti 0 olarak ayarlanmıştır.
- Rol simülasyonu yönetici olarak ayarlandı.
Patchstack’ın güvenlik araştırmacısı Rafie Muhammad, yazısında karma değerlerin 32 karakter uzunluğunda olmasına rağmen bir saldırganın bunları bir milyon olasılık dahilinde tahmin edebileceğini/kaba kuvvet uygulayabileceğini açıklıyor.
Bu kusurdan başarıyla yararlanan bir saldırgan, yönetici rolünü simüle edebilir; bu, isteğe bağlı eklentiler veya kötü amaçlı yazılımlar yükleyip kurabileceği, arka uç veritabanlarına erişebileceği, web sayfalarını düzenleyebileceği ve daha fazlasını yapabileceği anlamına gelir.
Kusur, Tayvanlı bir araştırmacı tarafından keşfedildi ve 23 Eylül 2024’te Patchstack’a bildirildi ve ertesi gün LiteSpeed ekibiyle iletişime geçti.
Gerçekçi bir kullanım senaryosu sunan, tamamen çalışan bir PoC, 10 Ekim itibarıyla hazırdı ve ek değerlendirme için LiteSpeed ile paylaşıldı.
17 Ekim’de satıcı LiteSpeed Technologies, eklentinin 6.5.2 sürümünde CVE-2024-50550 için bir düzeltme yayınladı; karma değeri rastgeleliğini iyileştirdi ve kaba kuvvet uygulamasını pratik olarak olanaksız hale getirdi.
WordPress.org indirme istatistiklerine göre, yamanın yayınlanmasından bu yana yaklaşık 2 milyon web sitesi yeni sürüme geçti ve bu da en iyi senaryoda hala 4 milyon sitenin kusura maruz kalmasına neden oluyor.
LiteSpeed’in güvenlik sorunları
Bu yıl LiteSpeed Cache ve kullanıcıları için oldukça hareketli geçti; popüler eklenti, bazıları web sitelerini tehlikeye atmak için gerçek saldırılarda kullanılan çok sayıda kritik kusuru düzeltti.
Mayıs 2024’te bilgisayar korsanları, yönetici hesapları oluşturmak ve siteleri ele geçirmek için, kimliği doğrulanmamış siteler arası komut dosyası çalıştırma kusuruna (CVE-2023-40000) sahip bir eklentinin eski bir sürümünden yararlandı.
Daha sonra, Ağustos ayında araştırmacılar, kullanımı kolay olduğu konusunda uyarıda bulunan, kimliği doğrulanmamış kritik bir ayrıcalık yükseltme güvenlik açığı (CVE-2024-28000) tespit etti. İfşa edildikten birkaç saat sonra saldırganlar toplu saldırılar başlattı ve Wordfence yaklaşık 50.000 girişimi engelledi.
En son Eylül ayında eklenti, sırlar içeren günlüklerin kamuya açık hale gelmesi nedeniyle ortaya çıkan, kimliği doğrulanmamış bir yönetici hesabı devralma hatası olan CVE-2024-44000’i düzeltti.