LiteSpeed ​​Cache: sfruttato nuovo bug critico nel plugin WordPress

LiteSpeed ​​Cache, il celebre plugin di WordPress utilizzato per migliorare le prestazioni dei siti web, è stato colpito da una vulnerabilità di gravità critica. Un giorno dopo che i dettagli tecnici sono diventati pubblici, alcuni hacker hanno iniziato a sfruttare tale difetto. Il problema di sicurezza è tracciato come CVE-2024-28000 e consente l'escalation dei privilegi senza autenticazione in tutte le versioni del plugin di WordPress fino alla 6.3.0.1. La vulnerabilità deriva da un controllo hash debole nella funzionalità di simulazione utente del plugin. Questo può essere che può essere sfruttata dagli aggressori forzando il valore dell'hash per creare account amministrativi falsi. Ciò potrebbe portare a un'acquisizione completa dei siti web interessati, consentendo l'installazione di plugin dannosi, la modifica di impostazioni critiche, il reindirizzamento del traffico verso siti dannosi e il furto di dati degli utenti.

In un post pubblicato nel blog di Patchstack, l’esperto di cybersicurezza Rafie Muhammad ha condiviso i dettagli su come innescare la generazione di hash. Muhammad ha mostrato come forzare l'hash per eseguire un'escalation dei privilegi e quindi creare un nuovo account amministratore tramite l'API REST. Il metodo di Muhammad ha dimostrato che un attacco brute force che passa in rassegna tutti i possibili valori hash di sicurezza a tre richieste al secondo può ottenere l'accesso al sito come qualsiasi ID utente in poche ore e fino a una settimana. LiteSpeed ​​Cache è utilizzato da oltre 5 milioni di siti. Al momento, solo circa il 30% degli utenti esegue una versione sicura del plugin.

LiteSpeed Cache: bloccati 48.500 attacchi in 24 ore

L'azienda di sicurezza Wordfence ha segnalato di aver rilevato e bloccato oltre 48.500 attacchi mirati a CVE-2024-28000 nelle ultime 24 ore. Tale cifra riflette un'intensa attività di sfruttamento. Chloe Charmberland di Wordfence ha messo in guardia ieri da questo scenario, affermando: "Non abbiamo dubbi che questa vulnerabilità verrà sfruttata attivamente molto presto". Questa è la seconda volta quest'anno che gli hacker prendono di mira LiteSpeed ​​Cache. A maggio, gli aggressori hanno utilizzato un difetto di cross-site scripting (CVE-2023-40000) per creare account di amministratore non autorizzati e impossessarsi di siti web vulnerabili. All'epoca, WPScan aveva segnalato che gli autori della minaccia hanno iniziato a scansionare i bersagli ad aprile. Si consiglia agli utenti di LiteSpeed ​​Cache di eseguire l'aggiornamento all'ultima versione disponibile (ovvero la 6.4.1) il prima possibile o di disinstallare il plugin dal proprio sito web.