近日，有研究人員在插件的用戶模擬功能中發(fā)現(xiàn)了未經(jīng)身份驗(yàn)證的權(quán)限升級(jí)漏洞 (CVE-2024-28000)，該漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列檢查引起的。這個(gè)漏洞可能會(huì)讓攻擊者在創(chuàng)建惡意管理員賬戶后接管數(shù)百萬(wàn)個(gè)網(wǎng)站。

LiteSpeed Cache 是開源的，也是最流行的 WordPress 網(wǎng)站加速插件，擁有超過 500 萬(wàn)的活躍安裝量，支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

本月初，安全研究員John Blackbourn向Patchstack的漏洞懸賞計(jì)劃提交了該漏洞。 LiteSpeed團(tuán)隊(duì)開發(fā)了補(bǔ)丁，并在 8月13日發(fā)布的LiteSpeed Cache 6.4版本中一并提供。

一旦有攻擊者成功利用該漏洞，任何未經(jīng)身份驗(yàn)證的訪問者都可以獲得管理員級(jí)別的訪問權(quán)限，從而通過安裝惡意插件、更改關(guān)鍵設(shè)置、將流量重定向到惡意網(wǎng)站、向訪問者分發(fā)惡意軟件或竊取用戶數(shù)據(jù)等方式，從而完全控制運(yùn)行易受攻擊的 LiteSpeed Cache 版本的網(wǎng)站。

Patchstack 安全研究員Rafie Muhammad本周三（9月21日）解釋稱：目前我們能夠確定，暴力攻擊會(huì)遍歷安全散列的所有 100 萬(wàn)個(gè)已知可能值，并將它們傳遞到 litespeed_hash cookie 中，即使以相對(duì)較低的每秒 3 個(gè)請(qǐng)求的速度運(yùn)行，也能在幾小時(shí)到一周內(nèi)以任何給定用戶 ID 的身份訪問網(wǎng)站。

唯一的先決條件是需要知道管理員級(jí)用戶的 ID，并將其輸入 litespeed_role cookie。確定這樣一個(gè)用戶的難度完全取決于目標(biāo)網(wǎng)站，在許多情況下，用戶 ID 為 1 就能成功。

雖然開發(fā)團(tuán)隊(duì)在上周發(fā)布了解決這一關(guān)鍵安全漏洞的版本，但根據(jù) WordPress 官方插件庫(kù)的下載統(tǒng)計(jì)顯示，該插件的下載次數(shù)僅略高于 250 萬(wàn)次，這可能導(dǎo)致一半以上使用該插件的網(wǎng)站受到攻擊。

今年早些時(shí)候，攻擊者利用 LiteSpeed Cache 的一個(gè)未經(jīng)驗(yàn)證的跨站腳本漏洞（CVE-2023-40000）創(chuàng)建了惡意管理員用戶，并獲得了對(duì)脆弱網(wǎng)站的控制權(quán)。

今年 5 月，Automattic 的安全團(tuán)隊(duì) WPScan 曾發(fā)布警告稱，威脅者在看到來自一個(gè)惡意 IP 地址的 120 多萬(wàn)次探測(cè)后曾在4月對(duì)目標(biāo)進(jìn)行了大量掃描。

他們強(qiáng)烈建議用戶盡快用最新的 Litespeed Cache 補(bǔ)丁版本更新自己的網(wǎng)站。Wordfence威脅情報(bào)主管Chloe Chamberland今天也警告稱：這個(gè)漏洞被利用的風(fēng)險(xiǎn)性極高。

今年 6 月，Wordfence 威脅情報(bào)團(tuán)隊(duì)還報(bào)告稱，一名威脅行為者在 WordPress.org 上至少后門了五個(gè)插件，并添加了惡意 PHP 腳本，以便在運(yùn)行這些插件的網(wǎng)站上創(chuàng)建具有管理員權(quán)限的賬戶。