Kerentanan kritis pada plugin LiteSpeed Cache WordPress dapat memungkinkan penyerang mengambil alih jutaan situs web setelah membuat akun admin palsu.
LiteSpeed Cache adalah plugin akselerasi situs WordPress sumber terbuka dan paling populer, dengan lebih dari 5 juta instalasi aktif dan dukungan untuk WooCommerce, bbPress, ClassicPress, dan Yoast SEO.
Kerentanan eskalasi hak istimewa yang tidak diautentikasi (CVE-2024-28000) ditemukan dalam fitur simulasi pengguna plugin dan disebabkan oleh pemeriksaan hash yang lemah di LiteSpeed Cache hingga dan termasuk versi 6.3.0.1.
Peneliti keamanan John Blackbourn menyampaikan kelemahan tersebut ke program bug bounty Patchstack pada tanggal 1 Agustus. Tim LiteSpeed mengembangkan sebuah patch dan mengirimkannya dengan LiteSpeed Cache versi 6.4, yang dirilis pada 13 Agustus.
Eksploitasi yang berhasil memungkinkan setiap pengunjung yang tidak diautentikasi untuk mendapatkan akses tingkat administrator, yang dapat digunakan untuk sepenuhnya mengambil alih situs web yang menjalankan versi LiteSpeed Cache yang rentan dengan menginstal plugin berbahaya, mengubah pengaturan penting, mengarahkan lalu lintas ke situs web berbahaya, mendistribusikan malware ke pengunjung, atau mencuri data pengguna.
“Kami dapat menentukan bahwa serangan brute force yang mengulangi semua 1 juta nilai yang mungkin diketahui untuk hash keamanan dan meneruskannya dalam cookie litespeed_hash — bahkan berjalan pada 3 permintaan per detik yang relatif rendah — dapat memperoleh akses ke situs sebagai ID pengguna mana pun dalam waktu antara beberapa jam dan seminggu,” dijelaskan Peneliti keamanan Patchstack Rafie Muhammad pada hari Rabu.
“Satu-satunya prasyarat adalah mengetahui ID pengguna tingkat Administrator dan meneruskannya dalam kuki litespeed_role. Kesulitan dalam menentukan pengguna tersebut sepenuhnya bergantung pada situs target dan akan berhasil dengan ID pengguna 1 dalam banyak kasus.”
Sementara tim pengembangan merilis versi yang mengatasi kerentanan keamanan kritis ini Selasa lalu, unduh statistik dari repositori plugin resmi WordPress menunjukkan bahwa plugin tersebut baru diunduh lebih dari 2,5 juta kali, yang kemungkinan membuat lebih dari separuh situs web yang menggunakannya rentan terhadap serangan masuk.
Awal tahun ini, penyerang mengeksploitasi LiteSpeed Cache kelemahan skrip lintas situs yang tidak diautentikasi (CVE-2023-40000) untuk membuat pengguna administrator nakal dan menguasai situs web yang rentan. Pada bulan Mei, tim keamanan Automattic, WPScan, memperingatkan bahwa pelaku ancaman mulai memindai target pada bulan April setelah melihat lebih dari 1,2 juta penyelidikan hanya dari satu alamat IP berbahaya.
“Kami sangat menyarankan pengguna untuk memperbarui situs mereka dengan versi Litespeed Cache terbaru yang telah di-patch, versi 6.4.1 pada saat artikel ini ditulis, sesegera mungkin. Kami tidak ragu bahwa kerentanan ini akan segera dieksploitasi secara aktif,” kata Chloe Chamberland, pimpinan intelijen ancaman Wordfence. diperingatkan Hari ini.
Pada bulan Juni, tim Intelijen Ancaman Wordfence juga melaporkan bahwa aktor ancaman backdoor setidaknya lima plugin di WordPress.org dan menambahkan skrip PHP berbahaya untuk membuat akun dengan hak istimewa admin pada situs web yang menjalankan skrip tersebut.
