Плагин LiteSpeed Cache для WordPress активно эксплуатируется в дикой природе

Недавние исследования показали, что злоумышленники активно используют уязвимость серьезного уровня в плагине LiteSpeed Cache для WordPress, что позволяет им захватывать контроль над веб-сайтами. Исследователи из WPScan сообщили о том, что данная уязвимость обозначается как CVE-2023-40000 и имеет показатель CVSS равный 8.3, характерный для недостаточного экранирования входных данных в процессе генерации веб-страниц, что приводит к возможности выполнения XSS-атак (межсайтовый скриптинг) на веб-ресурсах, задействующих LiteSpeed Cache.

Описание плагина

Плагин LiteSpeed Cache для WordPress (LSCWP) является универсальным инструментом для ускорения работы сайтов и обладает уникальной серверной кэшированием и множеством оптимизационных функций. С момента его выпуска, он был установлен более чем на 5 миллионов сайтов. Изучая данную уязвимость, эксперты обнаружили, что злоумышленники могут создать поддельные учетные записи администратора с именами wpsupp-user и wp-configuser на взломанных ресурсах. Эти аккаунты позволяют получить полный контроль над сайтом.

Ход исследований

Уязвимость была выявлена в феврале 2024 года специалистами из Patchstack. Процесс эксплуатации данной проблемы может быть инициирован неаутентифицированным пользователем, который использует тщательно подготовленные HTTP-запросы для повышения своих привилегий.

Активные IP-адреса

Исследования показали, что были выявлены наиболее активные IP-адреса, которые, вероятно, сканировали уязвимые сайты. К таким адресам относятся:

• 94.102.51.144 с более чем 1,2 миллиона запросов
• 31.43.191.220 с более чем 70 тысячами запросов

Уязвимость была устранена в октябре 2023 года с выходом версии 5.7.0.1. Эти исследования также озвучили индикаторы компрометации, связанные с этими атаками, включая мошеннические URL-адреса.

Рекомендации исследователей

Исследователи также настоятельно рекомендуют быть внимательными к IP-адресам, связанным с вредоносным программным обеспечением, например 45.150.67.235. Следите за новыми обновлениями и новостями в области кибербезопасности, подписывайтесь на меня в Twitter: @securityaffairs, а также в Facebook и Mastodon. Будьте осторожны и защищайте свои ресурсы от потенциальных угроз!