LiteSpeed Cache eklentisinde bulunan bir güvenlik açığı, milyonlarca WordPress sitesinin ele geçirilmesine yol açabilir.
Bu kritik açık, saldırganların sahte yönetici hesapları oluşturarak siteleri ele geçirmelerine olanak tanıyor.
LiteSpeed Cache, 5 milyondan fazla aktif kurulumu olan, WooCommerce, bbPress, ClassicPress ve Yoast SEO gibi popüler WordPress araçlarını destekleyen açık kaynaklı bir site hızlandırma eklentisidir.
Doğrulama gerektirmeyen yetki yükseltme açığı (CVE-2024-28000), LiteSpeed Cache eklentisinin kullanıcı simülasyon özelliğinde tespit edildi ve bu sorun, sürüm 6.3.0.1 ve öncesinde zayıf bir hash kontrolünden kaynaklanıyor.
Güvenlik araştırmacısı John Blackbourn, bu açığı Patchstack’in hata ödül programına 1 Ağustos’ta bildirdi. LiteSpeed ekibi, 13 Ağustos’ta yayınlanan LiteSpeed Cache sürüm 6.4 ile bu açığı kapatan bir yama geliştirdi.
Başarılı bir saldırı, herhangi bir doğrulanmamış ziyaretçinin yönetici seviyesinde erişim elde etmesine olanak tanır, bu da siteleri tamamen ele geçirme, kötü amaçlı eklentiler yükleme, kritik ayarları değiştirme, trafiği zararlı web sitelerine yönlendirme, ziyaretçilere kötü amaçlı yazılım dağıtma veya kullanıcı verilerini çalma gibi durumlara yol açabilir.
Patchstack güvenlik araştırmacısı Rafie Muhammad, “Bilinen 1 milyon olası güvenlik hash değerini zorlayıcı bir saldırı ile denedik ve litespeed_hash çerezinde gönderdik — saniyede sadece 3 istek gibi nispeten düşük bir hızla bile, birkaç saat ile bir hafta içinde herhangi bir kullanıcı kimliğiyle siteye erişim sağlanabiliyor,” diye açıkladı.
“Tek gereklilik, Yönetici seviyesindeki bir kullanıcının kimliğini bilmek ve bunu litespeed_role çerezinde iletmektir. Böyle bir kullanıcıyı belirlemek, tamamen hedef sitenin yapısına bağlıdır ve birçok durumda kullanıcı kimliği 1 ile başarıya ulaşılabilir.”
Geliştirme ekibi, geçen Salı günü bu kritik güvenlik açığını ele alan sürümleri yayınlamış olsa da, WordPress’in resmi eklenti deposundaki indirme istatistikleri, eklentinin sadece 2,5 milyon kez indirildiğini gösteriyor. Bu, eklentiyi kullanan sitelerin yarısından fazlasının halen saldırılara açık olabileceği anlamına geliyor.
Bu yılın başlarında, saldırganlar LiteSpeed Cache’de doğrulanmamış bir cross-site scripting açığından (CVE-2023-40000) yararlanarak sahte yönetici kullanıcıları oluşturdular ve savunmasız web sitelerini ele geçirdiler. Mayıs ayında, Automattic’in güvenlik ekibi WPScan, tehdit aktörlerinin Nisan ayında hedef taramaya başladığını ve sadece bir kötü amaçlı IP adresinden 1,2 milyonun üzerinde sorgu geldiğini belirtti.
Wordfence tehdit istihbarat lideri Chloe Chamberland, “Kullanıcılara, sitelerini en kısa sürede LiteSpeed Cache’nin 6.4.1 yaması ile güncellemelerini şiddetle tavsiye ediyoruz. Bu güvenlik açığının çok yakında aktif olarak kullanılacağına dair hiçbir şüphemiz yok,” şeklinde bir uyarı yaptı.
Haziran ayında, Wordfence Tehdit İstihbaratı ekibi, en az beş WordPress.org eklentisinin arka kapıdan geçirilerek kötü amaçlı PHP betikleri eklendiğini ve bunların yönetici yetkisine sahip hesaplar oluşturarak siteleri ele geçirdiğini bildirdi.