Eine kürzlich entdeckte kritische Sicherheitslücke im weit verbreiteten WordPress-Plugin LiteSpeed Cache stellt eine ernsthafte Bedrohung für Millionen von Websites dar. Die Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung Administratorrechte zu erlangen und somit vollständige Kontrolle über betroffene Websites zu übernehmen.
Details zur Sicherheitslücke CVE-2024-28000
Die als CVE-2024-28000 katalogisierte Schwachstelle betrifft alle Versionen des LiteSpeed Cache Plugins bis einschließlich 6.3.0.1. Sie wurde von dem Sicherheitsforscher John Blackbourn identifiziert und resultiert aus einer unzureichenden Überprüfung von Hash-Werten in der Funktion zur Simulation von Benutzerverhalten. Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, ihre Berechtigungen auf Administratorebene zu erhöhen.
Weitreichende Auswirkungen auf WordPress-Websites
LiteSpeed Cache, ein Plugin zur Leistungsoptimierung, wird auf über 5 Millionen WordPress-Websites eingesetzt. Es unterstützt populäre Erweiterungen wie WooCommerce, bbPress, ClassicPress und Yoast SEO. Trotz der Veröffentlichung eines Sicherheitspatches am 13. August 2023 in Version 6.4 sind schätzungsweise noch mehr als die Hälfte aller Installationen anfällig für Angriffe.
Potenzielle Bedrohungen durch die Ausnutzung der Schwachstelle
Ein erfolgreicher Angriff unter Ausnutzung von CVE-2024-28000 könnte schwerwiegende Folgen haben:
- Installation bösartiger Plugins
- Manipulation kritischer Websiteeinstellungen
- Umleitung von Besucherverkehr auf schädliche Websites
- Verbreitung von Malware an Websitebesucher
- Diebstahl sensibler Benutzerdaten
Technische Details zur Schwachstelle
Sicherheitsexperten von Patchstack haben die Schwachstelle analysiert und festgestellt, dass ein Brute-Force-Angriff auf den Cookie „litespeed_hash“ in Verbindung mit dem Cookie „litespeed_role“ ausreicht, um unbefugten Zugriff zu erlangen. Selbst bei einer relativ langsamen Angriffsrate von drei Anfragen pro Sekunde kann ein Angreifer innerhalb weniger Stunden bis zu einer Woche Zugriff auf ein Administratorkonto erhalten. In vielen Fällen genügt es, die Benutzer-ID 1 als Ziel zu wählen, da diese häufig dem Hauptadministratorkonto entspricht.
Empfehlungen zur Absicherung
Website-Betreiber, die LiteSpeed Cache einsetzen, sollten dringend folgende Schritte unternehmen:
- Umgehende Aktualisierung des Plugins auf die neueste Version (mindestens 6.4)
- Überprüfung der Website auf verdächtige Aktivitäten oder unerwartete Änderungen
- Implementierung zusätzlicher Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung
- Regelmäßige Sicherheitsaudits und Penetrationstests durchführen
Die Entdeckung dieser kritischen Sicherheitslücke in LiteSpeed Cache unterstreicht die Bedeutung regelmäßiger Updates und proaktiver Sicherheitsmaßnahmen für WordPress-Websites. Betreiber sollten wachsam bleiben und ihre Sicherheitspraktiken kontinuierlich überprüfen, um sich vor den sich ständig weiterentwickelnden Bedrohungen in der digitalen Landschaft zu schützen.
