В популярном плагине LiteSpeed Cache для WordPress обнаружена критическая уязвимость (CVE-2024-28000), позволяющая злоумышленникам получить несанкционированный доступ к веб-сайтам с правами администратора. Эта серьезная брешь в безопасности затрагивает миллионы сайтов и требует немедленного внимания владельцев и администраторов WordPress-ресурсов.
Детали уязвимости и ее потенциальные последствия
LiteSpeed Cache — широко используемый плагин для оптимизации производительности WordPress-сайтов, установленный более чем на 5 миллионах ресурсов. Уязвимость, обнаруженная экспертом по информационной безопасности Джоном Блэкборном, связана с недостаточной проверкой хеша в функции симуляции поведения пользователя. Эта проблема присутствует во всех версиях плагина до 6.3.0.1 включительно.
Успешная эксплуатация уязвимости позволяет любому неаутентифицированному посетителю получить полный административный доступ к сайту. Последствия такого несанкционированного доступа могут быть крайне серьезными:
- Полный захват контроля над сайтом
- Установка вредоносных плагинов
- Изменение критических настроек
- Перенаправление трафика на вредоносные ресурсы
- Распространение малвари среди посетителей
- Кража пользовательских данных
Механизм атаки и сложность эксплуатации
Специалисты Patchstack, проанализировавшие уязвимость, описывают возможный сценарий атаки: «Брутфорс-атака, перебирающая миллион вероятных значений хеша и передающая их через cookie litespeed_hash, позволяет получить доступ к сайту под любым ID пользователя в течение нескольких часов или дней, даже при относительно низкой скорости в три запроса в секунду».
Для успешной атаки злоумышленнику необходимо знать ID пользователя с правами администратора и передать его в cookie litespeed_role. В большинстве случаев подходит ID 1, что значительно упрощает задачу атакующего.
Масштаб проблемы и текущая ситуация
Несмотря на то, что разработчики LiteSpeed выпустили исправление (версия 6.4) уже 13 августа, статистика загрузок показывает, что более половины всех сайтов, использующих плагин, все еще могут быть уязвимы. Это создает серьезную угрозу для безопасности значительной части экосистемы WordPress.
Предыстория и связанные уязвимости
Стоит отметить, что это не первая серьезная уязвимость в LiteSpeed Cache. В начале 2024 года была обнаружена XSS-уязвимость (CVE-2023-40000), также позволявшая повысить привилегии неавторизованным пользователям. В мае 2024 года эксперты WPScan зафиксировали массовые попытки эксплуатации этой уязвимости, с более чем 1,2 миллиона запросов с одного вредоносного IP-адреса.
Учитывая критичность обнаруженной уязвимости и историю предыдущих атак, крайне важно, чтобы владельцы и администраторы WordPress-сайтов незамедлительно обновили LiteSpeed Cache до последней версии. Кроме того, рекомендуется провести аудит безопасности, проверить журналы на предмет подозрительной активности и усилить общие меры защиты веб-ресурсов. Только своевременные и комплексные действия по обеспечению безопасности могут защитить миллионы сайтов от потенциальных атак и компрометации.
