Il plug-in WordPress LiteSpeed Cache viene sfruttato attivamente in natura
08 maggio 2024
Gli autori delle minacce stanno sfruttando una vulnerabilità di elevata gravità nel plug-in LiteSpeed Cache per WordPress per prendere il controllo dei siti web.
I ricercatori di WPScan hanno riferito che gli autori delle minacce stanno sfruttando una vulnerabilità di elevata gravità in Cache LiteSpeed plug-in per WordPress.
LiteSpeed Cache for WordPress (LSCWP) è un plug-in di accelerazione del sito all-in-one, dotato di un'esclusiva cache a livello di server e di una raccolta di funzionalità di ottimizzazione. Il plugin ha oltre 5 milioni di installazioni attive.
La vulnerabilità, tracciata come CVE-2023-40000 Punteggio CVSS: 8.3, è un problema di neutralizzazione impropria dell'input durante la generazione di pagine Web (“Cross-site Scripting”) nella cache LiteSpeed Technologies che consente XSS archiviato.
Gli aggressori hanno sfruttato il problema per creare un account amministratore non autorizzato, denominato wpsupp‑user e wp‑configuser, su siti Web vulnerabili.
Dopo aver creato gli account amministratore, gli autori delle minacce possono ottenere il pieno controllo del sito Web.
Patchstack ha scoperto la vulnerabilità di cross-site scripting (XSS) memorizzata nel febbraio 2024.
Un utente non autenticato può attivare il problema per elevare i privilegi utilizzando richieste HTTP appositamente predisposte.
WPScan ha riferito che gli autori delle minacce potrebbero iniettare uno script dannoso nelle versioni vulnerabili del plug-in LiteSpeed. I ricercatori hanno osservato un aumento degli accessi a URL dannosi il 2 e il 27 aprile.
“Gli indirizzi IP più comuni che probabilmente stavano effettuando la scansione alla ricerca di siti vulnerabili erano 94.102.51.144, con 1.232.810 richieste, e 31.43.191.220 con 70.472 richieste.” legge WPScan. “Gli indirizzi IP più comuni che probabilmente stavano scansionando siti vulnerabili erano 94.102.51.144con 1.232.810 richieste, e 31.43.191.220 con 70.472 richieste”.
La vulnerabilità è stata risolta nell'ottobre 2023 con il rilascio della versione 5.7.0.1.
I ricercatori hanno fornito indicatori di compromissione di questi attacchi, inclusi URL dannosi coinvolti nella campagna: https[:]//DNS[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com e https[:]//cache[.]cloudwiftcdn[.]com. I ricercatori raccomandano inoltre di fare attenzione agli IP associati al malware, come 45.150.67.235.
Seguimi su Twitter: @securityaffairs E Facebook E Mastodonte
(Affari di sicurezza – hacking, Ministero della Difesa britannico)