Attenzione: gli hacker possono sfruttare questo plugin per ottenere il pieno controllo del tuo sito WordPress
Una versione precedente di LiteSpeed Cache, un popolare plugin per WordPress costruttore di siti webè vulnerabile a un difetto di elevata gravità che gli hacker sfruttano sempre più.
Il difetto è descritto come una vulnerabilità di cross-site scripting non autenticato e tracciato come CVE-2023-40000. Ha un punteggio di gravità di 8,8.
Aggiungendo codice JavaScript dannoso direttamente nei file WordPress tramite il plugin, gli aggressori sono in grado di creare nuovi account amministratore, assumendo sostanzialmente il controllo completo del sito web. Gli account amministratore possono essere utilizzati per modificare il contenuto del sito, aggiungere o rimuovere plug-in o modificare diverse impostazioni. Le vittime possono essere reindirizzate a siti Web dannosi, ricevere pubblicità dannosa o subire il prelievo dei dati sensibili degli utenti.
Mitigazioni e correzioni
La falla è stata scoperta da WPScan, un progetto di sicurezza informatica che funge da database di vulnerabilità aziendale per WordPress. I suoi ricercatori hanno osservato un aumento dell’attività da parte di diversi gruppi di hacker, mentre scansionano Internet alla ricerca di siti WordPress compromessi. Tutti eseguono LiteSpeed Cache versione 5.7.0.1 o precedente. La versione attuale è la 6.2.0.1 ed è considerata immune da questo difetto.
Si dice che un attore di minacce abbia presentato più di un milione di richieste di indagine solo nell’aprile 2024.
Presumibilmente, LiteSpeed Cache ha più di cinque milioni di utenti attivi, di cui circa due milioni (1.835.000) utilizzano la variante obsoleta e vulnerabile.
LiteSpeed Cache è un plugin che promette tempi di caricamento delle pagine più rapidi, migliore esperienza utente e miglioramenti Google Posizioni della pagina dei risultati di ricerca.
Si consiglia a coloro che temono di essere presi di mira di aggiornare i propri plugin alla versione più recente il prima possibile. Inoltre, dovrebbero disinstallare tutti i plugin e i temi che non utilizzano attivamente ed eliminare tutti i file e le cartelle sospetti.
Coloro che sospettano di essere già stati presi di mira dovrebbero cercare stringhe sospette nel database: “Cerca in [the] database per stringhe sospette come 'eval(atob(Strings.fromCharCode,'” ha detto WPScan. “In particolare nell'opzione litespeed.admin_display.messages.”
attraverso Computer che dorme