Wordpress

Il plug-in WordPress LiteSpeed ​​Cache viene sfruttato attivamente in natura

DOM-based-XSS-wordpress-2.jpg

Il plug-in WordPress LiteSpeed ​​Cache viene sfruttato attivamente in natura

Pierluigi Paganini
08 maggio 2024

Gli autori delle minacce stanno sfruttando una vulnerabilità di elevata gravità nel plug-in LiteSpeed ​​Cache per WordPress per prendere il controllo dei siti web.

I ricercatori di WPScan hanno riferito che gli autori delle minacce stanno sfruttando una vulnerabilità di elevata gravità in Cache LiteSpeed plug-in per WordPress.

LiteSpeed ​​Cache for WordPress (LSCWP) è un plug-in di accelerazione del sito all-in-one, dotato di un'esclusiva cache a livello di server e di una raccolta di funzionalità di ottimizzazione. Il plugin ha oltre 5 milioni di installazioni attive.

La vulnerabilità, tracciata come CVE-2023-40000 Punteggio CVSS: 8.3, è un problema di neutralizzazione impropria dell'input durante la generazione di pagine Web (“Cross-site Scripting”) nella cache LiteSpeed ​​Technologies che consente XSS archiviato.

Gli aggressori hanno sfruttato il problema per creare un account amministratore non autorizzato, denominato wpsupp‑user e wp‑configuser, su siti Web vulnerabili.

Dopo aver creato gli account amministratore, gli autori delle minacce possono ottenere il pieno controllo del sito Web.

Patchstack ha scoperto la vulnerabilità di cross-site scripting (XSS) memorizzata nel febbraio 2024.

Un utente non autenticato può attivare il problema per elevare i privilegi utilizzando richieste HTTP appositamente predisposte.

WPScan ha riferito che gli autori delle minacce potrebbero iniettare uno script dannoso nelle versioni vulnerabili del plug-in LiteSpeed. I ricercatori hanno osservato un aumento degli accessi a URL dannosi il 2 e il 27 aprile.

“Gli indirizzi IP più comuni che probabilmente stavano effettuando la scansione alla ricerca di siti vulnerabili erano 94.102.51.144, con 1.232.810 richieste, e 31.43.191.220 con 70.472 richieste.” legge WPScan. “Gli indirizzi IP più comuni che probabilmente stavano scansionando siti vulnerabili erano 94.102.51.144con 1.232.810 richieste, e 31.43.191.220 con 70.472 richieste”.

La vulnerabilità è stata risolta nell'ottobre 2023 con il rilascio della versione 5.7.0.1.

I ricercatori hanno fornito indicatori di compromissione di questi attacchi, inclusi URL dannosi coinvolti nella campagna: https[:]//DNS[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com e https[:]//cache[.]cloudwiftcdn[.]com. I ricercatori raccomandano inoltre di fare attenzione agli IP associati al malware, come 45.150.67.235.

Seguimi su Twitter: @securityaffairs E Facebook E Mastodonte

Pierluigi Paganini

(Affari di sicurezza hacking, Ministero della Difesa britannico)



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?