Una vulnerabilidad crítica en el plugin LiteSpeed Cache para WordPress podría permitir a los atacantes tomar el control de millones de sitios web mediante la creación de cuentas de administrador falsas.
LiteSpeed Cache, un plugin de código abierto y el más popular para la aceleración de sitios en WordPress, con más de 5 millones de instalaciones activas y soporte para WooCommerce, bbPress, ClassicPress y Yoast SEO, ha sido afectado por una vulnerabilidad de escalada de privilegios no autenticada (CVE-2024-28000).
Este fallo, presente en la función de simulación de usuario del plugin, se debe a una verificación de hash débil en versiones hasta la 6.3.0.1 incluida.
El investigador de seguridad John Blackbourn descubrió la vulnerabilidad y la reportó al programa de recompensas por errores de Patchstack el 1 de agosto.
En respuesta, el equipo de LiteSpeed desarrolló un parche que fue lanzado con la versión 6.4 de LiteSpeed Cache el 13 de agosto.
Explotar esta vulnerabilidad con éxito permite a cualquier visitante no autenticado obtener acceso de nivel administrador, lo que podría resultar en la toma de control total de los sitios afectados, permitiendo la instalación de plugins maliciosos, la modificación de configuraciones críticas, el redireccionamiento del tráfico a sitios peligrosos, la distribución de malware a los visitantes o el robo de datos de usuarios.
Determinanmos que un ataque de fuerza bruta que itera todos los posibles valores del hash de seguridad y los pasa en la cookie "litespeed_hash", incluso a una velocidad relativamente baja de 3 solicitudes por segundo, puede obtener acceso al sitio como cualquier ID de usuario en cuestión de horas o una semana. La única condición previa es conocer el ID de un usuario con privilegios de administrador y usarlo en la cookie "litespeed_role". La facilidad de identificar dicho usuario depende del sitio objetivo, pero con el ID de usuario 1, es probable que tenga éxito en muchos casos.
Aunque el equipo de desarrollo lanzó rápidamente una versión que aborda esta vulnerabilidad crítica, las estadísticas del repositorio oficial de plugins de WordPress indican que LiteSpeed Cache solo se ha descargado 2.5 millones de veces desde la actualización, dejando a más de la mitad de los sitios web que lo utilizan vulnerables a ataques.
Este año, los atacantes ya han explotado otra falla en LiteSpeed Cache (CVE-2023-40000) para crear cuentas de administrador falsas y tomar el control de sitios vulnerables.
En mayo, el equipo de seguridad de Automattic, WPScan, informó que los actores de amenazas comenzaron a escanear sitios en abril, realizando más de 1.2 millones de sondeos desde una sola IP maliciosa.
Recomendamos encarecidamente a los usuarios actualizar a la última versión parcheada de LiteSpeed Cache, la 6.4.1 al momento de escribir, lo antes posible. No tenemos dudas de que esta vulnerabilidad será explotada activamente muy pronto.
En junio, el equipo de Inteligencia de Amenazas de Wordfence también informó que un actor malicioso instaló puertas traseras en al menos cinco plugins de WordPress.org, añadiendo scripts PHP maliciosos para crear cuentas con privilegios de administrador en los sitios afectados.
