Cibercriminosos exploram falha crítica no plugin LiteSpeed Cache do WordPress

Imagem com a logomarca do WordPress com fundo vermelho

Os cibercriminosos já começaram a explorar a vulnerabilidade de gravidade crítica que afeta o LiteSpeed Cache, um plugin do WordPress usado para acelerar os tempos de resposta, um dia após os detalhes técnicos se tornarem públicos.

Falha no plugin LiteSpeed Cache do WordPress

O problema de segurança identificado nesse plugin foi rastreado como CVE-2024-28000 e permite escalar privilégios sem autenticação em todas as versões do plugin WordPress até 6.3.0.1. A vulnerabilidade decorre de uma verificação de hash fraca no recurso de simulação de usuário do plugin, que pode ser explorada por invasores que forçam o valor de hash para criar contas de administrador desonestas.

Isso pode levar a uma tomada completa dos sites afetados, permitindo a instalação de plugins maliciosos, alterando configurações críticas, redirecionando tráfego para sites maliciosos e roubando dados do usuário.

Rafie Muhammad, do Patchstack, compartilhou os detalhes (Via: Bleeping Computer) sobre como acionar a geração de hash em uma postagem ontem, mostrando como usar força bruta no hash para escalar privilégios e então criar uma nova conta de administrador por meio da API REST.

O método de Muhammad demonstrou que um ataque de força bruta percorrendo todos os 1 milhão de valores de hash de segurança possíveis a três solicitações por segundo pode obter acesso ao site como qualquer ID de usuário em poucas horas ou até uma semana. O LiteSpeed Cache é usado por mais de 5 milhões de sites.

Ataques direcionados

A empresa de segurança WordPress Wordfence relata que detectou e bloqueou mais de 48.500 ataques direcionados ao CVE-2024-28000 nas últimas 24 horas, um número que reflete intensa atividade de exploração.

Imagem com número de ataques WordPress

Chloe Charmberland, da Wordfence, alertou sobre esse cenário ontem, dizendo: “Não temos dúvidas de que essa vulnerabilidade será explorada ativamente muito em breve”. Esta é a segunda vez neste ano que hackers têm como alvo o LiteSpeed Cache. Em maio, os invasores usaram uma falha de script entre sites (CVE-2023-40000) para criar contas de administrador desonestas e assumir o controle de sites vulneráveis. Na época, o WPScan relatou que os agentes de ameaças começaram a procurar alvos em abril, com mais de 1,2 milhão de sondagens detectadas em um único endereço IP malicioso.

Recomenda-se que os usuários do LiteSpeed Cache atualizem para a versão mais recente disponível, 6.4.1, o mais rápido possível ou desinstalem o plugin do seu site. Inclusive, lembre-se sempre de deixar qualquer plugin atualizado, para que você não seja atingido por uma vulnerabilidade como esta.

Via: Bleeping Computer