近日,Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中发现了一个严重漏洞,该插件主要用于加快超 600 万个 WordPress 网站的用户浏览速度。该漏洞被追踪为 CVE-2024-44000,并被归类为未经身份验证的帐户接管问题 。随着 LiteSpeed Cache 6.5.0.1 版本的发布,修复程序也于昨天(9 月 4 日)发布。
调试功能将 cookie 写入文件
该漏洞与插件的调试日志功能有关,当启用该功能时,它会将所有 HTTP 响应头(包括 “Set-Cookie ”头)记录到文件中。
这些标头包含用于验证用户身份的会话 cookie,一旦攻击者成功窃取这些 cookie,就可以冒充管理员用户完全控制网站。
要利用该漏洞,攻击者必须能够访问“/wp-content/debug.log ”中的调试日志文件。在未实施文件访问限制(如 .htaccess 规则)的情况下,只需输入正确的 URL 即可。
当然,攻击者只能窃取在调试功能激活时登录网站的用户的会话 cookie,但如果日志被无限期保存而不是定期清除,这甚至包括过去的登录事件。
该插件的供应商 LiteSpeed Technologies 通过将调试日志移至专用文件夹('/wp-content/litespeed/debug/')、随机化日志文件名、移除记录 Cookie 的选项,以及添加一个虚假索引文件以提供额外保护,解决了这一问题。
建议 LiteSpeed Cache 用户清除其服务器上的所有 “debug.log ”文件,以删除可能被威胁行为者窃取的潜在有效会话 cookie。
此外,还应设置 .htaccess 规则,拒绝直接访问日志文件,因为新系统上的随机名称仍可能通过暴力破解来猜测。
WordPress.org 报告称,昨天,也就是 v6.5.0.1 发布的当天,下载 LiteSpeed Cache 的用户刚刚超过 37.5 万,因此易受这些攻击影响的网站数量可能超过 560 万。
受到攻击的 LiteSpeed Cache
LiteSpeed Cache 插件漏洞因其广泛的影响力成为了近期安全研究人员的重点研究对象。与此同时,黑客们一直在寻找机会通过利用该漏洞对网站发起攻击。
2024 年 5 月,有人发现黑客利用该插件的一个过时版本(受跟踪为 CVE-2023-40000 的未验证跨站脚本缺陷影响)创建管理员用户并控制网站。
今年 8 月 21 日,研究人员又发现了一个关键的未经身份验证的权限升级漏洞,该漏洞被追踪为 CVE-2024-28000,研究人员对利用该漏洞的难度敲响了警钟。
该漏洞披露后仅几个小时,威胁者就开始大规模攻击网站,Wordfence 报告称阻止了近 5 万次攻击。
据统计,在过去的 24 小时内,因其漏洞导致的攻击次数达到了 34 万次。
参考来源:LiteSpeed Cache bug exposes 6 million WordPress sites to takeover attacks
