Açık kaynaklı OpenLiteSpeed Web Sunucusunda ve uzaktan kod yürütmeyi başarmak için silahlandırılabilecek kurumsal varyantında çok sayıda yüksek önemde kusur ortaya çıkarıldı.
Palo Alto Networks Unit 42, “Düşmanlar, güvenlik açıklarını zincirleyerek ve bunlardan yararlanarak web sunucusunun güvenliğini tehlikeye atabilir ve tamamen ayrıcalıklı uzaktan kod yürütme elde edebilir.” söz konusu Perşembe raporunda.
OpenLiteSpeedLiteSpeed Web Sunucusunun açık kaynak sürümü olan , dünya çapında 1,9 milyon benzersiz sunucuya sahip altıncı en popüler web sunucusudur.
Üç kusurdan ilki bir dizin geçiş hatasıdır (CVE-2022-0072CVSS puanı: 5.8), web kök dizinindeki yasak dosyalara erişmek için kullanılabilir.
Kalan iki güvenlik açığı (CVE-2022-0073 ve CVE-2022-0074CVSS puanları: 8.8), ayrıcalıklı kod yürütme elde etmek için zincirlenebilecek, sırasıyla bir ayrıcalık yükseltme ve komut enjeksiyonu durumuyla ilgilidir.
Birim 42 araştırmacıları Artur Avetisyan, Aviv Sasson, Ariel Zelivansky, “İster kaba kuvvet saldırıları, ister sosyal mühendislik yoluyla gösterge panosunun kimlik bilgilerini elde etmeyi başaran bir tehdit aktörü, sunucuda kod yürütmek için güvenlik açığından yararlanabilir.” ve Nathaniel Quist, CVE-2022-0073’ten bahsetti.
OpenLiteSpeed’in (1.5.11’den 1.7.16’ya kadar) ve LiteSpeed’in (5.4.6’dan 6.0.11’e kadar) birden çok sürümü, sürümlerde ele alınan sorunlardan etkilenir. 1.7.16.1 ve 6.0.12 4 Ekim 2022’deki sorumlu açıklamanın ardından.