WordPress için LiteSpeed Cache eklentisini etkileyen yüksek önemdeki bir kusur, tehdit aktörleri tarafından duyarlı web sitelerinde hileli yönetici hesapları oluşturmak için aktif olarak kullanılıyor.
bulgular güvenlik açığının olduğunu söyleyen WPScan’den geliyor (CVE-2023-40000CVSS puanı: 8.3), wpsupp-user ve wp-configuser adlarıyla sahte yönetici kullanıcılar oluşturmak için kullanıldı.
Şubat 2024’te Patchstack tarafından açıklanan CVE-2023-40000, kimliği doğrulanmamış bir kullanıcının özel hazırlanmış HTTP istekleri aracılığıyla ayrıcalıkları yükseltmesine izin verebilecek depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır.
Kusur, Ekim 2023’te 5.7.0.1 sürümünde giderildi. Eklentinin en son sürümünün 6.2.0.1 olduğunu belirtmekte fayda var. piyasaya sürülmüş 25 Nisan 2024’te.
LiteSpeed Cache’in 5 milyondan fazla aktif kurulumu var ve istatistikler 5.7, 6.0, 6.1 ve 6.2 dışındaki sürümlerin tüm web sitelerinin %16,8’inde hala aktif olduğunu gösteriyor.
Automattic’in sahibi olduğu şirkete göre, kötü amaçlı yazılım genellikle WordPress dosyalarına dns.startservicefounds gibi alanlarda barındırılan JavaScript kodunu enjekte ediyor[.]com ve api.startservicefounds[.]com.
WordPress sitelerinde yönetici hesapları oluşturmak, tehdit aktörünün web sitesi üzerinde tam kontrol sahibi olmasına ve kötü amaçlı yazılım enjekte etmekten kötü amaçlı eklentiler yüklemeye kadar keyfi eylemler gerçekleştirmesine olanak tanıdığından ciddi sonuçlara yol açabilir.
Potansiyel tehditleri azaltmak için kullanıcılara en son düzeltmeleri uygulamaları, yüklü tüm eklentileri incelemeleri ve şüpheli dosya ve klasörleri silmeleri tavsiye ediliyor.
“Araştır [the] ‘eval(atob(Strings.fromCharCode’) gibi şüpheli dizeler için veritabanı” dedi WPScan, “özellikle litespeed.admin_display.messages seçeneğinde.”
Bu gelişme, Sucuri’nin Mal.Metrica adlı bir yönlendirme dolandırıcılığı kampanyasını ortaya çıkarmasıyla ortaya çıktı. Bu kampanya, virüslü WordPress sitelerinde sahte CAPTCHA doğrulama istemleri kullanarak kullanıcıları yarım yamalak yazılım indirmek veya kurbanları kisve altında kişisel bilgi sağlamaya ikna etmek için tasarlanmış sahte ve istenmeyen sitelere yönlendiriyor. ödüller almakla ilgili.
Güvenlik araştırmacısı Ben Martin, “Bu istem rutin bir insan doğrulama kontrolü gibi görünse de aslında tamamen sahtedir ve bunun yerine kullanıcıyı düğmeyi tıklatmaya kandırmaya çalışarak kötü niyetli ve dolandırıcı web sitelerine yönlendirme başlatmaktadır.” söz konusu.
Balada Injector gibi, etkinlik de CDN veya web analiz hizmetlerini taklit eden harici komut dosyalarını enjekte etmek için WordPress eklentilerinde yakın zamanda açıklanan güvenlik kusurlarından yararlanıyor. 2024 yılında şu ana kadar Mal.Metrica ile 17.449 kadar web sitesinin güvenliği ihlal edildi.
Martin, “WordPress web sitesi sahipleri çekirdek dosyalar, eklentiler ve temalar için otomatik güncellemeleri etkinleştirmeyi düşünebilir” dedi. “İnternetin düzenli kullanıcıları, yersiz veya şüpheli görünen bağlantılara tıklama konusunda da dikkatli olmalıdır.”