近日，Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中發(fā)現了一個(gè)嚴重漏洞，該插件主要用于加快超 600 萬(wàn)個(gè) WordPress 網(wǎng)站的用戶(hù)瀏覽速度。該漏洞被追蹤為 CVE-2024-44000，并被歸類(lèi)為未經(jīng)身份驗證的帳戶(hù)接管問(wèn)題 。隨著(zhù) LiteSpeed Cache 6.5.0.1 版本的發(fā)布，修復程序也于昨天（9月4日）發(fā)布。

調試功能將 cookie 寫(xiě)入文件

該漏洞與插件的調試日志功能有關(guān)，當啟用該功能時(shí)，它會(huì )將所有 HTTP 響應頭（包括 “Set-Cookie ”頭）記錄到文件中。

這些標頭包含用于驗證用戶(hù)身份的會(huì )話(huà) cookie，一旦攻擊者成功竊取這些 cookie，就可以冒充管理員用戶(hù)完全控制網(wǎng)站。

要利用該漏洞，攻擊者必須能夠訪(fǎng)問(wèn)“/wp-content/debug.log ”中的調試日志文件。在未實(shí)施文件訪(fǎng)問(wèn)限制（如 .htaccess 規則）的情況下，只需輸入正確的 URL 即可。

當然，攻擊者只能竊取在調試功能激活時(shí)登錄網(wǎng)站的用戶(hù)的會(huì )話(huà) cookie，但如果日志被無(wú)限期保存而不是定期清除，這甚至包括過(guò)去的登錄事件。

該插件的供應商 LiteSpeed Technologies 通過(guò)將調試日志移至專(zhuān)用文件夾（'/wp-content/litespeed/debug/'）、隨機化日志文件名、移除記錄 Cookie 的選項，以及添加一個(gè)虛假索引文件以提供額外保護，解決了這一問(wèn)題。

建議 LiteSpeed Cache 用戶(hù)清除其服務(wù)器上的所有 “debug.log ”文件，以刪除可能被威脅行為者竊取的潛在有效會(huì )話(huà) cookie。

此外，還應設置 .htaccess 規則，拒絕直接訪(fǎng)問(wèn)日志文件，因為新系統上的隨機名稱(chēng)仍可能通過(guò)暴力破解來(lái)猜測。

WordPress.org報告稱(chēng)，昨天，也就是v6.5.0.1發(fā)布的當天，下載LiteSpeed Cache的用戶(hù)剛剛超過(guò)37.5萬(wàn)，因此易受這些攻擊影響的網(wǎng)站數量可能超過(guò)560萬(wàn)。

受到攻擊的 LiteSpeed Cache

LiteSpeed Cache 插件漏洞因其廣泛的影響力成為了近期安全研究人員的重點(diǎn)研究對象。與此同時(shí)，黑客們一直在尋找機會(huì )通過(guò)利用該漏洞對網(wǎng)站發(fā)起攻擊。

2024 年 5 月，有人發(fā)現黑客利用該插件的一個(gè)過(guò)時(shí)版本（受跟蹤為 CVE-2023-40000 的未驗證跨站腳本缺陷影響）創(chuàng )建管理員用戶(hù)并控制網(wǎng)站。

今年 8 月 21 日，研究人員又發(fā)現了一個(gè)關(guān)鍵的未經(jīng)身份驗證的權限升級漏洞，該漏洞被追蹤為 CVE-2024-28000，研究人員對利用該漏洞的難度敲響了警鐘。

該漏洞披露后僅幾個(gè)小時(shí)，威脅者就開(kāi)始大規模攻擊網(wǎng)站，Wordfence 報告稱(chēng)阻止了近 5萬(wàn)次攻擊。

據統計，在過(guò)去的 24 小時(shí)內，因其漏洞導致的攻擊次數達到了 34 萬(wàn)次。

原文來(lái)源：FreeBuf