Les pirates ont déjà commencé à exploiter la vulnérabilité de gravité critique qui affecte LiteSpeed Cache, un plugin WordPress utilisé pour accélérer les temps de réponse, un jour après que les détails techniques sont devenus publics.

Le problème de sécurité est suivi comme CVE-2024-28000 et permet d’augmenter les privilèges sans authentification dans toutes les versions du plugin WordPress jusqu’à 6.3.0.1.

La vulnérabilité provient d’une vérification de hachage faible dans la fonction de simulation d’utilisateur du plugin qui peut être exploitée par des attaquants brutaux-forçant la valeur de hachage à créer des comptes d’administrateur voyous.

Cela pourrait conduire à une prise de contrôle complète des sites Web concernés, permettant l’installation de plugins malveillants, modifiant les paramètres critiques, redirigeant le trafic vers des sites malveillants et volant les données des utilisateurs.

Rafie Muhammad de Patchstack a partagé les détails sur la façon de déclencher la génération de hachage dans un article hier, montrant comment forcer brutalement le hachage pour augmenter les privilèges, puis créer un nouveau compte administrateur via l’API REST.

La méthode de Muhammad a démontré qu’une attaque par force brute parcourant les 1 million de valeurs de hachage de sécurité possibles à trois requêtes par seconde peut accéder au site comme n’importe quel identifiant d’utilisateur en aussi peu que quelques heures et jusqu’à une semaine.

LiteSpeed Cache est utilisé par plus de 5 millions de sites. Au moment d’écrire ces lignes, seulement environ 30% exécutent une version sécurisée du plugin, laissant une surface d’attaque de millions de sites Web vulnérables.

La société de sécurité WordPress Wordfence rapporte qu’elle a détecté et bloqué plus de 48 500 attaques ciblant CVE-2024-28000 au cours des dernières 24 heures, un chiffre qui reflète une intense activité d’exploitation.

Wordfence.com

Chloe Charmberland de Wordfence a mis en garde contre ce scénario hier, en disant: « Nous ne doutons pas que cette vulnérabilité sera activement exploitée très bientôt.”

C’est la deuxième fois cette année que des pirates informatiques ciblent LiteSpeed Cache. En mai, des attaquants ont utilisé une faille de script intersite (CVE-2023-40000) pour créer des comptes d’administrateur non autorisés et s’emparer de sites Web vulnérables.

À l’époque, WPScan avait signalé que les auteurs de menaces avaient commencé à rechercher des cibles en avril, avec plus de 1,2 million de sondes détectées à partir d’une seule adresse IP malveillante.

Il est recommandé aux utilisateurs de LiteSpeed Cache de passer à la dernière version disponible, 6.4.1, dès que possible ou de désinstaller le plugin de votre site Web.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *