Une vulnérabilité critique dans le plugin WordPress LiteSpeed Cache peut permettre à des attaquants de s’emparer de millions de sites Web après avoir créé des comptes d’administrateur non autorisés.

LiteSpeed Cache est open source et le plugin d’accélération de site WordPress le plus populaire, avec plus de 5 millions d’installations actives et la prise en charge de WooCommerce, bbPress, ClassicPress et Yoast SEO.

La vulnérabilité d’escalade de privilèges non authentifiée (CVE-2024-28000) a été trouvée dans la fonctionnalité de simulation utilisateur du plugin et est causée par une vérification de hachage faible dans le cache LiteSpeed jusqu’à et y compris la version 6.3.0.1.

Le chercheur en sécurité John Blackbourn a soumis la faille au programme de primes aux bogues de Patchstack le 1er août. L’équipe LiteSpeed a développé un correctif et l’a livré avec la version 6.4 du cache LiteSpeed, publiée le 13 août.

Une exploitation réussie permet à tous les visiteurs non authentifiés d’obtenir un accès de niveau administrateur, qui peut être utilisé pour reprendre complètement les sites Web exécutant des versions vulnérables de LiteSpeed Cache en installant des plugins malveillants, en modifiant les paramètres critiques, en redirigeant le trafic vers des sites Web malveillants, en distribuant des logiciels malveillants aux visiteurs ou en volant des données utilisateur.

« Nous avons pu déterminer qu’une attaque par force brute qui itère les 1 million de valeurs possibles connues pour le hachage de sécurité et les transmet dans le cookie litespeed_hash — même en exécutant relativement peu de requêtes 3 par seconde – est capable d’accéder au site comme n’importe quel identifiant d’utilisateur donné entre quelques heures et une semaine », a expliqué mercredi Rafie Muhammad, chercheur en sécurité de Patchstack.

« La seule condition préalable est de connaître l’IDENTIFIANT d’un utilisateur de niveau administrateur et de le transmettre dans le cookie litespeed_role. La difficulté de déterminer un tel utilisateur dépend entièrement du site cible et réussira avec un ID utilisateur 1 dans de nombreux cas. »

Alors que l’équipe de développement a publié des versions qui corrigent cette faille de sécurité critique mardi dernier, les statistiques de téléchargement du référentiel de plugins officiel de WordPress montrent que le plugin n’a été téléchargé qu’un peu plus de 2,5 millions de fois, laissant probablement plus de la moitié de tous les sites Web l’utilisant exposés aux attaques entrantes.

Plus tôt cette année, des attaquants ont exploité une faille de script intersite non authentifiée de LiteSpeed Cache (CVE-2023-40000) pour créer des utilisateurs administrateurs malveillants et prendre le contrôle de sites Web vulnérables. En mai, l’équipe de sécurité d’Automattic, WPScan, a averti que les auteurs de menaces avaient commencé à rechercher des cibles en avril après avoir vu plus de 1,2 million de sondes provenant d’une seule adresse IP malveillante.

« Nous conseillons vivement aux utilisateurs de mettre à jour leurs sites avec la dernière version corrigée de Litespeed Cache, la version 6.4.1 au moment d’écrire ces lignes, dès que possible. Nous ne doutons pas que cette vulnérabilité sera activement exploitée très bientôt », a également averti Chloe Chamberland, responsable des informations sur les menaces Wordfence, aujourd’hui.

En juin, l’équipe Wordfence Threat Intelligence a également signalé qu’un acteur de la menace avait backdooré au moins cinq plugins sur WordPress.org et ajouté des scripts PHP malveillants pour créer des comptes avec des privilèges d’administrateur sur les sites Web qui les exécutent.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *