Luka w zabezpieczeniach wtyczki LiteSpeed Cache ujawnia dostęp administratora WordPress
Adam D
5 listopada 2024
Popularna wtyczka WordPressLiteSpeed Cache została niedawno naprawiona i wyeliminowana z poważnej luki w zabezpieczeniach, która umożliwia atakującym przejęcie kontroli nad podatnymi na ataki stronami internetowymi. Luka oznaczona numerem CVE-2024-50550 dotyczy problemu z podniesieniem uprawnień, który może umożliwić niezweryfikowanym użytkownikom uzyskanie dostępu administracyjnego do witryn WordPress.
Odkrycie i wpływ CVE-2024-50550
Tajwański badacz zidentyfikował lukę i zgłosił ją firmie zajmującej się bezpieczeństwem WordPressa, Patchstack, 23 września. Problem wynika ze słabej kontroli skrótu w funkcji „symulacji roli” LiteSpeed Cache, zaprojektowanej, aby pomóc robotom indeksującym witryny symulować różne poziomy użytkowników w celu optymalizacji dostarczania treści.
Funkcja „is_role_simulation()”, opierała się na „litespeed_hash” i „litespeed_flash_hash”, dwóch wartościach skrótu przechowywanych w plikach cookie. Jednak skróty zostały wygenerowane z niewystarczającym czynnikiem losowym, co czyni je przewidywalnymi i podatnymi na atak siłowy.
Firma wydała poprawioną wersję podatnej na ataki wtyczki
Chociaż lukę w zabezpieczeniach udało się już załatać, nie należy jej lekceważyć, ponieważ umożliwiała ona atakującym podszywanie się pod administratorów poprzez wykorzystywanie podatnych skrótów.
Po uzyskaniu uprawnień administratora cyberprzestępcymogą potencjalnie wdrażać złośliwe wtyczki, zmieniać zawartość witryny, uzyskiwać dostęp do baz danych zaplecza lub instalować tylne drzwi w celu zapewnienia sobie trwałości.
Ryzyko związane z tą luką jest znacznie większe, jeśli weźmiemy pod uwagę fakt, że podatna na nią wtyczka jest zainstalowana na mniej więcej sześciu milionach witrynach WordPress.
Oś czasu wydarzeń i reakcji na zagrożenia
Po odkryciu luki PatchStack powiadomił LiteSpeed Technologies, firmę stojącą za dotkniętą wtyczką. Do 10 października programiści stworzyli exploitProof-of-Concept (PoC) i udostępnili go LiteSpeed, aby pomóc im rozwiązać problem.
Tydzień później firma wydała poprawioną wersję (6.5.2) podatnej na atak wtyczki, która zwiększyła losowość podatnych na atak skrótów, rozwiązując w ten sposób problem poprzez ograniczenie ryzyka ataków siłowych.
Łagodzenie potencjalnego ryzyka
Niestety, pod koniec października tylko około dwóch milionów stron internetowych nadało priorytet aktualizacji podatnych na ataki wtyczek do bezpiecznych wersji, co oznacza, że około cztery miliony stron nadal jest narażonych na potencjalne ataki.
„Właściciele i administratorzy witryn powinni w pierwszej kolejności zaktualizować wtyczkę do najnowszej wersji, aby zapewnić sobie ochronę przed atakami wykorzystującymi podatne na ataki skróty. Warto także, aby pamiętali o podstawowych zasadach cyberhigieny, takich jak: ustanowienie unikatowych i skomplikowanych haseł dla administratorów oraz zabezpieczeniu swoich komputerów za pomocą skutecznego systemu antywirusowego” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Asystent ds. Serwisu i E-commerce, od ponad dwóch lat pracuję w branży IT. Do moich zadań należy wspomaganie działań na sklepie internetowym, wyszukiwanie nowinek technologicznych, wsparcie techniczne wewnątrz firmy lecz również pomoc klientom. Interesuje się grą na gitarze oraz branżą gier i działaniami policji w terenie.
Lista ostrzeżeń dotyczących bezpieczeństwa antywirusów i bezpieczeństwa oparta o wymagania Rozporządzenia (UE) 2023/988 w sprawie ogólnego bezpieczeństwa produktów (GPSR).
Oprogramowanie antywirusowe i zabezpieczające to szeroka kategoria produktów, dlatego poniższe ostrzeżenia mają charakter ogólny i mogą nie odnosić się do wszystkich konkretnych produktów.
Instrukcja bezpieczeństwa dla programów antywirusowych i zabezpieczających
1. Wybór odpowiedniego oprogramowania
Wybieraj programy z uznanych źródeł, takich jak oficjalne strony producentów.
Zwracaj uwagę na oceny i recenzje użytkowników oraz niezależnych organizacji zajmujących się testowaniem oprogramowania.
2. Aktualizacje
Regularnie aktualizuj programy antywirusowe i zabezpieczające, aby mieć pewność, że są one chronione przed najnowszymi zagrożeniami.
Włącz automatyczne aktualizacje, jeśli to możliwe.
3. Skanowanie systemu
Przeprowadzaj regularne skanowania całego systemu w celu wykrycia potencjalnych zagrożeń.
Ustaw harmonogram skanowania, aby nie zapomnieć o tej czynności.
4. Ochrona w czasie rzeczywistym
Upewnij się, że funkcja ochrony w czasie rzeczywistym jest włączona, aby zminimalizować ryzyko infekcji.
Monitoruj aktywność programu antywirusowego i reaguj na wszelkie zgłoszone zagrożenia.
5. Bezpieczeństwo Internetu
Korzystaj z dodatkowych funkcji, takich jak zapory ogniowe i filtry ochrony prywatności.
Bądź ostrożny przy pobieraniu plików oraz wchodzeniu na nieznane strony internetowe.
6. Zarządzanie dostępem
Ogranicz dostęp do programów zabezpieczających tylko do zaufanych użytkowników.
Używaj silnych haseł do kont związanych z oprogramowaniem zabezpieczającym.
7. Edukacja użytkowników
Przeszkol wszystkich użytkowników korzystających z systemu w zakresie bezpieczeństwa.
Wprowadź zasady dotyczące rozpoznawania potencjalnych zagrożeń, takich jak phishing.
8. Tworzenie kopii zapasowych
Regularnie twórz kopie zapasowe ważnych danych, aby w razie infekcji móc przywrócić system do stanu przed atakiem.
Upewnij się, że kopie zapasowe są przechowywane w bezpiecznym miejscu, oddzielonym od głównego systemu.
9. Reakcja na zagrożenia
W przypadku wykrycia zagrożenia, niezwłocznie postępuj zgodnie z instrukcjami programu antywirusowego.
Rozważ konsultację z profesjonalnym serwisem w sytuacji poważnych infekcji.
10. Zgłaszanie problemów
Zgłaszaj wszelkie nieprawidłowości lub problemy z działaniem oprogramowania do odpowiednich kanałów wsparcia technicznego.
Przestrzeganie powyższych wytycznych pomoże w skutecznej ochronie systemu przed zagrożeniami oraz w zapewnieniu bezpieczeństwa danych.