Bilgisayar korsanları, teknik detayların kamuya açıklanmasından bir gün sonra, yanıt sürelerini hızlandırmak için kullanılan bir WordPress eklentisi olan Litespeed önbelleğini etkileyen kritik şiddet güvenlik açığından yararlanmaya başladılar.
Güvenlik sorunu CVE-2024-28000 olarak izlenir ve WordPress eklentisinin 6.3.0.1'e kadar olan tüm sürümlerinde kimlik doğrulama yapmadan artan ayrıcalıklara izin verir.
Güvenlik açığı, eklentinin kullanıcı simülasyon özelliğindeki zayıf bir karma kontrolünden kaynaklanmaktadır.
Bu, etkilenen web sitelerinin tam olarak ele geçirilmesine, kötü amaçlı eklentilerin yüklenmesine, kritik ayarların değiştirilmesine, trafiği kötü amaçlı sitelere yönlendirmeye ve kullanıcı verilerinin çalmasına izin verebilir.
Patchstack’in Rafie Muhammed, dün bir yazıda karma neslinin nasıl tetikleneceğine dair ayrıntıları paylaştı ve Hash'i ayrıcalıkları yükseltmek ve daha sonra RESTER API üzerinden yeni bir yönetici hesabı oluşturmayı nasıl göstereceğini gösterdi.
Muhammed’in yöntemi, saniyede üç talepte 1 milyon olası güvenlik karma değerlerinin tamamında bisiklet sürmesinin, birkaç saat gibi kısa bir sürede ve bir haftaya kadar herhangi bir kullanıcı kimliği olarak site erişimi kazanabileceğini gösterdi.
Litespeed önbellek 5 milyondan fazla site tarafından kullanılır. Bu yazıdan itibaren, sadece%30'u eklentinin güvenli bir versiyonunu çalıştırıyor ve milyonlarca savunmasız web sitesinin bir saldırı yüzeyi bırakıyor.
WordPress güvenlik firması WordFence, son 24 saat içinde CVE-2024-28000'i hedefleyen 48.500'den fazla saldırıyı tespit ettiğini ve engellediğini bildiriyor, bu da yoğun sömürü faaliyetini yansıtan bir rakam.
WordFence’in Chloe Charmberland dün bu senaryo hakkında uyardı ve “Bu kırılganlığın çok yakında aktif olarak sömürüleceğinden şüphemiz yok” dedi.
Bu yıl ikinci kez bilgisayar korsanları Litespeed önbelleğini hedef aldı. Mayıs ayında saldırganlar, haydut yönetici hesapları oluşturmak ve savunmasız web sitelerini devralmak için siteler arası komut dosyası (CVE-2023-40000) kullandılar.
O sırada WPSCAN, tehdit aktörlerinin Nisan ayında hedefleri taramaya başladığını ve tek bir kötü niyetli IP adresinden 1,2 milyondan fazla prob tespit edildiğini bildirdi.
Litespeed Cache kullanıcılarının en son kullanılabilir sürüm olan 6.4.1'e geçmesi veya eklentiyi web sitenizden kaldırması önerilir.
Bilgisayar korsanları, 150.000 site tarafından kullanılan WordPress takvim eklentisini hedef
Litespeed Cache Bug, Milyonlarca WordPress sitesini devralma saldırılarına maruz bırakıyor
Google, bu yıl kullanıldığı gibi etiketlenen dokuzuncu chrome sıfır gün
Cisa, fidye yazılımı saldırılarında sömürülen Jenkins RCE Bug hakkında uyarıyor
CISA, kritik Solarwinds RCE Hatası saldırılarda kullanıldığı konusunda uyarıyor
Kaynak: Bleeping Computer