Yine de, 6 milyondan fazla WordPress sitesinde kullanıcıya göz atmayı hızlandırmak için bir önbellek eklentisi olan Litespeed Cache'de bir başka kritik ciddiyet güvenlik açığı keşfedildi.
CVE-2024-44000 olarak izlenen ve kimlik doğrulanmamış bir hesap devralma sorunu olarak kategorize edilen kusur, PatchTack'in Rafie Muhammed tarafından 22 Ağustos 2024'te keşfedildi. Dün Litespeed önbellek sürümü 6.5.0.1'in yayınlanmasıyla bir düzeltme yapıldı.
Güvenlik açığı, eklentinin tüm HTTP yanıt başlıklarını etkinleştirildiğinde "Set-Cookie" başlığı dahil bir dosyaya kaydeden hata ayıklama günlüğü özelliğine bağlıdır.
Bu başlıklar, kullanıcıları doğrulamak için kullanılan oturum çerezleri içerir, bu nedenle bir saldırgan bunları çalabilirse, bir yönetici kullanıcısını taklit edebilir ve sitenin tam kontrolünü alabilirler.
Kusurdan yararlanmak için, bir saldırgan '/wp-content/debug.log' adresindeki hata ayıklama günlük dosyasına erişebilmelidir. Hiçbir dosya erişim kısıtlaması (.htaccess kuralları gibi) uygulanmadığında, bu sadece doğru URL girerek mümkündür.
Tabii ki, saldırgan yalnızca hata ayıklama özelliği etkinken siteye giriş yapan kullanıcıların oturum çerezlerini çalabilecek, ancak günlükler süresiz olarak tutulursa ve periyodik olarak silinmezse bu, geçmişten gelen olayları bile içerir.
Eklentinin satıcısı Litespeed Technologies, hata ayıklama günlüğünü özel bir klasöre ('/wp-content/litespeed/hata ayıklama/') taşıyarak, günlük dosya adlarını randomize ederek, çerezleri kaydetme seçeneğini kaldırarak ve bir kukla dizin dosyası ekleyerek sorunu ele aldı. ekstra koruma için.
Litespeed Cache kullanıcılarının, tehdit aktörleri tarafından çalınabilecek potansiyel olarak geçerli oturum çerezlerini silmek için tüm 'Defug.log' dosyalarını sunucularından temizlemeleri önerilir.
Yeni sistemdeki randomize adlar yine de birden fazla deneme/kaba güçlendirme ile tahmin edilebileceğinden, günlük dosyalarına doğrudan erişimi reddetmek için bir .htaccess kuralı da ayarlanmalıdır.
WordPress.org, 375.000'den fazla kullanıcının dün Litespeed önbelleğini indirdiğini, V6.5.0.1'in yayınlandığını, bu nedenle bu saldırılara karşı savunmasız kalan sitelerin sayısının 5.6 milyonu aşabileceğini bildirdi.
Özel eklenti, son zamanlarda büyük popülaritesi için güvenlik araştırmalarının merkez üssünde kaldı ve bilgisayar korsanları sürekli olarak web sitelerine saldırmak için fırsatlar arıyorlar.
Mayıs 2024'te, bilgisayar korsanlarının yönetici kullanıcıları oluşturmak ve sitelerin kontrolünü ele geçirmek için CVE-2023-40000 olarak izlenen kimliği doğrulanmamış bir siteler arası komut dosyası kusurundan etkilenen eklentinin eski bir sürümünü hedeflediği gözlendi.
Daha yakın zamanlarda, 21 Ağustos 2024'te, CVE-2024-28000 olarak izlenen kritik kimlik doğrulanmamış ayrıcalık artış kırılganlığı keşfedildi ve araştırmacılar sömürülmenin ne kadar kolay olduğu konusunda alarm veriyor.
Tehdit aktörlerini, kusurun toplu olarak saldırmaya başlamadan önce açıklanmasından birkaç saat sonra, WordFence'in yaklaşık 50.000 saldırıyı engellediğini bildirdi.
Bugün, ilk açıklamadan bu yana iki hafta geçti ve aynı portal son 24 saat içinde 340.000 saldırı rapor ediyor.
Bilgisayar korsanları Litespeed Cache eklentisinde kritik hatayı kullanıyor
Litespeed Cache Bug, Milyonlarca WordPress sitesini devralma saldırılarına maruz bırakıyor
Bilgisayar korsanları, 150.000 site tarafından kullanılan WordPress takvim eklentisini hedef
İlerleme Yükselteri 10/10 şiddete karşı savunmasız RCE Kusur
Sonicwall SSLVPN Erişim Kontrol Kususu artık saldırılarda sömürüldü
Kaynak: Bleeping Computer