Hacker haben bereits einen Tag nach Bekanntwerden der technischen Details damit begonnen, die kritische Sicherheitslücke auszunutzen, die LiteSpeed Cache, ein WordPress-Plugin zur Beschleunigung von Antwortzeiten, betrifft.
Das Sicherheitsproblem wird unter der Bezeichnung CVE-2024-28000 geführt und ermöglicht die Ausweitung von Rechten ohne Authentifizierung in allen Versionen des WordPress-Plugins bis 6.3.0.1.
Die Schwachstelle beruht auf einer schwachen Hash-Prüfung in der Benutzersimulationsfunktion des Plugins, die von Angreifern ausgenutzt werden kann, indem sie den Hash-Wert ausspionieren, um gefälschte Administratorkonten zu erstellen.
Dies könnte zu einer vollständigen Übernahme der betroffenen Websites führen und die Installation bösartiger Plugins ermöglichen, wichtige Einstellungen ändern, den Datenverkehr auf bösartige Websites umleiten und Benutzerdaten stehlen.
Rafie Muhammad von Patchstack teilte gestern in einem Beitrag die Details zum Auslösen der Hash-Generierung und zeigte, wie man den Hash brute-force, um die Privilegien zu erweitern und dann ein neues Administratorkonto über die REST-API zu erstellen.
Muhammads Methode hat gezeigt, dass ein Brute-Force-Angriff, der alle 1 Million möglichen Sicherheits-Hash-Werte mit drei Anfragen pro Sekunde durchläuft, den Zugang zu einer Website unter einer beliebigen Benutzer-ID innerhalb von wenigen Stunden bis zu einer Woche ermöglichen kann.
LiteSpeed Cache wird von über 5 Millionen Websites verwendet. Zum Zeitpunkt der Erstellung dieses Dokuments laufen nur etwa 30% mit einer sicheren Version des Plugins, was eine Angriffsfläche von Millionen angreifbarer Websites bietet.
Das WordPress-Sicherheitsunternehmen Wordfence berichtet, dass es in den letzten 24 Stunden mehr als 48.500 Angriffe auf CVE-2024-28000 erkannt und blockiert hat - eine Zahl, die auf eine intensive Missbrauchsaktivität hinweist.
Chloe Charmberland von Wordfence warnte gestern vor diesem Szenario: "Wir haben keine Zweifel daran, dass diese Schwachstelle sehr bald aktiv ausgenutzt werden wird."
Dies ist bereits das zweite Mal in diesem Jahr, dass Hacker LiteSpeed Cache ins Visier genommen haben. Im Mai nutzten Angreifer eine Cross-Site-Scripting-Schwachstelle (CVE-2023-40000), um gefälschte Administratorkonten zu erstellen und anfällige Websites zu übernehmen.
Damals berichtete WPScan, dass Bedrohungsakteure im April mit dem Scannen nach Zielen begannen und dabei über 1,2 Millionen Probes von einer einzigen bösartigen IP-Adresse entdeckt wurden.
Benutzern von LiteSpeed Cache wird empfohlen, so bald wie möglich auf die neueste verfügbare Version 6.4.1 zu aktualisieren oder das Plugin von ihrer Website zu deinstallieren.
