Hackers misbruiken LiteSpeed ​​Cache-bug om volledige controle over WordPress-sites te krijgen

Een zeer ernstige fout die van invloed is op de LiteSpeed ​​Cache-plug-in voor WordPress, wordt actief misbruikt door bedreigingsactoren om frauduleuze beheerdersaccounts te maken op gevoelige websites.

De bevindingen zijn afkomstig van WPScan, waarin staat dat de kwetsbaarheid (CVE-2023-40000, CVSS-score: 8,3) is misbruikt om valse beheerdersgebruikers in te stellen met de namen wpsupp-user en wp-configuser.

CVE-2023-40000, dat in februari 2024 door Patchstack werd onthuld, is een opgeslagen cross-site scripting (XSS) kwetsbaarheid waarmee een niet-geverifieerde gebruiker zijn bevoegdheden kan verhogen door middel van speciaal vervaardigde HTTP-verzoeken.

De fout is in oktober 2023 verholpen in versie 5.7.0.1. Het is vermeldenswaard dat de nieuwste versie van de plug-in 6.2.0.1 is, die werd uitgebracht op 25 april 2024.

LiteSpeed ​​Cache heeft meer dan 5 miljoen actieve installaties, waarbij statistieken aantonen dat andere versies dan 5.7, 6.0, 6.1 en 6.2 nog steeds actief zijn op 16,8% van alle websites.

Volgens het bedrijf dat eigendom is van Automattic, injecteert malware doorgaans JavaScript-code in WordPress-bestanden die worden gehost op domeinen als dns.startservicefounds(.)com en api.startservicefounds(.)com.

Het aanmaken van beheerdersaccounts op WordPress-sites kan ernstige gevolgen hebben, omdat de bedreigingsacteur volledige controle over de website kan krijgen en willekeurige acties kan uitvoeren, variërend van het injecteren van malware tot het installeren van kwaadaardige plug-ins.

LiteSpeed-cachebug

Om potentiële bedreigingen te beperken, wordt gebruikers geadviseerd om de nieuwste oplossingen toe te passen, alle geïnstalleerde plug-ins te bekijken en verdachte bestanden en mappen te verwijderen.

“Zoek in (de) database naar verdachte tekenreeksen zoals 'eval(atob(Strings.fromCharCode'),' zei WPScan, 'specifiek in de optie litespeed.admin_display.messages.'

De ontwikkeling komt nadat Sucuri een omleidingszwendelcampagne genaamd Mal.Metrica onthulde op geïnfecteerde WordPress-sites die valse CAPTCHA-verificatieprompts gebruikt om gebruikers naar frauduleuze en ongewenste sites te leiden, die zijn ontworpen om schetsmatige software te downloaden of slachtoffers te verleiden om onder het mom van persoonlijke informatie te verstrekken. van het sturen van beloningen.

“Hoewel deze prompt lijkt op een routinematige controle op menselijke verificatie, is deze feitelijk volledig nep. In plaats daarvan probeert hij de gebruiker te misleiden om op de knop te klikken, waardoor een omleiding naar kwaadaardige en oplichtingswebsites wordt geïnitieerd”, aldus beveiligingsonderzoeker Ben Martin.

Net als Balada Injector maakt de activiteit gebruik van onlangs onthulde beveiligingsfouten in WordPress-plug-ins om externe scripts te injecteren die CDN- of webanalyseservices nabootsen. Tot nu toe zijn in 2024 maar liefst 17.449 websites gecompromitteerd met Mal.Metrica.

“Eigenaren van WordPress-websites willen misschien overwegen om automatische updates in te schakelen voor kernbestanden, plug-ins en thema's”, zegt Martin. “Regelmatige gebruikers van internet moeten ook oppassen met het klikken op links die niet op hun plaats of verdacht lijken.”

Thijs Van der Does