Kritieke fout in WordPress LiteSpeed ​​Cache Plugin geeft hackers beheerderstoegang

Cybersecurityonderzoekers hebben een kritieke beveiligingsfout in de LiteSpeed ​​Cache-plug-in voor WordPress ontdekt, waardoor niet-geverifieerde gebruikers beheerdersrechten kunnen verkrijgen.

“De plugin heeft last van een kwetsbaarheid voor escalatie van niet-geverifieerde rechten, waardoor niet-geverifieerde bezoekers toegang op beheerdersniveau kunnen krijgen, waarna schadelijke plugins kunnen worden geüpload en geïnstalleerd”, aldus Rafie Muhammad van Patchstack in een rapport van woensdag.

De kwetsbaarheid, bijgehouden als CVE-2024-28000 (CVSS-score: 9,8), is gepatcht in versie 6.4 van de plugin die op 13 augustus 2024 is uitgebracht. Het heeft invloed op alle versies van de plugin, inclusief en ouder dan 6.3.0.1.

LiteSpeed ​​Cache is een van de meest gebruikte caching-plugins in WordPress met meer dan vijf miljoen actieve installaties.

Kort gezegd maakt CVE-2024-28000 het voor een niet-geverifieerde aanvaller mogelijk om zijn gebruikers-ID te vervalsen en zich te registreren als een gebruiker op beheerdersniveau. Zo krijgt hij feitelijk rechten om een ​​kwetsbare WordPress-site over te nemen.

Het beveiligingslek is geworteld in een gebruikerssimulatiefunctie in de plug-in die gebruikmaakt van een zwakke beveiligingshash die lijdt onder het gebruik van een willekeurig getal dat eenvoudig te raden is als seed.

Specifiek zijn er slechts één miljoen mogelijke waarden voor de beveiligingshash, omdat de willekeurige nummergenerator is afgeleid van het microsecondegedeelte van de huidige tijd. Bovendien is de willekeurige nummergenerator niet cryptografisch veilig en is de gegenereerde hash niet gezouten of gekoppeld aan een bepaald verzoek of een gebruiker.

“Dit komt doordat de plug-in de rolsimulatiefunctionaliteit niet goed beperkt, waardoor een gebruiker zijn huidige ID niet kan instellen op die van een beheerder, als hij toegang heeft tot een geldige hash die te vinden is in de debuglogs of via brute force”, aldus Wordfence in een eigen waarschuwing.

“Hierdoor kunnen niet-geverifieerde aanvallers hun gebruikers-ID vervalsen door deze te vervangen door die van een beheerder. Vervolgens kunnen ze een nieuw gebruikersaccount met de beheerdersrol aanmaken met behulp van het REST API-eindpunt /wp-json/wp/v2/users.”

Het is belangrijk om op te merken dat de kwetsbaarheid niet kan worden misbruikt op Windows-gebaseerde WordPress-installaties, omdat de hashgeneratiefunctie afhankelijk is van een PHP-methode met de naam sys_getloadavg() die niet is geïmplementeerd in Windows.

“Deze kwetsbaarheid onderstreept hoe belangrijk het is om de sterkte en onvoorspelbaarheid van waarden die worden gebruikt als beveiligingshashes of nonces te waarborgen”, aldus Muhammad.

Omdat kwaadwillenden misbruik maken van een eerder bekendgemaakte fout in LiteSpeed ​​Cache (CVE-2023-40000, CVSS-score: 8,3), is het van groot belang dat gebruikers hun exemplaren zo snel mogelijk bijwerken naar de nieuwste versie.

Thijs Van der Does