近日，Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，該插件主要用于加快超 600 萬(wàn)個(gè) WordPress 網(wǎng)站的用戶瀏覽速度。該漏洞被追蹤為 CVE-2024-44000，并被歸類為未經(jīng)身份驗(yàn)證的帳戶接管問(wèn)題 。隨著 LiteSpeed Cache 6.5.0.1 版本的發(fā)布，修復(fù)程序也于昨天（9月4日）發(fā)布。

調(diào)試功能將 cookie 寫(xiě)入文件

該漏洞與插件的調(diào)試日志功能有關(guān)，當(dāng)啟用該功能時(shí)，它會(huì)將所有 HTTP 響應(yīng)頭（包括 “Set-Cookie ”頭）記錄到文件中。

這些標(biāo)頭包含用于驗(yàn)證用戶身份的會(huì)話 cookie，一旦攻擊者成功竊取這些 cookie，就可以冒充管理員用戶完全控制網(wǎng)站。

要利用該漏洞，攻擊者必須能夠訪問(wèn)“/wp-content/debug.log ”中的調(diào)試日志文件。在未實(shí)施文件訪問(wèn)限制（如 .htaccess 規(guī)則）的情況下，只需輸入正確的 URL 即可。

當(dāng)然，攻擊者只能竊取在調(diào)試功能激活時(shí)登錄網(wǎng)站的用戶的會(huì)話 cookie，但如果日志被無(wú)限期保存而不是定期清除，這甚至包括過(guò)去的登錄事件。

該插件的供應(yīng)商 LiteSpeed Technologies 通過(guò)將調(diào)試日志移至專用文件夾（'/wp-content/litespeed/debug/'）、隨機(jī)化日志文件名、移除記錄 Cookie 的選項(xiàng)，以及添加一個(gè)虛假索引文件以提供額外保護(hù)，解決了這一問(wèn)題。

建議 LiteSpeed Cache 用戶清除其服務(wù)器上的所有 “debug.log ”文件，以刪除可能被威脅行為者竊取的潛在有效會(huì)話 cookie。

此外，還應(yīng)設(shè)置 .htaccess 規(guī)則，拒絕直接訪問(wèn)日志文件，因?yàn)樾孪到y(tǒng)上的隨機(jī)名稱仍可能通過(guò)暴力破解來(lái)猜測(cè)。

WordPress.org報(bào)告稱，昨天，也就是v6.5.0.1發(fā)布的當(dāng)天，下載LiteSpeed Cache的用戶剛剛超過(guò)37.5萬(wàn)，因此易受這些攻擊影響的網(wǎng)站數(shù)量可能超過(guò)560萬(wàn)。

受到攻擊的 LiteSpeed Cache

LiteSpeed Cache 插件漏洞因其廣泛的影響力成為了近期安全研究人員的重點(diǎn)研究對(duì)象。與此同時(shí)，黑客們一直在尋找機(jī)會(huì)通過(guò)利用該漏洞對(duì)網(wǎng)站發(fā)起攻擊。

2024 年 5 月，有人發(fā)現(xiàn)黑客利用該插件的一個(gè)過(guò)時(shí)版本（受跟蹤為 CVE-2023-40000 的未驗(yàn)證跨站腳本缺陷影響）創(chuàng)建管理員用戶并控制網(wǎng)站。

今年 8 月 21 日，研究人員又發(fā)現(xiàn)了一個(gè)關(guān)鍵的未經(jīng)身份驗(yàn)證的權(quán)限升級(jí)漏洞，該漏洞被追蹤為 CVE-2024-28000，研究人員對(duì)利用該漏洞的難度敲響了警鐘。

該漏洞披露后僅幾個(gè)小時(shí)，威脅者就開(kāi)始大規(guī)模攻擊網(wǎng)站，Wordfence 報(bào)告稱阻止了近 5萬(wàn)次攻擊。

據(jù)統(tǒng)計(jì)，在過(guò)去的 24 小時(shí)內(nèi)，因其漏洞導(dǎo)致的攻擊次數(shù)達(dá)到了 34 萬(wàn)次。

原文來(lái)源：FreeBuf