Los piratas informáticos ya comenzaron a explotar la vulnerabilidad de gravedad crítica que afecta a LiteSpeed Cache, un complemento de WordPress utilizado para acelerar los tiempos de respuesta, un día después de que los detalles técnicos se hicieran públicos.
El problema de seguridad se rastrea como CVE-2024-28000 y permite la escalada de privilegios sin autenticación en todas las versiones del complemento de WordPress hasta la 6.3.0.1.
La vulnerabilidad se debe a una verificación de hash débil en la función de simulación de usuario del complemento que puede ser explotada por atacantes que fuerzan bruscamente el valor hash para crear cuentas de administrador maliciosas.
Esto podría conducir a una toma completa de los sitios web afectados, permitiendo la instalación de complementos maliciosos, la modificación de configuraciones críticas, la redirección del tráfico a sitios maliciosos y el robo de datos de los usuarios.
Rafie Muhammad de Patchstack compartió los detalles sobre cómo activar la generación de hash en una publicación ayerque muestra cómo forzar el hash para escalar privilegios y luego crear una nueva cuenta de administrador a través de la API REST.
El método de Muhammad demostró que un ataque de fuerza bruta que recorre el millón de valores hash de seguridad posibles a tres solicitudes por segundo puede permitir el acceso al sitio con cualquier ID de usuario en tan solo unas pocas horas y hasta una semana.
LiteSpeed Cache es utilizado por más de 5 millones de sitios. Al momento de escribir este artículo, sólo alrededor del 30% ejecute una versión segura del complemento, dejando vulnerable una superficie de ataque de millones de sitios web.
La empresa de seguridad de WordPress, Wordfence, informa haber detectado y bloqueado más de 48.500 ataques apuntando a CVE-2024-28000 en las últimas 24 horas, una cifra que refleja una intensa actividad de explotación.
Chloe Charmberland de Wordfence prevenido sobre este escenario ayer, diciendo: “No tenemos ninguna duda de que esta vulnerabilidad será explotada activamente muy pronto”. »
Esta es la segunda vez este año que los piratas informáticos atacan LiteSpeed Cache. En mayo, los atacantes explotaron una falla de secuencias de comandos entre sitios (CVE-2023-40000) para crear cuentas de administrador maliciosas y tomar el control de sitios web vulnerables.
En ese momento, WPScan informó que los delincuentes comenzaron a buscar objetivos en abril, con más de 1,2 millones de sondas detectadas desde una única dirección IP maliciosa.
Se recomienda a los usuarios de LiteSpeed Cache actualizar a la última versión disponible, 6.4.1, lo antes posible o desinstalar el complemento de su sitio web.