LiteSpeed Cache 插件漏洞威胁数百万WordPress网站
最近,WordPress流行插件LiteSpeed Cache的免费版本修复了一个高危权限提升漏洞(CVE-2024-50550)。这个缺陷可能会导致未经身份验证的攻击者获得管理员权限,对WordPress网站的安全构成严重威胁。
LiteSpeed Cache 是一款被超过600万个WordPress网站使用的缓存插件,其作用是加速网站加载速度和优化用户浏览体验。然而,这个插件的“角色模拟”功能中的哈希检查漏洞却成为了攻击者入侵的切入点。
漏洞概述:CVE-2024-50550
此高严重性漏洞源于角色模拟功能中的弱哈希机制,该功能用于模拟不同用户角色,方便站点爬虫进行不同级别的用户视角扫描。插件使用的“is_role_simulation()”函数依赖于存储在cookie中的弱安全哈希值(“litespeed_hash”和“litespeed_flash_hash”)进行权限检查。然而,这些哈希值的生成随机性较差,在某些配置下很容易被预测,存在显著风险。
要利用CVE-2024-50550,攻击者需满足以下条件:
- 爬虫的持续运行时间和间隔设置在2500到4000秒之间。
- 服务器负载限制设为0。
- 角色模拟设置为administrator。
尽管这些哈希值长度达32个字符,但研究团队Patchstack指出,攻击者可在100万个可能性中暴力破解这些哈希值。成功利用该漏洞的攻击者可以模拟管理员角色,从而上传和安装恶意插件、访问后端数据库、编辑网页内容等。
LiteSpeed Technologies的漏洞修复
LiteSpeed Technologies在10月17日推出插件版本6.5.2,修复了此漏洞。修复方法包括提升哈希值的随机性,使暴力破解几乎不再可能。然而,WordPress.org的统计显示,补丁发布后约有200万个网站完成更新,仍有400万个网站未修补该漏洞,依然面临风险。
LiteSpeed Cache的安全挑战
2024年对于LiteSpeed Cache及其用户来说是个充满挑战的年份。该插件在今年内已多次暴露出严重漏洞,且部分漏洞被攻击者广泛利用。例如:
2024年5月,黑客利用一个未经身份验证的跨站脚本漏洞(CVE-2023-40000)创建管理员帐户,接管多个网站。
2024年8月,研究人员发现一个关键权限提升漏洞(CVE-2024-28000),在公开披露后数小时内即遭遇大规模攻击。Wordfence报告称其防火墙阻止了超过5万次恶意尝试。
2024年9月,插件还修复了另一个未经身份验证的帐户接管漏洞(CVE-2024-44000),同样为网站管理员带来了巨大隐患。
总结
LiteSpeed Cache的漏洞频发显示出WordPress生态系统的安全挑战。尤其对于广泛使用的插件,定期更新和漏洞修复至关重要。当前,依然有大量网站未更新到最新的安全版本,暴露于潜在风险中。网站管理员需重视插件的安全性,并及时安装安全补丁。