WordPress Sites Under Widespread Attack – LiteSpeed Cache Plugin Exploit Puts Millions at Risk
2024/05/03 SecurityOnline — 現時点で世界中の 500万以上の Web サイトにインストールされている、WordPress のLiteSpeed Cache Plugin の脆弱性を、ハッカーたちが積極的に悪用している。この、脆弱性 CVE-2023-40000 を悪用する攻撃者は、管理者アカウントの作成を達成し、無数の WordPress サイトに深刻なセキュリティリスクをもたらしている。
背景と発見
LiteSpeed Cache for WordPress (LSCWP) は、独自のサーバ・レベル・キャッシュや、一連の最適化機能などにより、Web サイトを包括的に高速化する機能として有名である。その人気と有用性にもかかわらず、バージョン 5.7.0.1 未満に存在する深刻度の高いクロス・サイト・スクリプティング (XSS) の問題が特定され、このプラグインはセキュリティ侵害の標的となっている。この脆弱性には、深刻な影響を及ぼす可能性があるため、重要度スコアは CVSS:8.3 となっている。
この脆弱性は、2023年10月17日に、PatchStack の Rafie Muhammad により公開された。この脆弱性は、サイト全体に対する、認証を必要としない蓄積型 XSS だと評価されている。したがって、この脆弱性の悪用に成功した攻撃者は、機密情報の窃取から単一の HTTP リクエストによる WordPress サイト上での権限昇格にいたるまで、さまざまな悪意のアクションを実行できる。
エクスプロイトの動作
この脆弱性が起因するのは、ユーザー入力を処理するコードにおける、不適切な入力サニタイズと出力エスケープおよび、このプラグインが提供する REST API エンドポイントにおける不適切なアクセス制御である。PatchStack が情報を公開した後に、この脆弱性を悪用しようとする約 200万件の攻撃が WPScan により記録されているが、その大部分は 4月2日に発生している。
WPScan は、管理者がウェブサイト上で “wpsupp-user” という名前の新たな管理ユーザーを検出した場合には、この脆弱性が明らかに悪用されている兆候だと警告している。
感染の兆候と修復ステップ
WPScan は、WordPress サイトの管理者が感染を特定して、クリーンアップするための、いくつかの手順と指標を概説している:
汚染の兆候:”wpsupp-user” や “wp-configuser” といった通常とは異なる管理ユーザーをチェックし、”eval(atob(Strings.fromCharCode)” といった不審な文字列を、”litespeed.admin_display.messages” オプションを用いてデータベースを検索する。
悪意の URL と IP を特定する: https[:]//dns[.]startservicefounds.com/service/f[.]php
https[:]//api[.]startservicefounds[.]com
https[:]//cache[.]cloudswiftcdn[.]com
45.150.67.235 などの、攻撃者との接続が疑われる IP の URL に注意する。
クリーンアップの手順:管理者に対して推奨されるのは、インストールされているプラグインを確認し、アップデートを適用し、疑わしいプラグインに関連するフォルダを削除することだ。
迅速な対応が必要
WordPress サイトを保護し、リスクを軽減するために、管理者にとって不可欠なのは、LiteSpeed Cache プラグインのバージョン 5.7.0.1 以降へと、迅速にアップデートすることだ。この脅威の規模と、影響を受けるプラグインの人気を考えると、さらなる侵害を防ぐことが重要である。サイト運営者とユーザーのセキュリティを確保するために、迅速な対応が必要である。
WordPress の LiteSpeed Cache Plugin に脆弱性が発生しましたが、FIX とのことなので、ご利用の方はアップデートをお急ぎください。とても便利なプラグンが、WordPress には揃っていますが、それらを使うには、こうしたときの適切な対応が不可欠となります。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.