Litespeed Cache WordPress Plugin Actively Exploited In The Wild
2024/05/08 SecurityAffairs — WordPress 用 LiteSpeed Cache プラグインの深刻な脆弱性を、脅威アクターたちが積極的に悪用していると、WPScan の研究者たちが報告している。LiteSpeed Cache for WordPress (LSCWP) は、オールインワンのサイト高速化プラグインであり、独自のサーバ・レベル・キャッシュと最適化のための機能を備えている。そして、このプラグインは、500万以上のアクティブなインストール数を誇っている。
この脆弱性 CVE-2023-40000 (CVSS:8.3) とは、LiteSpeed Technologies LiteSpeed Cache における、Web ページ生成中の不適切な入力の無効化に起因する、蓄積型クロスサイト・スクリプティングを許すものである。
この脆弱性の悪用に成功した攻撃者は、脆弱な Web サイト上に wpsupp-user および wp-configuser という不正な管理者アカウントを作成する。これらの管理者アカウントを作成した攻撃者は、その Web サイトの完全な制御を可能にする。
2024年2月に Patchstack は、この蓄積型 XSS の脆弱性を発見した。
認証されていない攻撃者が、特別に細工された HTTP リクエストを介して、この問題を誘発することで特権昇格を可能にする。
LiteSpeed プラグインの脆弱なバージョンに対して、脅威アクターが悪意のスクリプトを注入する可能性があることを、WPScan は報告していた。そして、4月2日と4月27日に、悪意の URL アクセスが急増したことを、研究者たちは確認した。
WPScan は、「脆弱なサイトをスキャンすると思われる、最も一般的な IP アドレスは “94.102.51.144” (1,232,810リクエスト) と、”31.43.191.220″ (70,472 リクエスト) だった」と述べている。
この脆弱性は、2023年10月にリリースされたバージョン 5.7.0.1 で修正されている。
研究者たちは、キャンペーンに関与した悪意の URL (以下を参照) および、一連の攻撃に関する侵害の指標を提供している。さらに研究者たちは、マルウェアに関連する “45.150.67.235” などの IP に注意するよう呼びかけている。
https[:]//dns[.]startservicefounds.com/service/f[.]php
https[:]//api[.]startservicefounds[.]com
https[:]//cache[.]cloudswiftcdn[.]com
この脆弱性 CVE-2023-40000 については、2024/05/03 の「WordPress の LiteSpeed Cache Plugin の脆弱性 CVE-2023-40000 が FIX:深刻な蓄積型 XSS」となります。そして、悪用が確認される状況へと至っています。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.