WordPress Litespeed Cache の脆弱性 CVE-2024-28000:積極的な攻撃が迫っている

Litespeed Cache bug exposes millions of WordPress sites to takeover attacks

2024/08/21 BleepingComputer — WordPress の LiteSpeed Cache プラグインで発見された深刻な脆弱性は、数百万の Web サイトに影響を及ぼすものであり、その悪用に成功した攻撃者に、不正な管理者アカウントの作成を許すため、乗っ取りへといたる懸念が生じている。オープンソースとして提供される LiteSpeed Cache は、最も人気の WordPress サイト高速化プラグインであり、500万以上のアクティブ・インストールを有し、WooCommerce/bbPress/ClassicPress/Yoast SEO をサポートしている。


未認証の攻撃を許す特権昇格の脆弱性 CVE-2024-28000 は、このプラグインのユーザー・シミュレーション機能に存在するものであり、LiteSpeed Cache のバージョン 6.3.0.1 以下における、脆弱なハッシュ・チェックに起因する。

この脆弱性は、8月1日にセキュリティ研究者の John Blackbourn が、Patchstack のバグバウンティ・プログラムに提出しものだ。 すでに LiteSpeed チームはパッチを開発し、8月13日にリリースされた LiteSpeed Cache バージョン6.4 に同梱している。

未認証の訪問者であっても、この脆弱性の悪用に成功すれば、管理者レベルのアクセス権の取得が可能であり、それを悪用することで、LiteSpeed Cache を実行している Web サイトの完全な乗っ取りにいたるという。そのために試行されるアクションとしては、悪質なプラグインのインストールや、重要なコンフィグの変更、悪意の Web サイトへのリダイレクト、訪問者へのマルウェアの配布、ユーザーデータの窃取などがある。

8月21日 (水) に Patchstack のセキュリティ研究者である Rafie Muhammad は、「既知のセキュリティ・ハッシュ値 100万個を、反復して litespeed_hash クッキーに渡す総当たり攻撃を、低レートの毎秒3リクエストで実行したとしても、数時間から1週間以内に、任意のユーザー ID を用いてサイトにアクセス可能なことが突き止められた」と説明している。

彼は、「唯一の前提条件は、管理者レベルのユーザー ID を知ることであり、それを litespeed_role クッキーに渡すことだ。このようなユーザーを特定する難しさは、ターゲット・サイト次第であるが、多くの場合において、ユーザー ID が 1 であれば成功する」と付け加えている。

先週の火曜日に開発チームは、この深刻な脆弱性に対処するバージョンをリリースしている。ただし、WordPress の公式プラグイン・リポジトリのダウンロード統計によると、このプラグインのダウンロード回数は 250万回強である。そして、このプラグインを使用している Web サイトの半数以上が、着信攻撃に直面している可能性が高い。

2024年の初めにも、LiteSpeed Cache の未認証 XSS の脆弱性 CVE-2023-40000 を悪用する脅威アクターが、不正な管理者ユーザーを作成し、脆弱な Web サイトを制御するというインシデントが発生している。2024年5月、Automattic のセキュリティ・チームである WPScan は、たった1つの悪意の IP アドレスから、120万件を超えるプローブがあったことを受け、その脅威者アクター4月にスキャンを開始していたと警告を発した。

そして今日、Wordfence の threat intel lead である Chloe Chamberland も、「ユーザーに対して強く推奨されるのは、Litespeed Cache の最新パッチが適用されたバージョン (本稿執筆時点では 6.4.1) により、可能な限り早急にサイトを更新することだ。この脆弱性が間もなく、積極的に悪用されるだろう。そこに、疑いの余地はない」と警告している。

この6月にも、Wordfence の脅威インテリジェンス・チームは、WordPress.org の少なくとも5つのプラグインをバックドア化した脅威アクターが、悪意のある PHP スクリプトを追加するjことで、管理者権限を持つアカウントを作成したことを報告している。

Litespeed Cache に深刻な脆弱性が発生とのことです。最新バージョンへのアップデートを お急ぎください。この記事では、攻撃の懸念が示されていますが、同じく 8月21日の SecurityOnline の記事 CVE-2024-28000 in LiteSpeed Cache Plugin Actively Exploited: Over 30,000 Attacks Blocked in 24 Hours では、すでに侵害の兆候が観測されていると記されています。よろしければ、Litespeed Cache で検索も、ご利用ください。