آسیب پذیری XSS افزونه کش LiteSpeed بر 1.8 میلیون سایت وردپرس تاثیر میگذارد
آیا سایت وردپرس شما از LiteSpeed Cache استفاده می کند؟ افزایش اخیر تزریق های مخرب جاوا اسکریپت نسخه های آسیب پذیر را هدف قرار می دهد. یاد بگیرید که چگونه علائم عفونت را شناسایی کنید و از حملات بعدی جلوگیری کنید. امروز سایت وردپرس خود را وصله، اسکن و ایمن کنید.
تیم امنیتی Automattic، WPScan، ادعا میکند که وبسایتهای وردپرس اخیراً مورد حمله قرار گرفتهاند، با موجی از جاوا اسکریپت مخرب که با استفاده از نسخههای آسیبپذیر افزونه LiteSpeed Cache تزریق میشود.
از سال 2024، بیش از 1.89 میلیارد وب سایت در اینترنت وجود دارد که حدود 835 میلیون آنها به سیستم مدیریت محتوای خود (CMS) به وردپرس متکی هستند که تقریباً 43.3 درصد از کل وب سایت ها را در سراسر جهان تشکیل می دهد. این امر CMS را به یک هدف سودآور برای مجرمان سایبری تبدیل می کند.
طبق پست وبلاگ WPSCan ، عوامل تهدید از یک آسیبپذیری اسکریپت متقابل سایت (XSS) در این افزونه سوء استفاده میکنند که به کاربر احراز هویت نشده اجازه میدهد تا از طریق درخواستهای HTTP ساختهشده ویژه، امتیازات را افزایش دهد. نسخههای پلاگین LiteSpeed Cache قدیمیتر از 5.7.0.1 در برابر یک نقص اسکریپت نویسی بین سایتی تأیید نشده با شدت بالا (8.8) آسیبپذیر هستند که به عنوان CVE-2023-40000 ردیابی شده و توسط Patchstack در فوریه 2024 فاش شده است.
درک آسیب پذیری
این آسیبپذیری در XSS ذخیرهشده احراز هویت نشده (اسکریپت بین سایتی) در نسخههای قدیمیتر افزونه نهفته است. XSS تأیید نشده به این معنی است که یک مهاجم برای تزریق کد مخرب به اعتبارنامه ورود نیاز ندارد.
از طرف دیگر، Stored XSS به این معنی است که کد مخرب در پایگاه داده وب سایت شما ذخیره می شود و هر کاربری را که از صفحه در معرض خطر بازدید می کند آلوده می کند. مهاجمان کدهای مخرب جاوا اسکریپت را در فایلها و پایگاه داده وردپرس تزریق میکنند و با سوءاستفاده از این نقص، کاربران سرپرستی را با نام «wpsupp‑user» یا «wp‑configuser» ایجاد میکنند.
میتوانید URLها و IPهای مخرب را همانطور که معمولاً شامل (startservicefounds . com/service/f.php، apistartservicefounds. com و (cachecloudswiftcdn. com) هستند شناسایی کنید، و IP مرتبط با بدافزار بهعنوان 45.150.67.235 ردیابی شد.
خطرات بالقوه
LiteSpeed Cache یک افزونه محبوب است که در بیش از پنج میلیون سایت وردپرس به دلیل قابلیت های افزایش رتبه جستجوی گوگل استفاده می شود. این نقص در اکتبر 2023 در نسخه 5.7.0.1 برطرف شد در حالی که آخرین نسخه، 6.2.0.1، در 25 آوریل 2024 منتشر شد . با این حال، علیرغم مهاجرت به نسخههای غیرآسیبپذیر، 1835000 کاربر همچنان نسخههای آسیبپذیر را اجرا میکنند که نشاندهنده عفونت، محققان است. اشاره شد.
ایجاد حسابهای مدیریت در سایتهای وردپرس میتواند منجر به عواقب شدیدی شود و به عوامل تهدید اجازه میدهد تا کنترل کامل را به دست آورند و اقدامات خودسرانه مانند تزریق بدافزار یا نصب افزونههای مخرب را انجام دهند. احتیاط کنید!
این توسعه پس از آن صورت گرفت که Sucuri یک کمپین کلاهبرداری تغییر مسیر به نام Mal.Metrica را فاش کرد که از پیامهای CAPTCHA جعلی برای هدایت کاربران به سایتهای جعلی استفاده میکند.
برای ایمن سازی سایت وردپرس خود، افزونه LiteSpeed Cache را به آخرین نسخه به روز کنید، بدافزار را با استفاده از یک اسکنر امنیتی معتبر وردپرس اسکن کنید و تمام اعتبارنامه های ورود را تغییر دهید. WPScan جستجوی رشته های مشکوک را در گزینه litespeed.admin_display.messages یا حضور wpsupp-user توصیه می کند.