6 milioni di siti WordPress a rischio attacco: nuova falla in LiteSpeed Cache

Scoperta una grave vulnerabilità nel plugin LiteSpeed Cache per WordPress: potrebbe compromettere la sicurezza di tanti siti Web. A causa di una funzionalità di debug, il plugin memorizzava informazioni riservate nei file di log, inclusi i cookie di sessione. Gli aggressori possono sfruttare questa falla per accedere ai cookie di altri utenti e assumere la loro identità.

Sono passati appena pochi giorni da quando vi raccontavamo della grave vulnerabilità che affliggeva il più utilizzato plugin per la gestione della cache WordPress. Sfruttando la falla di sicurezza insita in LiteSpeed Cache, aggressori remoti potevano acquisire i privilegi di amministrazione su qualunque sito WordPress non opportunamente aggiornato.

Rafie Muhammad, ricercatore presso Patchstack, ha portato a galla un’altra pesante lacuna che riguarda ancora una volta LiteSpeed Cache e che mette potenzialmente a rischio ben 6 milioni di siti WordPress. Tracciata con l’identificativo CVE-2024-44000, il problema di sicurezza è questa volta correlato con la funzionalità di debug del plugin che, quando attivata, registra tutte le risposte ricevute sotto forma di header HTTP all’interno di un file.

Spiega Muhammad che lo strumento di logging usato per finalità di debug, memorizza anche il contenuto dell’header chiamato Set-Cookie che, evidentemente, serve per impostare un cookie, come quelli utilizzati per gestire la procedura di autenticazione su WordPress.

Come funziona l’attacco che prende di mira gli utenti WordPress

Per sfruttare la vulnerabilità di LiteSpeed Cache, che nel frattempo gli autori hanno provveduto a correggere rilasciando la versione 6.5.0.1 del plugin, l’attaccante deve essere in grado di guadagnare l’accesso al file di registro della funzionalità di debug (/wp-content/debug.log).

In assenza di restrizioni particolari, ad esempio a livello di file .htaccess, l’aggressore non deve far altro che digitare l’URL corretto per accedere al file di log.

Inviando una speciale richiesta alle istanze di WordPress che usano una versione non aggiornata di LiteSpeed Cache, l’aggressore remoto può di fatto rubare il cookie di sessione altrui e autenticarsi assumendo l’identità di un altro soggetto.

Agli utenti di LiteSpeed Cache è raccomandato di cancellare tutti i file debug.log eventualmente presenti sul server, in modo da non lasciare esposti cookie di sessione ancora valida, potenzialmente sfruttabili dagli aggressori.

Lo sviluppatore del plugin, LiteSpeed Technologies, ha corretto la problematica spostando il file di log in una cartella dedicata (/wp-content/litespeed/debug/), “randomizzando” i nomi dei file di registro, rimuovendo le opzioni per il log dei cookie e aggiungendo un file “index” come misura addizionale.

Credit immagine in apertura: iStock.com – -Oxford-

Ti consigliamo anche

Link copiato negli appunti