Il caching è cruciale per il miglioramento delle prestazioni di un sito WordPress: le pagine caricate più rapidamente migliorano l’esperienza utente, il carico del server diminuisce, i motori di ricerca come Google Search premiano i siti veloci con un migliore posizionamento. Il plugin più popolare (vanta oltre 5 milioni di installazioni) per gestire la cache delle pagine è LiteSpeed Cache WordPress.
Il problema è che gli esperti di Patchstack hanno recentemente confermato l’esistenza di una grave vulnerabilità nel plugin LiteSpeed Cache per WordPress: un aggressore non autenticato, quindi sprovvisto di qualsiasi tipo di credenziale per la gestione del sito WordPress, può sfruttare la falla di sicurezza per creare nuovi account amministrativi, assumendo il pieno controllo dei progetti online altrui.
La problematica di sicurezza, alla quale è stato assegnato l’identificativo CVE-2024-28000, risiedeva nella funzionalità di LiteSpeed che simula il comportamento degli utenti sul sito Web. si tratta di uno strumento utile per verificare come il sito risponde a vari scenari di utilizzo e ottimizzare ulteriormente le performance.
Cosa fare per proteggere subito i siti WordPress che usano LiteSpeed Cache
All’inizio di agosto il ricercatore John Blackbourn ha segnalato a Patchstack l’esistenza del problema di sicurezza, aderendo alle condizioni del programma bug bounty promosso dall’azienda. Dopo la segnalazione ricevuta privatamente, il team di LiteSpeed ha provveduto a sviluppare e distribuire una patch correttiva, che è arrivata il 13 agosto con il rilascio di LiteSpeed Cache 6.4.
Gli utenti che utilizzano il plugin in questione devono quindi affrettarsi ad aggiornarlo, facendo riferimento alla “directory” gestita da WordPress.
Rafie Muhammad, uno dei ricercatori di Patchstack, spiega che un aggressore remoto può sferrare un attacco bruteforce iterando tutti i possibili valori assunti da un hash di sicurezza verificato dalle versioni vulnerabili di LiteSpeed. Anche effettuando 3 richieste per secondo, quindi a un ritmo molto contenuto, l’attaccante di solito riesce a guadagnare i diritti di accesso al sito WordPress preso di mira in un tempo compreso tra poche ore e una settimana.
L’unico requisito per sferrare l’aggressione consiste nel conoscere l’identificativo corrispondente a un account utente WordPress dotato dei privilegi di amministratore.
Quali informazioni ci restituisce la nuova scoperta
Ancora una volta, l’incidente occorso al plugin LiteSpeed Cache WordPress fa riflettere sull’importanza di installare tempestivamente gli aggiornamenti per i plugin WordPress. Vulnerabilità, la cui presenta appare generalmente insospettabile, possono infatti esporre a rischi di aggressione l’intero sito Web.
Se da un lato resta fondamentale ridurre l’installazione dei plugin WordPress al minimo indispensabile, dall’altro è essenziale seguire gli aggiornamenti rilasciati dai vari sviluppatori software e tenere d’occhio il contenuto dei changelog, in modo tale da verificare che non siano presenti riferimenti importanti alla risoluzione di problematiche di sicurezza.
È altamente probabile che la falla individuata in LiteSpeed Cache WordPress possa a questo punto essere utilizzata per condurre attacchi su vasta scala o aggressioni mirate. La possibilità di “prendere il timone” di un numero incalcolabile di siti Web è un’opportunità troppo ghiotta per una vasta schiera di criminali informatici.
A giugno 2024, Wordfence Threat Intelligence segnalava che un gruppo di malintenzionati era riuscito ad inserire delle backdoor all’interno di almeno 5 plugin per WordPress, aggiungendo pericolosi script PHP per la creazione di account amministrativi a distanza.