Một lỗ hổng bảo mật nghiêm trọng (CVE-2024-28000, CVSS 9.8) trong plugin LiteSpeed Cache được sử dụng rộng rãi cho WordPress đã được tiết lộ, khiến hơn 5 triệu trang web có nguy cơ bị chiếm quyền điều khiển hoàn toàn. Lỗ hổng này cho phép kẻ tấn công không xác thực có thể leo thang quyền hạn và giành quyền truy cập quản trị, từ đó kiểm soát hoàn toàn các trang web bị ảnh hưởng.
Lỗ hổng này xuất phát từ việc triển khai không đúng tính năng “mô phỏng vai trò” trong LiteSpeed Cache, áp dụng cho các phiên bản đến và bao gồm cả phiên bản 6.3.0.1. Lỗ hổng này cho phép người dùng không xác thực giả mạo ID người dùng của họ thành ID của quản trị viên. Điều này có thể thực hiện được thông qua việc thao tác một giá trị hash được lưu trữ trong cơ sở dữ liệu, có thể tìm thấy trong các nhật ký gỡ lỗi hoặc bị tấn công brute force do độ dài ngắn và số lượng tổ hợp hạn chế.
Lỗ hổng CVE-2024-28000 chủ yếu khai thác hai chức năng chính:
- async_litespeed_handler(): Chức năng này, chịu trách nhiệm tạo ra giá trị $hash quan trọng, thiếu các kiểm tra năng lực hoặc nonce, cho phép người dùng không xác thực kích hoạt nó. Khi được kích hoạt, chức năng này mô phỏng một crawl, tạo ra một giá trị $hash được lưu trữ trong cơ sở dữ liệu.
- is_role_simulation(): Chức năng này, được kích hoạt thông qua một init hook, so sánh cookie litespeed_hash với hash được lưu trữ trong cơ sở dữ liệu. Nếu chúng khớp nhau, chức năng này sẽ sử dụng giá trị cookie litespeed_role để đặt vai trò người dùng hiện tại, có thể nâng lên mức quản trị viên.
Sự kết hợp của những lỗi này cho phép kẻ tấn công tạo ra một tài khoản quản trị viên mới bằng cách gửi yêu cầu đến endpoint REST API /wp-json/wp/v2/users, từ đó giành quyền kiểm soát hoàn toàn trang web WordPress.
Mức độ nghiêm trọng của lỗ hổng này tăng lên bởi sự đơn giản của vector tấn công. Giá trị $hash, được tạo ra bởi chức năng Str::rrand(), chỉ dài 6 ký tự và bị giới hạn ở 1.000.000 tổ hợp có thể, khiến việc tấn công brute force trở nên khả thi. Hơn nữa, hash này không bao giờ hết hạn và sử dụng so sánh lỏng lẻo, càng tạo điều kiện cho việc khai thác.
Trong môi trường mà crawler của LiteSpeed Cache bị vô hiệu hóa, vấn đề này có thể không bị khai thác. Tuy nhiên, với sự phổ biến của tính năng này và khả năng hash bị lộ qua nhật ký gỡ lỗi, mối đe dọa vẫn rất đáng kể.
Wordfence Threat Intelligence đã phát hiện và chặn 990 cuộc tấn công nhắm vào lỗ hổng này trong 24 giờ qua, nhấn mạnh tính cấp bách của tình hình.
Các quản trị viên trang web sử dụng LiteSpeed Cache được khuyến nghị cập nhật lên phiên bản mới nhất, 6.4.1, để vá lỗ hổng nghiêm trọng này. Hành động ngay lập tức là rất quan trọng vì việc khai thác lỗ hổng này có thể sẽ gia tăng.
Ngoài ra, các quản trị viên nên xem xét lại cấu hình WordPress của họ để đảm bảo rằng chế độ gỡ lỗi đã bị vô hiệu hóa trên các trang web sản xuất, do đó giảm thiểu nguy cơ lộ dữ liệu nhạy cảm. Cũng cần thực hiện các cuộc kiểm tra định kỳ các plugin và cài đặt của chúng để ngăn chặn các lỗ hổng như vậy bị khai thác.
Xem thêm
- https://securityonline.info/cve-2024-28000-active-exploitation-litespeed-cache-vulnerability/
- https://thehackernews.com/2024/08/critical-flaw-in-wordpress-litespeed.html
