Una versión anterior de LiteSpeed Cache, un complemento popular para WordPress Creador de sitios webes vulnerable a una falla de alta gravedad que los piratas informáticos han estado explotando cada vez más.
La falla se describe como una vulnerabilidad de secuencias de comandos entre sitios no autenticada y se rastrea como CVE-2023-40000. Tiene una puntuación de gravedad de 8,8.
Al agregar código JavaScript malicioso directamente a los archivos de WordPress a través del complemento, los atacantes pueden crear nuevas cuentas de administrador y, en esencia, apoderarse por completo del sitio web. Las cuentas de administrador se pueden utilizar para modificar el contenido del sitio, agregar o eliminar complementos o cambiar diferentes configuraciones. Las víctimas pueden ser redirigidas a sitios web maliciosos, mostrarles publicidad maliciosa o tomar sus datos confidenciales de usuario.
Mitigaciones y correcciones
La falla fue descubierta por WPScan, un proyecto de ciberseguridad que sirve como base de datos de vulnerabilidad empresarial para WordPress. Sus investigadores observaron una mayor actividad de diferentes grupos de hackers, mientras escanean Internet en busca de sitios de WordPress comprometidos. Todos estos ejecutan LiteSpeed Cache versión 5.7.0.1 o anterior. La versión actual es 6.2.0.1 y se considera inmune a este defecto.
Se dijo que un actor de amenazas realizó más de un millón de solicitudes de investigación solo en abril de 2024.
Supuestamente, LiteSpeed Cache tiene más de cinco millones de usuarios activos, de los cuales aproximadamente dos millones (1.835.000) utilizan la variante vulnerable y desactualizada.
LiteSpeed Cache es un complemento que promete tiempos de carga de página más rápidos, una mejor experiencia de usuario y mejoras Google Posiciones de la página de resultados de búsqueda.
Se recomienda a aquellos que temen ser atacados que actualicen sus complementos a la última versión lo antes posible. Además, deben desinstalar todos los complementos y temas que no estén utilizando activamente y eliminar todos los archivos y carpetas sospechosos.
Aquellos que sospechen que ya pueden haber sido atacados, deberían buscar cadenas sospechosas en la base de datos: «Buscar en [the] base de datos para cadenas sospechosas como ‘eval(atob(Strings.fromCharCode'», dijo WPScan. «Específicamente en la opción litespeed.admin_display.messages».
A través de pitidocomputadora