سواستفاده هکرها از نقض امنیتی LiteSpeed Cache برای ایجاد اکانت admin در وردپرس

هکرها سایت های وردپرس را با نسخه قدیمی افزونه LiteSpeed Cache هدف قرار داده اند تا کاربران سطح بالا ایجاد کنند و کنترل وب سایت ها را به دست آورند.

LiteSpeed Cache (LS Cache) به عنوان یک افزونه ذخیره سازی که در بیش از پنج میلیون سایت از این افزونه استفاده میکنند تبلیغ می شود که به افزایش سرعت بارگذاری صفحه، بهبود تجربه بازدیدکنندگان و افزایش رتبه جستجوی گوگل کمک می کند.

تیم امنیتی wpscan ، در ماه آوریل مشاهده کرده اند که فعالیت هکرها زیاد شده و آن ها در حال اسکن و در معرض خطر قرار دادن سایت‌های وردپرس با نسخه‌های قدیمی‌تر از 5.7.0.1 است که در معرض آسیب‌پذیری سطح بالا (8.8) می باشند. هکرها آسیب پذیری XSS را بررسی کرده اند. این آسیب پذیری به CVE-2023-40000 شناخته می شود.

از یک آدرس IP، 94[.]102[.]51[.]144، بیش از 1.2 میلیون درخواست کاوش در هنگام اسکن برای سایت‌های آسیب‌پذیر وجود داشت.

WPScan گزارش می‌دهد که این حملات از کد جاوا اسکریپت مخربی استفاده می‌کنند که به فایل‌های حیاتی وردپرس یا پایگاه داده تزریق می‌شود و کاربران سرپرستی با نام «wps app-user» یا «wp-config user» ایجاد می‌کنند. یکی دیگر از نشانه های آلودگی وجود رشته «eval(atob(Strings.fromCharCode» در گزینه «litespeed.admin display.messages» در پایگاه داده است.

بخش بزرگی از کاربران LiteSpeed Cache به نسخه‌های جدیدتر مهاجرت کرده‌اند که تحت تأثیر CVE-2023-40000 قرار نگرفته‌اند، اما تعداد قابل توجهی، تا 1،835،000، هنوز نسخه‌های آسیب‌پذیر را اجرا می‌کنند.

افزونه Targeting Email Subscribers

توانایی ایجاد حساب‌های مدیریت در سایت‌های وردپرس به مهاجمان کنترل کامل بر وب‌سایت را می‌دهد و به آن‌ها اجازه می‌دهد محتوا و افزونه ها و تنظیمات مهم را تغییر دهند و همچنین ترافیک را به سایت‌های ناامن هدایت کنند، بدافزارها را توزیع کنند، فیشینگ یا داده‌های موجود کاربر را سرقت کنند.

در ابتدای هفته، Wallarm در مورد کمپین دیگری گزارش داد که یک پلاگین وردپرس به نام “Email Subscribers” را برای ایجاد حساب های مدیر هدف قرار می دهد.

هکرها از CVE-2024-2876 استفاده می‌کنند، و یک آسیب پذیری بسیار مهم SQL Injection با سطح دسترسی Critical و امتیاز 9.8 استفاده میکنند که بر نسخه‌های 5.7.14 و بالاتر افزونه تأثیر می‌گذارد. اگرچه «مشترک‌های ایمیل» به مراتب کمتر از LiteSpeed Cache محبوب است و در مجموع 90000 نصب فعال دارد، حملات مشاهده شده نشان می‌دهد که هکرها از هیچ فرصتی دوری نمی‌کنند.

به مدیران سایت وردپرس توصیه می‌شود که افزونه‌ها را به آخرین نسخه به‌روزرسانی کنند، مؤلفه‌هایی را که لازم نیست حذف یا غیرفعال کنند و حساب‌های مدیریت جدید ایجاد شده را نظارت کنند.