باگ LiteSpeed Cache میلیون‌ها وب‌سایت وردپرسی را درمعرض خطر قرار می‌دهد

01

از 02

ویژگی اشکال‌زدایی و ثبت کوکی‌ها در فایل

بلیپینگ‌کامپیوتر می‌نویسد که این آسیب‌پذیری با قابلیت ثبت وقایع اشکال‌زدایی (Debug Logging) در افزونه مرتبط است. زمانی‌که این قابلیت فعال باشد، تمام سربرگ‌های پاسخ HTTP، شامل سربرگ Set-Cookie در یک فایل ثبت می‌شوند. این سربرگ‌ها شامل Session Cookies استفاده‌شده برای احراز هویت کاربران هستند. بنابراین، در‌صورت سرقت این کوکی‌ها مهاجم می‌تواند با جعل هویت کاربر مدیر، کنترل کامل وب‌سایت را به‌دست بگیرد.

برای سوء‌استفاده از این باگ، مهاجم باید بتواند به فایل ثبت وقایع اشکال‌زدایی در مسیر /wp-content/debug.log دسترسی پیدا کند. در‌صورتی‌که محدودیتی برای دسترسی به فایل (مانند قوانین .htaccess) اعمال نشده باشد، این دسترسی با وارد‌کردن URL صحیح به‌سادگی امکان‌پذیر است.

مهاجم فقط می‌تواند Session Cookies کاربرانی را سرقت کند که حین فعال‌بودن قابلیت اشکال‌زدایی وارد وب‌سایت شده‌اند. این سرقت حتی شامل وقایع ورود به سیستم در گذشته نیز می‌شود؛ به‌شرطی که لاگ‌ها به‌طور نامحدود نگه‌داری شوند و به‌صورت دوره‌ای پاک‌سازی نشوند.

توسعه‌دهنده‌ی پلاگین، شرکت LiteSpeed Technologies، با جابه‌جایی لاگ اشکال‌زدایی به پوشه‌ی اختصاصی (/wp-content/litespeed/debug/)، استفاده از نام‌های تصادفی برای فایل‌های لاگ و حذف گزینه‌ی ثبت کوکی‌ها و افزودن فایل فهرست (Index) برای محافظت بیشتر به این مشکل رسیدگی کرده است.

به کاربران LiteSpeed Cache توصیه می‌شود تا تمام فایل‌های debug.log را از سرورهای خود پاک‌سازی کنند تا Session Cookies بالقوه معتبر حذف شوند که ممکن است مهاجمان آن را سرقت کنند.

همچنین، باید قانون .htaccess برای جلوگیری از دسترسی مستقیم به فایل‌های لاگ تنظیم شود؛ زیرا حتی با وجود نام‌های تصادفی در سیستم جدید، امکان حدس‌زدن نام‌ها از‌طریق تلاش‌های متعدد (Brute-Forcing) وجود دارد.

وب‌سایت وردپرس گزارش می‌دهد که کمی بیش از ۳۷۵ هزار کاربر روز گذشته (هم‌زمان با انتشار نسخه‌ی ۶.۵.۰.۱) پلاگین LiteSpeed Cache را دانلود کرده‌اند. بنابراین، تعداد وب‌سایت‌های باقی‌مانده در‌معرض این حملات ممکن است از ۵/۶ میلیون فراتر رود.

02

از 02

حملات علیه LiteSpeed Cache

افزونه‌ی LiteSpeed Cache به‌دلیل محبوبیت گسترده خود و تلاش مستمر هکرها برای یافتن فرصت‌های حمله به وب‌سایت‌ها ازطریق آن، اخیراً در مرکز تحقیقات امنیتی قرار گرفته است. می ۲۰۲۴، هکرها با سوءاستفاده از آسیب‌پذیری تزریق اسکریپت بین‌سایتی (XSS) بدون نیاز به احراز هویت (CVE-2023-40000)، نسخه‌ی قدیمی افزونه را هدف قرار دادند و کاربر ادمین ایجاد کردند و در‌نتیجه، کنترل کامل وب‌سایت‌ها را در دست گرفتند.

در ۲۱ آگوست ۲۰۲۴، آسیب‌پذیری بحرانی دیگری با شناسه‌ی CVE-2024-28000 کشف شد که به مهاجمان امکان افزایش سطح دسترسی را بدون نیاز به احراز هویت می‌داد. محققان با تأکید بر سهولت بهره‌برداری از این آسیب‌پذیری، درباره‌ی خطرات جدی آن هشدار دادند.

در کمتر از چند ساعت پس از افشای عمومی این آسیب‌پذیری، حملات گسترده‌ای به وب‌سایت‌ها آغاز شد. به‌گفته‌ی Wordfence، این شرکت موفق شده است نزدیک به ۵۰ هزار حمله را مسدود کند. اکنون دو هفته از افشای اولیه می‌گذرد و این پورتال گزارش می‌دهد که در ۲۴ ساعت گذشته، بیش از ۳۴۰ هزار حمله را دفع کرده است.