Um bug de severidade crítica foi recentemente descoberto no LiteSpeed Cache, um plugin amplamente utilizado para acelerar a navegação em mais de 6 milhões de sites WordPress. Esta vulnerabilidade, identificada como CVE-2024-44000 e classificada como uma falha de tomada de controlo de conta não autenticada, foi revelada por Rafie Muhammad da Patchstack no dia 22 de agosto de 2024. A correção para este problema foi disponibilizada ontem com o lançamento da versão 6.5.0.1 do LiteSpeed Cache.
14.1 “, 16GB RAM, 2TB SSD, Notebook Intel N3700, Gamer, Display 1920×1080, Escritório, Computador de Estudo, PC
Vulnerabilidade Explorada Através da Função de Depuração
A falha está relacionada com a função de registo de depuração do plugin, que armazena todos os cabeçalhos de resposta HTTP, incluindo o cabeçalho “Set-Cookie”, num ficheiro quando ativada. Estes cabeçalhos contêm cookies de sessão usados para autenticar utilizadores, o que significa que, se um atacante conseguir roubá-los, poderá assumir o controlo total do site como se fosse um administrador.
Para explorar esta vulnerabilidade, o atacante precisa ter acesso ao ficheiro de registo de depuração em ‘/wp-content/debug.log.’ Sem restrições de acesso ao ficheiro (como regras .htaccess), é possível obter o acesso simplesmente inserindo a URL correta. Embora o atacante apenas possa roubar cookies de sessão de utilizadores que estiveram autenticados enquanto a função de depuração estava ativa, isso inclui também eventos de login antigos, caso os registos sejam mantidos indefinidamente e não sejam eliminados periodicamente.
A LiteSpeed Technologies, desenvolvedora do plugin, respondeu ao problema movendo o registo de depuração para uma pasta dedicada (‘/wp-content/litespeed/debug/’), randomizando os nomes dos ficheiros de registo, removendo a opção de registar cookies e adicionando um ficheiro de índice fictício para proteção adicional. É aconselhado aos utilizadores do LiteSpeed Cache que eliminem todos os ficheiros ‘debug.log’ dos seus servidores para remover cookies de sessão potencialmente válidos que poderiam ser roubados por atores maliciosos. Além disso, deve ser estabelecida uma regra .htaccess para negar o acesso direto aos ficheiros de registo, uma vez que os nomes randomizados podem ainda ser adivinhados através de múltiplas tentativas ou força bruta.
LiteSpeed Cache Sob Fogo Intenso
Este plugin tem estado no centro das atenções da pesquisa de segurança recentemente, devido à sua enorme popularidade e ao constante interesse de hackers em explorar vulnerabilidades para atacar sites. Em maio de 2024, foi observado que hackers estavam a atacar uma versão desatualizada do plugin, afetada por uma falha de cross-site scripting não autenticada identificada como CVE-2023-40000, para criar utilizadores administradores e tomar controlo de sites.
Mais recentemente, no dia 21 de agosto de 2024, foi descoberta uma grave vulnerabilidade de escalonamento de privilégios não autenticada identificada como CVE-2024-28000, com os investigadores a alertarem para a facilidade de exploração. Apenas algumas horas após a divulgação da falha, os atores maliciosos começaram a atacar sites em massa, com o Wordfence a relatar o bloqueio de quase 50.000 ataques. Hoje, duas semanas após a divulgação inicial, o mesmo portal reporta 340.000 ataques nas últimas 24 horas.
Atualização Imediata Requerida
Com mais de 375.000 utilizadores a descarregar o LiteSpeed Cache no dia do lançamento da versão 6.5.0.1, o número de sites ainda vulneráveis a estes ataques pode superar os 5,6 milhões. Os administradores de sites são aconselhados a agir rapidamente para proteger as suas plataformas e evitar potenciais compromissos de segurança.