LiteSpeed Cache は、何百万もの WordPress Web サイト管理者がページの読み込み時間とユーザー エクスペリエンスを向上させるために使用しているプラグインです。
しかしWPScan がエクスプロイトのフラグを立てた(CVE-2023-40000) プラグインの古いバージョンでは、ハッカーが Web サイトを完全に制御するために使用できる可能性があります。
CVSS スコア 8.3 は、深刻な脆弱性であることを示しています。ハッカーは実際の管理者になりすましてサイトを制御する可能性があります。
LiteSpeed はバージョン 5.7.0.1 でこの脆弱性を修正しましたが、180 万人を超えるユーザーがまだプラグインをアップグレードしていません。
脆弱性の詳細
CVE-2023-40000 は、昨年 2023 年 10 月にフラグが立てられ、ストアド クロスサイト スクリプティングに使用される可能性があります。
ハッカーはこのエクスプロイトを利用して、ユーザー アカウントに管理者権限を付与し、Web サイトを制御する可能性があります。
「WordPress 用プラグインは、入力のサニタイズと出力のエスケープが不十分であるため、「nameservers」および「_msg」パラメータを介したストアド クロスサイト スクリプティングに対して脆弱であり、認証されていない攻撃者が、ユーザーがアクセスするたびに実行される任意の Web スクリプトをページに挿入できるようになります。挿入されたページ。」 WPScanはその中で述べた。ブログ投稿。
このセキュリティ調査会社は、このマルウェアが WordPress のコア ファイルにコードを挿入することも共有しました。 94.102.51.144 からの 1,232,810 件のリクエストと、31.43.191.220 IP アドレスからの 70,472 件のリクエストをそれぞれ検出しました。
どちらの IP アドレスも、古いバージョンの LiteSpeed Cache プラグインがインストールされている既存の WordPress サイトを Web で検索していました。 LiteSpeed Cache には 500 万人を超えるユーザーがおり、そのうち 3 分の 1 はプラグインのパッチ適用済みバージョンにアップグレードしていません。
Web サイト上の異常なトラフィックに気づき、「wpsupp?user」または「wp?configuser」という名前の管理者ユーザーが見つかった場合、Web サイトはすでに侵害されています。
また、データベースで「eval(atob(Strings.fromCharCode」など) のような疑わしい文字列を検索し、45.150.67.235 などの IP アドレスからのリクエストに注意することもできます。
サイトが影響を受けた場合の解決策は何ですか?
マルウェアの侵入を除去するには、以前のサイトのバックアップを使用する必要があります。予防策として、WordPress Web サイトにインストールされているプラグインを確認してください。
LiteSpeed Cache を含む、利用可能なすべてのプラグイン更新と保留中のプラグイン更新が手動でインストールされていることを確認します。
