Plugin-ul LiteSpeed Cache (LS Cache) este folosit în peste cinci milioane de site-uri WordPress pentru a accelera încărcarea paginilor, îmbunătăți experiența vizitatorilor și crește poziționarea în căutările Google.
Echipa de securitate Automattic, WPScan, a observat în aprilie o creștere a activității din partea hackerilor care scanează și compromit site-uri WordPress cu versiuni mai vechi ale plugin-ului, anterioare versiunii 5.7.0.1, care sunt vulnerabile la o problemă de securitate de înaltă gravitate (8.8), denumită CVE-2023-40000.
Atacurile utilizează cod JavaScript malign injectat în fișierele critice WordPress sau în baza de date, creând utilizatori administratori cu numele ‘wpsupp‑user’ sau ‘wp‑configuser’.
Un alt semn al infectării este prezența șirului „eval(atob(Strings.fromCharCode” în opțiunea „litespeed.admin_display.messages” din baza de date.
O parte semnificativă dintre utilizatorii LiteSpeed Cache s-au mutat la versiuni mai recente care nu sunt afectate de CVE-2023-40000, dar un număr semnificativ, de până la 1.835.000, încă rulează o versiune vulnerabilă.
Capacitatea de a crea conturi de administrator pe site-urile WordPress oferă atacatorilor control total asupra site-ului, permițându-le să modifice conținutul, să instaleze plugin-uri, să schimbe setări critice, să redirecționeze traficul către site-uri nesigure, să distribuie malware, să facă phishing sau să fure date disponibile ale utilizatorilor.
La începutul săptămânii, Wallarm a raportat despre o altă campanie care vizează un plugin WordPress numit „Email Subscribers” pentru a crea conturi de administrator.
Atacatorii exploatează CVE-2024-2876, o vulnerabilitate critică de injecție SQL cu un scor de severitate de 9.8/10, care afectează versiunile plugin-ului 5.7.14 și mai vechi.
Administratorii site-urilor WordPress sunt sfătuiți să actualizeze plugin-urile la cea mai recentă versiune, să elimine sau să dezactiveze componente care nu sunt necesare și să monitorizeze crearea de noi conturi de administrator.
Este obligatoriu un proces complet de curățare a site-ului în cazul unei încălcări confirmate. Acest proces presupune ștergerea tuturor conturilor false, resetarea parolelor pentru toate conturile existente și restaurarea bazei de date și a fișierelor site-ului din copiile de siguranță curate.