I ricercatori in ambito di sicurezza informatica hanno rivelato una grave vulnerabilità di sicurezza nel plugin LiteSpeed Cache per WordPress che potrebbe consentire agli utenti non autenticati di ottenere privilegi di amministratore.
Oltre a LiteSpeed Cache, va segnalato che (purtroppo), la piattaforma non è nuova ad altri tipi di abusi da parte di criminali informatici.
LiteSpeed Cache: quali sono i problemi che si porta dietro
“Il plugin soffre di una vulnerabilità di escalation dei privilegi non autenticata che consente a qualsiasi visitatore non autenticato di ottenere l’accesso a livello di Amministratore, dopo di che plugin dannosi potrebbero essere caricati e installati“, ha dichiarato Rafie Muhammad di Patchstack in un rapporto pubblicato mercoledì.
La vulnerabilità, identificata come CVE-2024-28000 (punteggio CVSS: 9.8), è stata corretta nella versione 6.4 del plugin, rilasciata il 13 agosto 2024 e questa vulnerabilità interessa tutte le versioni del plugin, inclusa la 6.3.0.1 e precedenti.
LiteSpeed Cache è uno dei plugin di caching più utilizzati su WordPress, con oltre cinque milioni di installazioni attive.
Quali sono le problematiche alle quali si andava incontro con le precedenti versioni di LiteSpeed Cache
In poche parole, CVE-2024-28000 rende possibile per un attaccante non autenticato falsificare il proprio ID utente e registrarsi come utente con privilegi di amministratore, concedendo di fatto la possibilità di prendere il controllo di un sito WordPress vulnerabile.
La vulnerabilità è radicata in una funzione di simulazione utente nel plugin che utilizza un hash di sicurezza debole, che soffre dell’uso di un numero casuale facilmente indovinabile come seme.
In particolare, ci sono solo un milione di valori possibili per l’hash di sicurezza a causa del fatto che il generatore di numeri casuali deriva dalla porzione in microsecondi del tempo corrente. Inoltre, il generatore di numeri casuali non è criptograficamente sicuro e l’hash generato non è né salato né legato a una particolare richiesta o a un utente.
Breve funzionamento, a livello tecnico, del plugin WordPress LiteSpeed Cache
“Ciò è dovuto al fatto che il plugin non limita correttamente la funzionalità di simulazione dei ruoli, permettendo a un utente di impostare il proprio ID corrente a quello di un amministratore, se ha accesso a un hash valido che può essere trovato nei log di debug o tramite brute force“, ha dichiarato Wordfence in un proprio avviso.
Wordfence ha poi aggiunto che: “questo rende possibile per attaccanti non autenticati falsificare il proprio ID utente a quello di un amministratore e quindi creare un nuovo account utente con il ruolo di amministratore utilizzando l’endpoint REST API /wp-json/wp/v2/users.“
Sorpresa! Il plugin LiteSpeed Cache non è implementato su Windows
È importante notare che la vulnerabilità non può essere sfruttata su installazioni di WordPress basate su Windows a causa della dipendenza della funzione di generazione dell’hash da un metodo PHP chiamato sys_getloadavg(), che non è implementato su Windows.
“Questa vulnerabilità evidenzia l’importanza critica di garantire la forza e l’imprevedibilità dei valori utilizzati come hash di sicurezza o nonce“, ha affermato Muhammad.
Ciò significa che in questo caso specifico sono vulnerabili i sistemi operativi basati su Linux, piuttosto che i sistemi operativi come Windows 10 o Windows 11; va comunque rimarcato che la vulnerabilità relativa a questo plugin è stata preventivamente corretta prima che potesse arrecare danni a livello informatico.
Con una precedente vulnerabilità rivelata in LiteSpeed Cache (CVE-2023-40000, punteggio CVSS: 8.3) sfruttata da attori malevoli, è imperativo che gli utenti aggiornino rapidamente le loro istanze alla versione più recente.
La “paura” degli aggiornamenti
È spesso associato a sistemi operativi Windows che gli aggiornamenti possano dare problemi, e in alcuni casi, è vero; va però detto che nella stragrande maggioranza dei casi non farli è peggio (salvo diversa segnalazione della casa di sviluppo).
Da segnalare poi che questo non vale solo per Windows e che questo plugin buggato di fatto non lo colpisce.