近日，Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中發現了一個嚴重漏洞，該插件主要用于加快超 600 萬個 WordPress 網站的用戶瀏覽速度。該漏洞被追蹤為 CVE-2024-44000，并被歸類為未經身份驗證的帳戶接管問題 。隨著 LiteSpeed Cache 6.5.0.1 版本的發布，修復程序也于昨天（9月4日）發布。

調試功能將 cookie 寫入文件

該漏洞與插件的調試日志功能有關，當啟用該功能時，它會將所有 HTTP 響應頭（包括 “Set-Cookie ”頭）記錄到文件中。

這些標頭包含用于驗證用戶身份的會話 cookie，一旦攻擊者成功竊取這些 cookie，就可以冒充管理員用戶完全控制網站。

要利用該漏洞，攻擊者必須能夠訪問“/wp-content/debug.log ”中的調試日志文件。在未實施文件訪問限制（如 .htaccess 規則）的情況下，只需輸入正確的 URL 即可。

當然，攻擊者只能竊取在調試功能激活時登錄網站的用戶的會話 cookie，但如果日志被無限期保存而不是定期清除，這甚至包括過去的登錄事件。

該插件的供應商 LiteSpeed Technologies 通過將調試日志移至專用文件夾（'/wp-content/litespeed/debug/'）、隨機化日志文件名、移除記錄 Cookie 的選項，以及添加一個虛假索引文件以提供額外保護，解決了這一問題。

建議 LiteSpeed Cache 用戶清除其服務器上的所有 “debug.log ”文件，以刪除可能被威脅行為者竊取的潛在有效會話 cookie。

此外，還應設置 .htaccess 規則，拒絕直接訪問日志文件，因為新系統上的隨機名稱仍可能通過暴力破解來猜測。

WordPress.org報告稱，昨天，也就是v6.5.0.1發布的當天，下載LiteSpeed Cache的用戶剛剛超過37.5萬，因此易受這些攻擊影響的網站數量可能超過560萬。

受到攻擊的 LiteSpeed Cache

LiteSpeed Cache 插件漏洞因其廣泛的影響力成為了近期安全研究人員的重點研究對象。與此同時，黑客們一直在尋找機會通過利用該漏洞對網站發起攻擊。

2024 年 5 月，有人發現黑客利用該插件的一個過時版本（受跟蹤為 CVE-2023-40000 的未驗證跨站腳本缺陷影響）創建管理員用戶并控制網站。

今年 8 月 21 日，研究人員又發現了一個關鍵的未經身份驗證的權限升級漏洞，該漏洞被追蹤為 CVE-2024-28000，研究人員對利用該漏洞的難度敲響了警鐘。

該漏洞披露后僅幾個小時，威脅者就開始大規模攻擊網站，Wordfence 報告稱阻止了近 5萬次攻擊。

據統計，在過去的 24 小時內，因其漏洞導致的攻擊次數達到了 34 萬次。

原文來源：FreeBuf