WordPress için LiteSpeed Cache eklentisini etkileyen yüksek ciddiyetli bir kusur, tehdit aktörleri tarafından hassas web sitelerinde sahte yönetici hesapları oluşturmak için aktif olarak istismar ediliyor.
WPScan tarafından elde edilen bulgulara göre söz konusu güvenlik açığından (CVE-2023-40000, CVSS skoru: 8.3) yararlanılarak wpsupp-user ve wp-configuser adlarıyla sahte yönetici kullanıcıları oluşturuluyor.
Patchstack tarafından Şubat 2024’te ifşa edilen CVE-2023-40000, kimliği doğrulanmamış bir kullanıcının özel olarak hazırlanmış HTTP istekleri aracılığıyla ayrıcalıklarını yükseltmesine izin verebilecek depolanmış bir siteler arası komut dosyası oluşturma (XSS) güvenlik açığıdır.
Bu açık Ekim 2023’te 5.7.0.1 sürümünde giderilmiştir. Eklentinin en son sürümünün 25 Nisan 2024’te yayınlanan 6.2.0.1 olduğunu belirtmek gerekir.
LiteSpeed Cache 5 milyondan fazla aktif kuruluma sahiptir ve istatistikler 5.7, 6.0, 6.1 ve 6.2 dışındaki sürümlerin tüm web sitelerinin %16,8’inde hala aktif olduğunu göstermektedir.
Automattic’e ait şirkete göre, kötü amaçlı yazılım genellikle dns.startservicefounds[.]com ve api.startservicefounds[.]com gibi alan adlarında barındırılan WordPress dosyalarına JavaScript kodu enjekte ediyor.
WordPress sitelerinde yönetici hesapları oluşturmak, tehdit aktörünün web sitesi üzerinde tam kontrol elde etmesine ve kötü amaçlı yazılım enjekte etmekten kötü amaçlı eklentiler yüklemeye kadar keyfi eylemler gerçekleştirmesine olanak tanıdığı için ciddi sonuçlar doğurabilir.
Olası tehditleri azaltmak için kullanıcılara en son düzeltmeleri uygulamaları, yüklü tüm eklentileri gözden geçirmeleri ve şüpheli dosya ve klasörleri silmeleri tavsiye edilmektedir.
WPScan, “‘eval(atob(Strings.fromCharCode’ gibi şüpheli dizeleri [veritabanında] arayın,” dedi, “özellikle litespeed.admin_display.messages seçeneğinde.”
Bu gelişme, Sucuri’nin Mal.Metrica olarak adlandırılan ve virüs bulaşmış WordPress sitelerinde sahte CAPTCHA doğrulama istemleri kullanarak kullanıcıları hileli ve istenmeyen sitelere yönlendiren bir yönlendirme dolandırıcılığı kampanyasını ortaya çıkarmasıyla ortaya çıktı.
Güvenlik araştırmacısı Ben Martin, “Bu komut istemi rutin bir insan doğrulama kontrolü gibi görünse de aslında tamamen sahtedir ve bunun yerine kullanıcıyı düğmeye tıklaması için kandırmaya çalışmakta ve böylece kötü niyetli ve dolandırıcı web sitelerine bir yönlendirme başlatmaktadır” dedi.
Balada Injector gibi, bu faaliyet de CDN veya web analiz hizmetlerini taklit eden harici komut dosyaları enjekte etmek için WordPress eklentilerindeki yakın zamanda açıklanan güvenlik açıklarından yararlanıyor. Mal.Metrica ile 2024 yılında şu ana kadar 17.449 kadar web sitesi ele geçirildi.
