Des pirates informatiques exploitent le bug du cache LiteSpeed pour obtenir le contrôle total des sites WordPress
Une faille de haute gravité affectant le plugin LiteSpeed Cache pour WordPress est activement exploitée par des acteurs malveillants pour créer des comptes d’administrateur malveillants sur des sites Web sensibles.
Les résultats proviennent de WPScan, qui indique que la vulnérabilité ( CVE-2023-40000 , score CVSS : 8,3) a été exploitée pour configurer de faux utilisateurs administrateurs portant les noms wpsupp-user et wp-configuser.
CVE-2023-40000, qui a été divulguée par Patchstack en février 2024, est une vulnérabilité de script intersite (XSS) stockée qui pourrait permettre à un utilisateur non authentifié d’élever ses privilèges au moyen de requêtes HTTP spécialement conçues.
La faille a été corrigée en octobre 2023 dans la version 5.7.0.1. Il convient de noter que la dernière version du plugin est la 6.2.0.1, sortie le 25 avril 2024.
LiteSpeed Cache compte plus de 5 millions d’installations actives, avec des statistiques montrant que les versions autres que 5.7, 6.0, 6.1 et 6.2 sont toujours actives sur 16,8 % de tous les sites Web.
Selon la société appartenant à Automattic, les logiciels malveillants injectent généralement dans les fichiers WordPress du code JavaScript hébergé sur des domaines tels que dns.startservicefounds[.]com et api.startservicefounds[.]com.
La création de comptes d’administrateur sur les sites WordPress peut avoir de graves conséquences, car elle permet à l’acteur malveillant de prendre le contrôle total du site Web et d’effectuer des actions arbitraires, allant de l’injection de logiciels malveillants à l’installation de plugins malveillants.
/>Pour atténuer les menaces potentielles, il est conseillé aux utilisateurs d’appliquer les derniers correctifs, d’examiner tous les plugins installés et de supprimer tous les fichiers et dossiers suspects.
“Recherchez dans [la] base de données des chaînes suspectes telles que ‘eval(atob(Strings.fromCharCode'”, a déclaré WPScan, “en particulier dans l’option litespeed.admin_display.messages.”
Ce développement intervient alors que Sucuri a révélé une campagne d’arnaque de redirection baptisée Mal.Metrica sur des sites WordPress infectés qui utilise de fausses invites de vérification CAPTCHA pour diriger les utilisateurs vers des sites frauduleux et indésirables, conçus pour télécharger des logiciels sommaires ou inciter les victimes à fournir des informations personnelles sous couvert. d’envoyer des récompenses.
“Bien que cette invite ressemble à une vérification humaine de routine, elle est en réalité complètement fausse et tente plutôt d’inciter l’utilisateur à cliquer sur le bouton, initiant ainsi une redirection vers des sites Web malveillants et frauduleux”, a déclaré le chercheur en sécurité Ben Martin .
Comme Balada Injector , l’activité profite des failles de sécurité récemment révélées dans les plugins WordPress pour injecter des scripts externes qui usurpent l’identité de services CDN ou d’analyse Web. Jusqu’à présent, 17 449 sites Web ont été compromis par Mal.Metrica en 2024.
“Les propriétaires de sites Web WordPress voudront peut-être envisager d’activer les mises à jour automatiques pour les fichiers principaux, les plugins et les thèmes”, a déclaré Martin. “Les utilisateurs réguliers du Web doivent également se méfier des liens qui semblent déplacés ou suspects.”