محققان امنیت سایبری در اواخر ماه آگوست، یک آسیب پذیری مهم (CVE-2024-28000) را در پلاگین LiteSpeed Cache وردپرس (لایت اسپید کش یا LSCWP) شناسایی کردند که میتوانست به کاربران احراز هویت نشده اجازه دهد تا سطح دسترسی admin را بدست آورند.
اکنون در ماه سپتامبر نیز گزارش شده است که یک آسیب پذیری مهم دیگر در LiteSpeed Cache، کشف شده است که بیش از ۶ میلیون سایت وردپرس را در معرض خطر هک شدن قرار میدهد!
LiteSpeed Cache یکی از پرکاربردترین و محبوبترین افزونههای کش در وردپرس است که برای بهبود عملکرد وب سایت استفاده میشود و دارای بیش از 5 میلیون نصب فعل میباشد.
این آسیب پذیری که با شناسه CVE-2024-44000 دنبال میشود، به عنوان یک باگ “تصاحب یا کنترل کامل حساب کاربری احراز هویت نشده” طبقهبندی شده است. CVE-2024-44000 توسط رفیع محمد از Patchstack در 22 آگوست 2024 کشف گردید و در چهارم سپتامبر، نسخه ۶.۵.۰.۱ برای پچ این آسیب پذیری منتشر شد.
ویژگی Debug (دیباگ)، کوکیها را در فایل مینویسد
این آسیب پذیری به ویژگی ثبت لاگ دیباگ (debug logging) افزونه مرتبط است، که تمام هدرهای پاسخ HTTP از جمله هدر “Set-Cookie” را در صورت فعال بودن در یک فایل ثبت میکند.
این هدرها حاوی کوکیهای نشست هستند که برای احراز هویت کاربران استفاده میشوند، بنابراین اگر مهاجم بتواند آنها را برباید، آنگاه خواهد توانست هویت یک کاربر admin را جعل کند و کنترل کامل سایت را در دست بگیرد.
برای سوء استفاده از این نقص، یک مهاجم باید بتواند به فایل لاگ دیباگ در ” /wp-content/debug.log ” دسترسی داشته باشد. چنانچه هیچ محدودیتی برای دسترسی به این فایل (مانند قوانین htaccess.) اعمال نشده باشد، این دسترسی به سادگی با وارد کردن URL صحیح فراهم خواهد شد.
فروشنده این افزونه، LiteSpeed Technologies، با انتقال لاگ دیباگ به یک پوشه اختصاصی (/wp-content/litespeed/debug/)، تصادفی کردن نام فایلهای لاگ، حذف گزینه ثبت کوکیها و افزودن یک فایل ایندکس ساختگی (تصنعی) برای محافظت بیشتر، این مشکل را برطرف کرده است.
به کاربران LiteSpeed Cache توصیه میشود هرچه سریعتر نسخه به روزرسانی را دریافت و تمام فایلهای “debug.log” را از سرورهای خود پاک کنند تا کوکیهای نشست بالقوه معتبری که ممکن است توسط هکرها ربوده شوند، حذف گردند.
از سوی دیگر میبایست، یک قانون htaccess. برای جلوگیری از دسترسی مستقیم به فایلهای لاگ تنظیم کرد، چرا که نامهای تصادفی در سیستم جدید هنوز ممکن است از طریق تلاشهای متعدد/ brute-force حدس زده شوند.
