“Black Hat Hackers” (Actores de amenazas) están explotando una vulnerabilidad crítica en el complemento LiteSpeed Cache para WordPress, permitiendo tomar control de sitios web. Investigadores de WPScan informaron que esta vulnerabilidad de alta gravedad está siendo aprovechada activamente.
LiteSpeed Cache para WordPress (LSCWP) es un complemento integral de aceleración de sitios que incluye una caché a nivel de servidor y un conjunto de características de optimización. Este complemento cuenta con más de 5 millones de instalaciones activas. La vulnerabilidad, identificada como CVE-2023-40000 con un puntaje CVSS de 8.3, se refiere a la Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (‘Cross-site Scripting’ o XSS), permitiendo un XSS almacenado.
Los atacantes han explotado esta vulnerabilidad para crear cuentas de administrador falsas en sitios vulnerables, bajo los nombres de usuario wpsupp‑user y wp‑configuser. Al crear cuentas de administrador, los actores de amenazas pueden obtener control total sobre el sitio web. Patchstack descubrió la vulnerabilidad de XSS almacenado en febrero de 2024.
Un usuario no autenticado puede explotar esta vulnerabilidad para elevar privilegios mediante solicitudes HTTP especialmente diseñadas. WPScan reportó que los actores de amenazas podrían inyectar un script malicioso en versiones vulnerables del complemento LiteSpeed. Los investigadores observaron un aumento en el acceso a una URL maliciosa el 2 y el 27 de abril.
Las direcciones IP más comunes que probablemente estaban escaneando sitios vulnerables fueron 94.102.51.144, con 1,232,810 solicitudes, y 31.43.191.220, con 70,472 solicitudes.
La vulnerabilidad se corrigió en octubre de 2023 con la liberación de la versión 5.7.0.1.
Los investigadores proporcionaron indicadores de compromiso para estos ataques, incluyendo URLs maliciosas involucradas en la campaña: https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, y https[:]//cache[.]cloudswiftcdn[.]com. También recomiendan estar alerta a IPs asociadas con el malware, como 45.150.67.235.
Fuente(s) :