Một lỗ hổng nghiêm trọng cao ảnh hưởng đến plugin LiteSpeed Cache cho WordPress đang được các tác nhân đe dọa tích cực khai thác để tạo tài khoản quản trị giả mạo trên các trang web nhạy cảm.
Các phát hiện đến từ WPScan, cho biết lỗ hổng (CVE-2023-40000, điểm CVSS: 8.3) đã được tận dụng để thiết lập người dùng quản trị viên không có thật với tên wpsupp-user và wp-configuser.
CVE-2023-40000, được Patchstack tiết lộ vào tháng 2 năm 2024, là một lỗ hổng tập lệnh chéo trang (XSS) được lưu trữ có thể cho phép người dùng chưa được xác thực nâng cao đặc quyền bằng các yêu cầu HTTP được tạo đặc biệt.
Lỗ hổng đã được giải quyết vào tháng 10/2023 trong phiên bản 5.7.0.1. Điều đáng chú ý là phiên bản mới nhất của plugin là 6.2.0.1, được phát hành vào ngày 25 tháng 4 năm 2024.
LiteSpeed Cache có hơn 5 triệu lượt cài đặt đang hoạt động, với số liệu thống kê cho thấy các phiên bản khác ngoài 5.7, 6.0, 6.1 và 6.2 vẫn hoạt động trên 16.8% tất cả các trang web.
Theo công ty thuộc sở hữu của Automattic, phần mềm độc hại thường tiêm vào các tệp WordPress mã JavaScript được lưu trữ trên các tên miền như dns.startservicefounds. com và api.startservicefounds[.] Com.
Tạo tài khoản quản trị trên các trang web WordPress có thể gây ra hậu quả nghiêm trọng, vì nó cho phép tác nhân đe dọa giành toàn quyền kiểm soát trang web và thực hiện các hành động tùy ý, từ tiêm phần mềm độc hại đến cài đặt các plugin độc hại.
Để giảm thiểu các mối đe dọa tiềm ẩn, người dùng nên áp dụng các bản sửa lỗi mới nhất, xem lại tất cả các plugin đã cài đặt và xóa mọi tệp và thư mục đáng ngờ.
"Tìm kiếm trong cơ sở dữ liệu các chuỗi đáng ngờ như 'eval(atob(Strings.fromCharCode,'" WPScan nói, "cụ thể trong tùy chọn litespeed.admin_display.messages."
Sự phát triển này diễn ra khi Sucuri tiết lộ một chiến dịch lừa đảo chuyển hướng có tên Mal.Metrica trên các trang web WordPress bị nhiễm sử dụng lời nhắc xác minh CAPTCHA giả mạo để đưa người dùng đến các trang web lừa đảo và không mong muốn, được thiết kế để tải xuống phần mềm sơ sài hoặc lôi kéo nạn nhân cung cấp thông tin cá nhân dưới vỏ bọc gửi phần thưởng.
"Mặc dù lời nhắc này có vẻ giống như một cuộc kiểm tra xác minh thông thường của con người, nhưng nó thực sự hoàn toàn giả mạo - và thay vào đó cố gắng lừa người dùng nhấp vào nút, từ đó bắt đầu chuyển hướng đến các trang web độc hại và lừa đảo", nhà nghiên cứu bảo mật Ben Martin nói.
Giống như Balada Injector, hoạt động này tận dụng các lỗ hổng bảo mật được tiết lộ gần đây trong các plugin WordPress để chèn các tập lệnh bên ngoài mạo danh CDN hoặc dịch vụ phân tích trang web. Có tới 17.449 trang web đã bị xâm phạm với Mal.Metrica cho đến nay vào năm 2024.