Il ricercatore Rafie Muhammad di Patchstack ha scoperto lo scorso 22 agosto una nuova vulnerabilità di gravità critica in LiteSpeed Cache, un plugin di caching per accelerare la navigazione degli utenti in oltre 6 milioni di siti WordPress.
La falla CVE-2024-44000 riguarda un problema di acquisizione di account non autenticato. Il rilascio della versione 6.5.0.1 di LiteSpeed Cache corregge la vulnerabilità, ma sono ancora sei milioni i Wordpress a rischio.
Wordfence ha riferito di aver bloccato quasi 50.000 attacchi.
“La vulnerabilità scoperta nel plugin LiteSpeed Cache denota ancora una volta quanto sia importante un approccio basato sulla gestione del rischio”, commenta Enrico Morisi, ICT Security Manager. Ecco perché è importante proteggersi.
Indice degli argomenti
Wordpress a rischio attack takeover
La vulnerabilità si riferisce alla funzione di debug logging del plugin. Essa registra tutte le intestazioni delle risposte HTTP in un file, compresa l’intestazione Set-Cookie quando abilitata.
“Le attività di debug possono portare alla raccolta di informazioni anche molto dettagliate e sensibili, a seconda del livello di trace utilizzato”, spiega Morisi, “dati che devono essere adeguatamente censiti e gestiti al fine di mitigare i rischi correlati”.
Queste intestazioni contengono i cookie di sessione utilizzati per l’autenticazione degli utenti. Se un malintenzionato riesce a rubarli, può fingersi un utente amministratore, assumendo così il controllo completo del sito.
Per sfruttare la falla, un hacker deve essere in grado di accedere al file di log di debug in “/wp-content/debug.log”. Nel caso di assenza di restrizioni di accesso ai file, basta inserire l’URL corretto.
L’aggressore inoltre sarà in grado di rubare solo i cookie di sessione degli utenti che hanno effettuato l’accesso al sito, mentre la funzione di debug era attiva. Tuttavia ciò include anche gli eventi di accesso del passato se la conservazione dei registri è a tempo indeterminato e non avviene una cancellazione periodica.
I dettagli
Questo particolare plugin è al centro della ricerca sulla sicurezza negli ultimi tempi per la sua enorme popolarità. Inoltre il cyber crime è costantemente alla ricerca di opportunità per attaccare i siti web attraverso il plugin.
Lo scorso maggio hacker stavano prendendo di mira una versione obsoleta del plugin, affetta da una falla di cross-site scripting non autenticata, classificata come CVE-2023-40000, per creare utenti amministratori e prendere il controllo dei siti.
Più recentemente, il 21 agosto, è emersa una vulnerabilità critica non autenticata per scalare i privilegi: CVE-2024-28000. I ricercatori hanno subito lanciato l’allarme.
Gli attori delle minacce hanno impiegato solo poche ore dopo la divulgazione della falla prima di iniziare ad attaccare i siti in massa. Oggi invece sono passate due settimane dalla divulgazione iniziale e lo stesso portale riporta 340.000 attacchi nelle ultime 24 ore.
Come proteggere Wordpress dal rischio di attack takeover
WordPress.org riporta che poco più di 375.000 utenti hanno scaricato LiteSpeed Cache ieri, giorno in cui è avvenuto il rilascio della versione 6.5.0.1, quindi il numero di siti ancora vulnerabili a questi attacchi potrebbe superare i 5,6 milioni.
Per difendersi è possibile adottare restrizioni di accesso ai file, come le regole .htaccess. Inoltre conviene non conservare i registri a tempo indeterminato ed effettuare cancellazioni periodiche.
È infatti necessario impostare una regola .htaccess per negare l’accesso diretto ai file di log, in quanto i nomi randomizzati del nuovo sistema possono ancora essere indovinati attraverso tentativi multipli/brute-forcing.
Si raccomanda infatti agli utenti di LiteSpeed Cache di eliminare tutti i file “debug.log” dai loro server per cancellare i cookie di sessione potenzialmente validi che potrebbero essere rubati dagli attori malevoli.
“In caso di unauthenticated account takeover, sarebbe anche opportuno irrobustire i processi di autenticazione degli utenti, adottando policy basate sulle note linee guida per la Digital Identity (per esempio phishing-resistant Multi-Factor Authentication)”, avverte Morisi.
Inoltre “è di fondamentale importanza la gestione delle vulnerabilità, introducendo i processi di asset management, change management e patch management, attingendo, se possibile, anche a servizi di threat intelligence, e tenendo ben presente che non può ridursi a un vulnerability assessment, tantomeno annuale”, sottolinea Morisi, “avendo tipicamente come scopo solo una porzione della superficie di attacco, ed essendo il ciclo di vita delle vulnerabilità e degli attacchi decisamente inferiore all’arco temporale di un anno”.
Il fornitore del plugin, LiteSpeed Technologies, ha risolto il problema spostando il log di debug in una cartella dedicata (“/wp-content/litespeed/debug/”), randomizzando i nomi dei file di log, rimuovendo l’opzione di log dei cookie e aggiungendo un file di indice fittizio per una maggiore protezione.
Un approccio basato sul rischio
Serve “un approccio basato sulla gestione del rischio”, evidenzia Morisi, “su un asset inventory che sia il più possibile accurato (Data, Application, Asset, Service) sulla definizione e implementazione di opportuni processi che devono essere testati, collaudati, monitorati e misurati (in termini di miglioramento ottenuto) e, non ultimo, sulla promozione della cultura della sicurezza“.
Infatti “il board, come tutti i dipartimenti aziendali, deve essere consapevole che il rischio cyber è un rischio aziendale, non di un ristretto gruppo di persone e tantomeno del CISO”, ricorda Morisi.
“Alle attività di patching, come a tutte le attività di mitigazione del rischio, deve quindi essere garantita la giusta priorità e devono essere soggette ad opportune SLA”, conclude Morisi: “dovrebbe essere prerogativa della direzione aziendale monitorare i processi, intervenendo di conseguenza nel caso non conducano al miglioramento atteso”.
