Telah ditemukan kerentanan kritis pada LiteSpeed Cache, sebuah plugin caching yang digunakan 6 juta situs untuk mempercepat penjelajahan pengguna di situs berbasis WordPress.
Cacat tersebut, yang dilacak sebagai CVE-2024-44000 dan dikategorikan sebagai masalah pengambilalihan akun yang tidak diautentikasi, ditemukan oleh Rafie Muhammad dari Patchstack pada 22 Agustus 2024. Perbaikan telah dilakukan dengan dirilisnya LiteSpeed Cache versi 6.5.0.1.
Kerentanan ini terkait dengan fitur debug logging plugin, yang mencatat semua header respons HTTP ke dalam file, termasuk header “Set-Cookie”, ketika diaktifkan.
Header tersebut berisi cookie sesi yang digunakan untuk mengautentikasi pengguna, jadi jika penyerang berhasil mencurinya, mereka dapat menyamar sebagai pengguna admin dan mengambil kendali penuh atas situs tersebut.
Untuk mengeksploitasi kelemahan ini, penyerang harus dapat mengakses file log debug di ‘/wp-content/debug.log.’ Jika tidak ada pembatasan akses file (seperti aturan .htaccess) yang diterapkan, hal ini dapat dilakukan dengan memasukkan URL yang benar.
Penyerang hanya akan dapat mencuri cookie sesi pengguna yang masuk ke situs saat fitur debug aktif, namun ini dapat terjadi bila log disimpan tanpa batas waktu dan tidak dihapus secara berkala.
LiteSpeed Technologies selaku vendor dari plugin ini, mengatasi kerentanan ini dengan memindahkan log debug ke folder khusus (‘/wp-content/litespeed/debug/’), mengacak nama file log, menghapus opsi untuk mencatat cookie, dan menambahkan file indeks tiruan untuk perlindungan ekstra.
Pengguna LiteSpeed Cache disarankan untuk membersihkan semua file ‘debug.log’ dari server untuk menghapus cookie sesi yang berpotensi valid dan dapat dicuri oleh pelaku ancaman.
Aturan .htaccess untuk menghadang akses langsung ke file log harus diaktifkan, karena nama acak pada sistem baru kemungkinan masih dapat ditebak melalui beberapa upaya/brute force.
WordPress.org melaporkan bahwa lebih dari 375.000 pengguna mengunduh LiteSpeed Cache pada dirilis v6.5.0.1, sehingga jumlah situs yang masih rentan terhadap serangan ini mungkin mencapai 5,6 juta.
LiteSpeed Cache Diserang
Akhir-akhir ini Plugin litespees menjadi bahan penelitian keamanan karena popularitasnya yang sangat besar dan peretas terus-menerus mencari peluang untuk menyerang situs web melalui plugin tersebut.
Pada bulan Mei 2024, diketahui bahwa peretas menargetkan versi plugin yang tidak diperbaharui, yang disebabkan oleh kelemahan skrip lintas situs yang tidak diautentikasi dan dilacak sebagai CVE-2023-40000, untuk membuat pengguna dengan level administrator dan mengambil kendali situs.
In May 2024, it was observed that hackers were targeting an outdated version of the plugin, impacted by an unauthenticated cross-site scripting flaw tracked as CVE-2023-40000, to create administrator users and take control of sites.
Pada tanggal 21 Agustus 2024, kerentanan pada penggunaan hak istimewa yang tidak diautentikasi yang dilacak sebagai CVE-2024-28000 ditemukan, dan para peneliti membunyikan alarm tentang betapa mudahnya mengeksploitasinya.
Pelaku ancaman hanya membutuhkan waktu beberapa jam setelah pengungkapan kelemahan tersebut sebelum mereka mulai menyerang situs secara massal, Wordfence melaporkan memblokir hampir 50.000 serangan.
Sumber : BleepingComputer