ومع ذلك، تم اكتشاف ثغرة خطيرة أخرى في LiteSpeed Cache، وهو مكون إضافي للتخزين المؤقت يهدف إلى تسريع تصفح المستخدم في أكثر من 6 ملايين موقع WordPress.
تم تتبع الخلل باعتباره CVE-2024-44000 وتم تصنيفه على أنه مشكلة استحواذ على حساب غير مصادق عليه، تم اكتشافه بواسطة رافي محمد من Patchstack في 22 أغسطس 2024. تم توفير إصلاح أمس مع إصدار LiteSpeed Cache الإصدار 6.5.0.1.
تكتب ميزة التصحيح ملفات تعريف الارتباط إلى الملف
ترتبط الثغرة الأمنية بميزة تسجيل التصحيح الخاصة بالمكون الإضافي، والتي تسجل جميع رؤوس استجابة HTTP في ملف، بما في ذلك رأس “Set-Cookie”، عند تمكينها.
تحتوي هذه الرؤوس على ملفات تعريف ارتباط للجلسة تُستخدم للتحقق من هوية المستخدمين، لذا إذا تمكن أحد المهاجمين من سرقتها، فيمكنه انتحال شخصية مستخدم مسؤول والسيطرة الكاملة على الموقع.
لاستغلال الخلل، يجب أن يكون المهاجم قادرًا على الوصول إلى ملف سجل التصحيح في ‘/wp-content/debug.log’. عندما لا يتم تنفيذ أي قيود على الوصول إلى الملف (مثل قواعد .htaccess)، يكون ذلك ممكنًا ببساطة عن طريق إدخال عنوان URL الصحيح.
بالطبع، لن يتمكن المهاجم من سرقة ملفات تعريف الارتباط الخاصة بالجلسة للمستخدمين الذين قاموا بتسجيل الدخول إلى الموقع أثناء تنشيط ميزة التصحيح، ولكن هذا يشمل أيضًا أحداث تسجيل الدخول من الماضي إذا تم الاحتفاظ بالسجلات إلى أجل غير مسمى وعدم مسحها بشكل دوري.
قام بائع البرنامج الإضافي، LiteSpeed Technologies، بمعالجة المشكلة عن طريق نقل سجل التصحيح إلى مجلد مخصص (‘/wp-content/litespeed/debug/’)، وتغيير أسماء ملفات السجل بشكل عشوائي، وإزالة خيار تسجيل ملفات تعريف الارتباط، وإضافة ملف فهرس وهمي للحماية الإضافية.
يوصى مستخدمي LiteSpeed Cache بمسح جميع ملفات “debug.log” من خوادمهم لحذف ملفات تعريف الارتباط الخاصة بالجلسة الصالحة المحتملة والتي يمكن أن يسرقها الجناة.
يجب أيضًا تعيين قاعدة .htaccess لرفض الوصول المباشر إلى ملفات السجل، حيث لا يزال من الممكن تخمين الأسماء العشوائية على النظام الجديد من خلال محاولات متعددة/القوة الغاشمة.
ووردبريس.أورج التقارير تشير التقديرات إلى أن ما يزيد قليلاً عن 375000 مستخدم قاموا بتنزيل LiteSpeed Cache أمس، وهو اليوم الذي تم فيه إصدار الإصدار v6.5.0.1، وبالتالي فإن عدد المواقع التي لا تزال عرضة لهذه الهجمات قد يتجاوز 5.6 مليون موقع.
ذاكرة التخزين المؤقتة LiteSpeed تحت النار
لقد ظل هذا المكون الإضافي في مركز أبحاث الأمان مؤخرًا بسبب شعبيته الهائلة ولأن المتسللين يبحثون باستمرار عن فرص لمهاجمة مواقع الويب من خلاله.
في مايو 2024، لوحظ أن المتسللين كانوا يستهدفون إصدارًا قديمًا من البرنامج المساعد، متأثرًا بخلل في برمجة المواقع غير المصادق عليه والذي تم تعقبه باسم CVE-2023-40000، إنشاء مستخدمين إداريين والسيطرة على المواقع.
في الآونة الأخيرة، في 21 أغسطس 2024، تم اكتشاف ثغرة أمنية خطيرة لتصعيد الامتيازات غير المصادق عليها والتي تم تتبعها باسم CVE-2024-28000 تم اكتشافه، حيث أطلق الباحثون ناقوس الخطر حول مدى سهولة استغلاله.
لم يستغرق الأمر سوى بضع ساعات من قبل الجهات الفاعلة المهددة بعد الكشف عن الخلل قبل أن تبدأ مهاجمة المواقع بشكل جماعي، مع قيام Wordfence بحظر ما يقرب من 50 ألف هجوم.
اليوم، مرت أسبوعان منذ الكشف الأولي، والبوابة نفسها تقارير عن 340 ألف هجوم في الـ24 ساعة الماضية.