網絡安全研究人員近期發現 WordPress LiteSpeed Cache 插件中存在一個安全漏洞，該漏洞被追蹤爲 CVE-2023-40000，未經身份驗證的威脅攻擊者可利用該漏洞獲取超額權限。

LiteSpeed Cache 是一種緩存插件，被用于 500 多萬個 WordPress 網站，可幫助加快頁面加載速度、改善訪客體驗並提高谷歌搜索排名。

今年4月，Automattic 的安全團隊 WPScan 發現，威脅行爲者掃描和入侵使用 5.7.0.1 以上版本插件的 WordPress 網站的活動有所增加，因爲這些網站存在一個高嚴重性（8.8）未經驗證的跨站腳本漏洞，該漏洞被追蹤爲 CVE-2023-40000。

在掃描易受攻擊的網站時，來自 94[.]102[.]51[.]144 IP 地址的探測請求超過 120 萬個。

WPScan 報告稱，這些攻擊使用惡意 JavaScript 代碼注入關鍵 WordPress 文件或數據庫，並創建了名爲 "wpsupp-user "或 "wp-configuser "的管理員用戶。

另一個感染迹象是數據庫中的 "litespeed.admin_display.messages "選項中出現了 "eval(atob(Strings.fromCharCode "字符串。

惡意 JS 代碼創建流氓管理員用戶，圖源：WPScan

大部分 LiteSpeed Cache 用戶已遷移到不受 CVE-2023-40000 影響的最新版本，但仍有大量用戶（多達 1,835,000 人）運行有漏洞的版本。

攻擊者可通過在 WordPress 網站上創建管理員賬戶的功能獲得網站的完全控制權，從而修改內容、安裝插件、更改關鍵設置、將流量重定向到不安全的網站、分發惡意軟件、網絡釣魚或竊取可用的用戶數據。

本周初，Wallarm 報道了另一起針對 WordPress 插件 "電子郵件訂閱者 "創建管理員賬戶的攻擊活動。

黑客利用的是 CVE-2024-2876，這是一個嚴重程度爲 9.8/10 的關鍵 SQL 注入漏洞，影響的插件版本爲 5.7.14 及更早版本。

Wallarm表示，在觀察到的攻擊實例中，CVE-2024-27956 已被用于對數據庫執行未經授權的查詢，並在易受攻擊的 WordPress 網站（例如，以 "xtw "開頭的網站）上建立新的管理員賬戶。

雖然 "Email Subscribers "遠沒有 LiteSpeed Cache 那麽流行，它的有效安裝總數只有 90000 個，但觀察到的攻擊表明，黑客不會放過任何能攻擊的機會。

研究人員建議WordPress 網站管理員將插件立即更新到最新版本，刪除或禁用不需要的組件，並監控是否有新的管理員賬戶創建。

如果確認出現漏洞，必須對網站進行全面清理，需要刪除所有惡意賬戶，重置所有現有賬戶的密碼，並從幹淨的備份中恢複數據庫和網站文件。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-litespeed-cache-flaw-to-create-wordpress-admins/