Une faille de sécurité majeure a été découverte dans le plugin LiteSpeed Cache, utilisé par plus de 5 millions de sites WordPress. Cette vulnérabilité permet à des attaquants non authentifiés d’obtenir des droits administratifs, exposant ainsi des millions de sites à des risques élevés d’intrusion. Découvrez les détails de cette menace et les mesures à prendre pour protéger votre site.
Ce qu'il faut retenir :
- La faille permet à des attaquants d'obtenir des droits administratifs sans authentification.
- Plus de 5 millions de sites WordPress sont potentiellement concernés.
- Faites la mise à jour au plus tôt vers la version 6.4.1 du plugin, qui corrige cette vulnérabilité.
Une faille de sécurité d'une ampleur inédite
Le plugin LiteSpeed Cache, utilisé par plus de 5 millions de sites WordPress, est est affecté par une vulnérabilité de type escalade de privilèges non authentifiée, identifiée sous le code CVE-2024-28000. Cette vulnérabilité, signalée pour la première fois par l'équipe de Patchstack, permet à des attaquants non authentifiés d'obtenir des droits administratifs sur les sites affectés. La faille exploite une fonctionnalité de simulation d'utilisateur présente dans le plugin, protégée par un hash de sécurité faible, ce qui rend son exploitation relativement simple pour les hackers.
Fonctionnement de la vulnérabilité
Le problème réside dans la manière dont le plugin gère les identifiants de session et les rôles d'utilisateur. En générant un "hash" de sécurité faible et en ne vérifiant pas correctement les identifiants des utilisateurs, le plugin permet à des attaquants de simuler l'identité d'un administrateur du site. Une fois cette identité usurpée, l'attaquant peut exécuter des actions critiques, telles que l'installation de plugins malveillants, le vol de données, ou encore le redirectionnement du trafic vers des sites frauduleux.
Initialement, cette vulnérabilité ne concernait que les sites ayant activé la fonctionnalité de crawler de LiteSpeed Cache. Cependant, une autre faiblesse dans le plugin permet de générer et de sauvegarder ce hash même si le crawler est désactivé, étendant ainsi la vulnérabilité à tous les sites utilisant le plugin. Cela signifie que tout site où un attaquant peut deviner l'ID d'un utilisateur administrateur est vulnérable à cette attaque.
Les mesures correctives à prendre
L'équipe de LiteSpeed a publié une mise à jour (version 6.4.1) pour corriger cette vulnérabilité. Il est impératif que tous les utilisateurs de LiteSpeed Cache mettent à jour leur plugin vers cette version. De plus, il est recommandé de vérifier la liste des utilisateurs administrateurs sur votre site et de supprimer tout compte suspect. Pour ceux qui ne peuvent pas mettre à jour immédiatement, des solutions temporaires sont proposées, telles que la modification des fichiers du plugin ou l'ajout de règles de sécurité au niveau du serveur.
La gravité de cette vulnérabilité ne doit pas être sous-estimée. Les conséquences potentielles incluent la prise de contrôle complète du site, la distribution de malwares, et la compromission des données utilisateurs. De nombreux experts en sécurité s'attendent à une exploitation massive de cette faille si des mesures correctives ne sont pas rapidement mises en place. Mettez rapidement à jour votre plugin LiteSpeed Cache !