innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

WordPressサイト狙うハッカー、LiteSpeed Cache脆弱性を悪用

- innovaTopia - (イノベトピア)

Last Updated on 2024-05-09 11:58 by admin

ハッカーがWordPressサイトの完全な制御を目的としてLiteSpeed Cacheプラグインの脆弱性を悪用している。この脆弱性(CVE-2023-40000、CVSSスコア:8.3)は、WPScanによって報告され、特に作成されたHTTPリクエストを通じて未認証ユーザーが権限を昇格させることを可能にする保存型クロスサイトスクリプティング(XSS)の問題である。

攻撃者は、wpsupp-userやwp-configuserといった名前の偽の管理者アカウントを設定している。この問題は2024年2月にPatchstackによって公開され、2023年10月にバージョン5.7.0.1で修正された。LiteSpeed Cacheの最新バージョンは6.2.0.1で、2024年4月25日にリリースされた。LiteSpeed Cacheは500万以上のアクティブインストールがあり、5.7、6.0、6.1、6.2以外のバージョンが全ウェブサイトの16.8%でまだ稼働している。

また、Sucuriは、WordPressサイトに感染し、偽のCAPTCHA検証プロンプトを使用してユーザーを詐欺的で望ましくないサイトに誘導するリダイレクト詐欺キャンペーン「Mal.Metrica」を明らかにした。このキャンペーンは、偽のCDNやウェブ分析サービスを模倣する外部スクリプトを注入することで、最近公開されたWordPressプラグインのセキュリティ脆弱性を利用している。2024年までに17,449のウェブサイトがMal.Metricaによって侵害された。

WordPressサイトの所有者は、コアファイル、プラグイン、テーマの自動更新を有効にすることを検討すべきである。ウェブユーザーも、場違いまたは怪しいリンクをクリックする際には注意が必要である。

【編集者追記】用語解説

  • LiteSpeed Cache (LSCache): LiteSpeedテクノロジーズ社が開発したキャッシュシステム。Webサーバー上でページを静的なHTMLとしてキャッシュし、高速に配信することができる。
  • WordPress: 世界的に広く使われているCMS(コンテンツ管理システム)。プラグインを追加することで機能を拡張できる。
  • プラグイン: WordPressの機能を拡張するためのソフトウェア。LiteSpeed Cacheプラグインを使うことで、WordPressサイトの表示速度を向上できる。
  • Sucuri: Webサイトのセキュリティ対策に特化した企業。マルウェアスキャンやファイアウォールなどのサービスを提供している。
  • Mal.Metrica: Sucuri社が名付けたマルウェアキャンペーンの名称。WordPressの脆弱性を悪用し、偽のCAPTCHA認証を表示して不正サイトへ誘導する

【関連記事】
WordPressのセキュリティ関連の記事をinnovaTopiaでもっと読む

【参考リンク】
LiteSpeed Technologiesオフィシャルサイト(外部)
Sucuriオフィシャルサイト(外部)

【編集者のつぶやき】

なかなかすっと頭に入らない記事なので(←私だけ?)主語を変えてまとめてみました

CVE-2023-40000は、WordPressの人気プラグイン「LiteSpeed Cache」に存在した脆弱性です。この脆弱性を悪用することで、攻撃者は不正な管理者アカウントを作成し、WordPressサイトを乗っ取ることが可能でした。

脆弱性は2023年10月に開示され、同月リリースされたバージョン5.7.0.1で修正されています。LiteSpeed Cacheは500万以上のアクティブインストールがあるため、影響範囲は広いと考えられます。

セキュリティ企業のSucuri社は、この脆弱性を悪用したMal.Metricaキャンペーンを確認しており、2024年にはこれまでに17,449のWebサイトが感染したと報告しています。

対策としては、LiteSpeed Cacheを最新バージョンにアップデートすること、不審なファイルやフォルダを削除することが推奨されています。また、定期的なバックアップやセキュリティ監視も重要です。

【ニュース解説】

WordPressサイトのセキュリティが再び脅威にさらされています。今回の問題の中心にあるのは、LiteSpeed Cacheプラグインに存在する高度な脆弱性です。この脆弱性は、CVE-2023-40000として識別され、CVSSスコアは8.3と評価されています。具体的には、未認証ユーザーが特別に作成されたHTTPリクエストを通じて権限を昇格させることができる、保存型クロスサイトスクリプティング(XSS)の問題が発見されました。攻撃者はこの脆弱性を利用して、偽の管理者アカウントを作成し、WordPressサイトを完全に制御下に置くことが可能になります。

この脆弱性の修正は、2023年10月にバージョン5.7.0.1で行われましたが、LiteSpeed Cacheの最新バージョンは6.2.0.1であり、2024年4月25日にリリースされています。にもかかわらず、全ウェブサイトの約16.8%が、5.7、6.0、6.1、6.2以外のバージョンを使用しており、依然として脆弱性の影響を受けやすい状態にあります。

このような脆弱性を悪用されると、攻撃者はマルウェアの注入、悪意のあるプラグインのインストールなど、任意のアクションを実行できるようになります。これは、サイトのセキュリティだけでなく、訪問者のセキュリティにも重大な影響を及ぼす可能性があります。

さらに、Sucuriによって明らかにされた「Mal.Metrica」というリダイレクト詐欺キャンペーンは、偽のCAPTCHA検証プロンプトを使用してユーザーを詐欺的なサイトに誘導し、個人情報の提供を促すなどの行為を行います。このキャンペーンも、WordPressプラグインのセキュリティ脆弱性を利用しています。

このような攻撃から身を守るためには、最新の修正を適用し、インストールされているプラグインを見直し、怪しいファイルやフォルダを削除することが重要です。また、WordPressサイトの所有者は、コアファイル、プラグイン、テーマの自動更新を有効にすることを検討すべきです。一般のウェブユーザーも、怪しいリンクやプロンプトに注意し、安全なウェブ利用を心がける必要があります。

この問題は、WordPressを使用する多くのウェブサイトにとって重要な警告です。セキュリティは常に進化する脅威に対応するために、継続的な注意と更新が必要です。サイトの所有者、開発者、そしてユーザーは、セキュリティのベストプラクティスを学び、適用することで、このような攻撃のリスクを最小限に抑えることができます。

from Hackers Exploiting LiteSpeed Cache Bug to Gain Full Control of WordPress Sites.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » WordPressサイト狙うハッカー、LiteSpeed Cache脆弱性を悪用

Latest News