LiteSpeed Cacheプラグインに重大な脆弱性が特定され、数百万のWordPress サイトが深刻なセキュリティリスクにさらされる可能性があります。
Patchstackのゼロデイ・バグバウンティプログラムを通じてJohn Blackbourn氏が発見したこの欠陥により、未認証のユーザーが管理者レベルのアクセス権を取得できてしまいます。その結果、悪意のあるプラグインのインストールや、影響を受けるウェブサイトの侵害につながるおそれがあります。
この脆弱性は、プラグインのユーザーシミュレーション機能で使用されるセキュリティハッシュが脆弱であることに起因します。このハッシュは安全でない乱数生成器によって作成され、ソルト付与もされず、特定のユーザーリクエストに紐づけられることもなく保存されています。
可能な値が100万通りしかないため、Patchstackは、このハッシュは比較的推測しやすく、攻撃者が全パターンを試行して正しいハッシュを見つけ、管理者ユーザーをシミュレートできると警告しました。
「セキュリティハッシュとして知られている100万通りの可能な値を総当たりで反復し、それらをlitespeed_hashクッキーに渡すブルートフォース攻撃は、比較的低い毎秒3リクエストで実行した場合でも、数時間から1週間の間に、任意のユーザーIDとしてサイトへのアクセスを取得できることが分かりました」 とPatchstackは説明しています。
さらに、この脆弱性は、プラグインのクローラー機能が当初無効になっている場合でも悪用可能です。攻撃者は保護されていないAjaxハンドラーを介して脆弱なセキュリティハッシュの生成を誘発できるため、LiteSpeed Cacheプラグインを実行しているサイトは、個別の設定に関係なく脆弱となる可能性があります。
「この脆弱性は、セキュリティハッシュやnonceとして使用される値の強度と予測不可能性を確保することがいかに重要かを浮き彫りにしています」 とPatchstackは付け加えました。
WordPressプラグインの脆弱性について詳しく読む: Polyfillライブラリ侵害によりWordPressプラグインが危険にさらされる
ユーザー向け推奨対応
Patchstackからの通知を受け、LiteSpeedチームはこの脆弱性に対するパッチをリリースし、ハッシュの複雑性を強化するとともに、使い捨てハッシュを導入し、より厳格な検証手順を実装しました。
「当初は、タイミング攻撃の可能性を避けるため、ハッシュ値の比較処理にhash_equals関数を使用することを推奨します」 とPatchstackは提案しました。「また、random_bytes関数のような、より安全な乱数値生成器の使用も推奨します。これはレガシーPHPのサポートが必要なため実装されませんでした。」
LiteSpeed Cacheプラグインのユーザーは、このセキュリティリスクを軽減するため、直ちにバージョン6.4へ更新するよう推奨されます。
画像クレジット: Primakov / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/litespeed-cache-plugin-flaw/
