LiteSpeed Cache tiene más de 5 millones de instalaciones activas
Los actores de amenazas están explotando activamente una falla de alta gravedad que afecta al plugin LiteSpeed Cache para WordPress para crear cuentas de administrador fraudulentas en sitios web susceptibles.
Los hallazgos provienen de WPScan, que dijo que la vulnerabilidad (CVE-2023-40000, puntuación CVSS: 8.3) se ha aprovechado para configurar falsos usuarios administradores con los nombres wpsupp-user y wp-configuser.
CVE-2023-40000, que fue revelada por Patchstack en febrero de 2024, es una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que podría permitir a un usuario no autenticado elevar privilegios mediante solicitudes HTTP especialmente diseñadas.
La falla se solucionó en octubre de 2023 en la versión 5.7.0.1. Vale la pena señalar que la última versión del plugin es la 6.2.0.1, que se lanzó el 25 de abril de 2024.
LiteSpeed Cache tiene más de 5 millones de instalaciones activas, y las estadísticas muestran que las versiones distintas a 5.7, 6.0, 6.1 y 6.2 todavía están activas en el 16,8% de todos los sitios web.
Según la empresa propiedad de Automattic, el malware normalmente inyecta en archivos de WordPress código JavaScript alojado en dominios como dns.startservicefounds[.]com y api.startservicefounds[.]com.
La creación de cuentas de administrador en sitios de WordPress puede tener graves consecuencias, ya que permite al actor de la amenaza obtener control total sobre el sitio web y realizar acciones arbitrarias, que van desde inyectar malware hasta instalar plugins maliciosos.
Para mitigar posibles amenazas, se recomienda a los usuarios que apliquen las últimas correcciones, revisen todos los plugins instalados y eliminen los archivos y carpetas sospechosos.
"Busque en [la] base de datos cadenas sospechosas como 'eval(atob(Strings.fromCharCode'", dijo WPScan, "específicamente en la opción litespeed.admin_display.messages".
El desarrollo se produce cuando Sucuri reveló una campaña de estafa de redireccionamiento denominada Mal.Metrica que emplea falsos mensajes de verificación CAPTCHA en sitios de WordPress infectados para llevar a los usuarios a sitios fraudulentos e indeseables, que están diseñados para descargar software dudoso o atraer a las víctimas para que proporcionen información personal con el pretexto de recibir recompensas.
"Si bien este mensaje parece una verificación rutinaria de verificación humana, en realidad es completamente falso y, en cambio, intenta engañar al usuario para que haga clic en el botón, iniciando así una redirección a sitios web maliciosos y fraudulentos", dijo el investigador de seguridad Ben Martin.
Al igual que Balada Injector, la actividad aprovecha las fallas de seguridad reveladas recientemente en los plugins de WordPress para inyectar scripts externos que se hacen pasar por CDN o servicios de análisis web. Hasta 17.449 sitios web se han visto comprometidos con Mal.Metrica en lo que va de 2024.
"Los propietarios de sitios web de WordPress tal vez quieran considerar habilitar actualizaciones automáticas para archivos, plugins y temas principales", dijo Martin. "Los usuarios habituales de la web también deberían tener cuidado al hacer clic en enlaces que parezcan fuera de lugar o sospechosos".