El 22 de agosto de 2024, el equipo de investigación en ciberseguridad de NIST publicó una advertencia sobre una vulnerabilidad crítica en el popular plugin de WordPress, LiteSpeed Cache, que dejó expuestos a millones de sitios web a posibles ciberataques. Este plugin, instalado en más de 5 millones de sitios, es utilizado para mejorar la velocidad de carga y optimizar el rendimiento de las páginas, pero el fallo de seguridad detectada permitió a atacantes no autenticados escalar privilegios y obtener acceso administrativo a los sitios afectados.
La vulnerabilidad: CVE-2024-28000
Identificada como CVE-2024-28000, esta vulnerabilidad afectó a todas las versiones del plugin LiteSpeed Cache anteriores a la 6.3.0.1. El problema estaba en la funcionalidad de simulación de roles, una característica diseñada para permitir que el plugin simule diferentes usuarios autenticados al realizar tareas como el rastreo y almacenamiento en caché de páginas. Sin embargo, esta función no estaba correctamente restringida, lo que permitía a los atacantes explotar el sistema y hacerse pasar por usuarios administrativos sin necesidad de autenticación previa.
La gravedad de esta vulnerabilidad estaba en la posibilidad de que los atacantes obtuvieran el control completo del sitio web afectado, lo que les permitiría modificar contenidos, inyectar malware o robar datos confidenciales. Aunque la vulnerabilidad ya ha sido corregida en la versión 6.4.1 del plugin, los expertos en seguridad instan a los administradores de sitios WordPress a actualizar inmediatamente para protegerse de posibles ataques.
Detalles técnicos del fallo
El fallo de seguridad en LiteSpeed Cache estaba relacionado con la implementación insegura de la funcionalidad de simulación de usuarios a través de la configuración «Crawler Simulation Settings». Esta característica permitía que el plugin rastreara y almacenara en caché páginas como si fuera un usuario autenticado, pero carecía de verificaciones adecuadas de capacidad o controles de nonce en la función async_litespeed_handler()
.
Esta falta de medidas de seguridad permitió a los atacantes desencadenar la función y generar un valor de hash que luego se almacenaba en la tabla de opciones de WordPress. Al manipular este valor de hash, los atacantes podían suplantar la identidad de los usuarios, registrarse como administradores y tomar el control total de los sitios afectados.
Los investigadores señalaron que esta vulnerabilidad podría explotarse de manera relativamente sencilla y que los atacantes no necesitarían habilidades técnicas avanzadas para hacerlo. Este tipo de escalada de privilegios es especialmente preocupante en el entorno de WordPress, donde los plugins son una parte fundamental de la arquitectura del sitio web, y una falla en la seguridad de uno de ellos puede comprometer todo el sistema.
Solución al fallo
Ante la detección de esta vulnerabilidad crítica, Wordfence, una empresa líder en soluciones de seguridad para WordPress, implementó una regla de firewall el 20 de agosto de 2024 para proteger a sus usuarios Premium, Care y Response contra este fallo. Los usuarios gratuitos de Wordfence recibirán esta protección el 19 de septiembre de 2024.
Además, los desarrolladores de LiteSpeed Cache lanzaron rápidamente la versión 6.4.1 del plugin para corregir la vulnerabilidad, instando a todos los usuarios a actualizar sus sitios de inmediato. Sin embargo, la adopción de actualizaciones de seguridad sigue siendo un desafío para muchos administradores de sitios web, especialmente aquellos que gestionan múltiples plugins y temas. Mantener los sistemas actualizados es crucial para mitigar riesgos de seguridad, y la vulnerabilidad CVE-2024-28000 subraya la necesidad de una vigilancia constante en este aspecto.
Para aquellos que administran sitios WordPress y utilizan el plugin LiteSpeed Cache, la acción más importante es actualizar inmediatamente a la versión 6.4.1 o posterior del plugin. No obstante, esta no es la única medida que deben tomar para proteger sus sitios web. También es necesario asegurarse de que todos los plugins no solo este y temas estén siempre actualizados a sus últimas versiones, es esencial para evitar vulnerabilidades conocidas. La mayoría de los ataques a sitios WordPress ocurren debido a versiones desactualizadas de software.