हैकर्स ने पहले से ही महत्वपूर्ण गंभीरता भेद्यता का फायदा उठाना शुरू कर दिया है जो लाइटस्पीड कैश को प्रभावित करता है, एक वर्डप्रेस प्लगइन जिसका उपयोग तकनीकी विवरण सार्वजनिक होने के एक दिन बाद प्रतिक्रिया उदाहरणों को तेज करने के लिए किया जाता है।
सुरक्षा चुनौती को CVE-2024-28000 के रूप में ट्रैक किया गया है और वर्डप्रेस प्लगइन के सभी संस्करणों में 6.3.0.1 तक प्रमाणीकरण के बिना विशेषाधिकारों को बढ़ाने की अनुमति देता है।
भेद्यता प्लगइन के उपभोक्ता सिमुलेशन फ़ंक्शन में एक कमजोर हैश सत्यापन से उत्पन्न होती है जिसका उपयोग हमलावरों द्वारा दुष्ट व्यवस्थापक खाते बनाने के लिए हैश मान को मजबूर करने के लिए किया जा सकता है।
इससे प्रभावित वेबसाइटों पर पूरी तरह कब्ज़ा हो सकता है, दुर्भावनापूर्ण प्लगइन्स की स्थापना की अनुमति मिल सकती है, महत्वपूर्ण सेटिंग्स बदल सकती हैं, साइट विज़िटर को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है और उपभोक्ता जानकारी चुराई जा सकती है।
पैचस्टैक के रफी मुहम्मद ने कल एक पोस्ट में हैश पीढ़ी को ट्रिगर करने के तरीके के बारे में विवरण साझा किया, जिसमें दिखाया गया कि विशेषाधिकारों को बढ़ाने के लिए हैश को कैसे बलपूर्वक लागू किया जाए और फिर REST API के माध्यम से एक नया व्यवस्थापक खाता कैसे बनाया जाए।
मुहम्मद की रणनीति ने प्रदर्शित किया कि प्रति सेकंड तीन अनुरोधों पर सभी 1 मिलियन संभावित सुरक्षा हैश मानों के माध्यम से एक क्रूर बल हमला बाइकिंग किसी भी उपयोगकर्ता आईडी के रूप में वेबसाइट तक पहुंच को कुछ घंटों में और एक सप्ताह में प्राप्त कर सकती है।
लाइटस्पीड कैश का उपयोग 5 मिलियन से अधिक वेबसाइटों द्वारा किया जाता है। इस लेखन के समय, केवल लगभग 30% ही प्लगइन का सुरक्षित संस्करण चलाते हैं, जिससे लाखों कमजोर वेबसाइटों पर हमला होता है।
वर्डप्रेस सुरक्षा एजेंसी वर्डफेंस का अध्ययन है कि उसने पिछले 24 घंटों में सीवीई-2024-28000 पर ध्यान केंद्रित करते हुए 48,500 से अधिक हमलों का पता लगाया और उन्हें अवरुद्ध कर दिया है, यह आंकड़ा गहन शोषण अभ्यास को दर्शाता है।
वर्डफ़ेंस
Wordfence.com
वर्डफेंस के क्लो चार्मबरलैंड ने कल इस स्थिति के बारे में चेतावनी देते हुए कहा, “हमें इसमें कोई संदेह नहीं है कि इस भेद्यता का बहुत जल्द सक्रिय रूप से फायदा उठाया जा सकता है।”
इस साल यह दूसरी बार है जब हैकर्स ने लाइटस्पीड कैशे को निशाना बनाया है। मई में, हमलावरों ने दुष्ट व्यवस्थापक खाते बनाने और अतिसंवेदनशील वेब साइटों पर कब्ज़ा करने के लिए एक क्रॉस-साइट स्क्रिप्टिंग दोष (CVE-2023-40000) का उपयोग किया।
उस समय, WPScan ने बताया कि ख़तरनाक अभिनेताओं ने अप्रैल में लक्ष्यों की तलाश शुरू कर दी थी, जिसमें एक ही दुर्भावनापूर्ण आईपी पते से 1.2 मिलियन से अधिक जांच का पता चला था।
लाइटस्पीड कैश के ग्राहकों को सलाह दी जाती है कि वे जितनी जल्दी हो सके नवीनतम उपलब्ध संस्करण, 6.4.1 में अपग्रेड करें या अपनी वेबसाइट से प्लगइन को अनइंस्टॉल करें।
