Una falla de alta gravedad que afecta al plugin LiteSpeed Cache para WordPress está siendo activamente explotada por actores de amenazas para crear cuentas de administrador falsas en sitios web susceptibles.
Los hallazgos provienen de WPScan, que dijo que la vulnerabilidad (CVE-2023-40000, puntaje CVSS: 8.3) ha sido aprovechada para configurar usuarios de administrador falsos con los nombres wpsupp‑user y wp‑configuser.
CVE-2023-40000, que fue divulgada por Patchstack en febrero de 2024, es una vulnerabilidad de secuencia de comandos (XSS) almacenada que podría permitir a un usuario no autenticado elevar privilegios mediante solicitudes HTTP especialmente creadas.
La falla fue abordada en octubre de 2023 en la versión 5.7.0.1. Cabe destacar que la última versión del plugin es 6.2.0.1, que fue lanzada el 25 de abril de 2024.
LiteSpeed Cache tiene más de 5 millones de instalaciones activas, con estadísticas que muestran que versiones distintas a 5.7, 6.0, 6.1 y 6.2 siguen activas en el 16.8% de todos los sitios web.
Según la compañía propiedad de Automattic, el malware suele inyectarse en archivos de WordPress con código JavaScript alojado en dominios como dns.startservicefounds[.]com y api.startservicefounds[.]com.
Crear cuentas de administrador en sitios de WordPress puede tener graves consecuencias, ya que permite al actor de amenazas obtener control total sobre el sitio y realizar acciones arbitrarias, que van desde la inyección de malware hasta la instalación de complementos maliciosos.
Para mitigar posibles amenazas, se recomienda a los usuarios aplicar las últimas correcciones, revisar todos los complementos instalados y eliminar cualquier archivo o carpeta sospechoso.
“Busca en [la] base de datos cadenas sospechosas como ‘eval(atob(Strings.fromCharCode,'” dijo WPScan, “específicamente en la opción litespeed.admin_display.messages.”
Este desarrollo se produce cuando Sucuri reveló una campaña de estafa de redirección denominada Mal.Metrica en sitios de WordPress infectados que emplea falsos mensajes de verificación CAPTCHA para llevar a los usuarios a sitios fraudulentos y no deseados, destinados a descargar software cuestionable o a incitar a las víctimas a proporcionar información personal bajo el pretexto de enviar recompensas.
“Aunque este mensaje parece una verificación rutinaria de humanos, en realidad es completamente falso — y en su lugar intenta engañar al usuario para que haga clic en el botón, lo que provoca una redirección a sitios maliciosos y estafadores,” dijo el investigador de seguridad Ben Martin dijo.
Al igual que Balada Injector, la actividad se aprovecha de fallas de seguridad recientemente divulgadas en complementos de WordPress para inyectar scripts externos que se hacen pasar por servicios de CDN o análisis web. Hasta ahora, un total de 17,449 sitios web se han visto comprometidos con Mal.Metrica en 2024.
“Los propietarios de sitios web de WordPress pueden considerar habilitar las actualizaciones automáticas para archivos principales, complementos y temas,” dijo Martin. “Los usuarios habituales de la web también deben ser cautelosos al hacer clic en enlaces que parezcan estar fuera de lugar o sospechosos.”