Maailma populaarseima kodulehtede sisuhaldustarkvara WordPress jaoks tehtud veebi kiirendamise ja optimeerimise lisamoodul ehk plugin LiteSpeed Cache sisaldab hiljuti avastatud kõrge ohutasemega turvaauku. See plugin on olnud väga populaarne ja paigaldatud enam kui kuuele miljonile veebisaidile.

LiteSpeed Cache on võimas kõik-ühes tööriistakast, mis pakub serveritasemel vahemällu salvestamise ja optimeerimise funktsioone ning sobib ideaalselt kokku selliste ülipopulaarsete pluginatega nagu WooCommerce, bbPress ja Yoast SEO.

Kuid hiljuti avastatud kõrge ohutasemega turvaauk (CVE-2024-47374, CVSS skoor 7.2) seab kõik selle plugina kasutajad ohtu, kui nad pole õigel ajal uuendusi ära teinud või ei kasuta mõnda ennetavat turvakaitset.

Milles on probleem?

Turvaauk, millest on mõjutatud LiteSpeed Cache plugina kõik versioonid kuni 6.5.0.2-ni, on seotud salvestatud ristsaidiskriptimise (XSS) haavatavusega.

See tähendab, et ründajad saavad potentsiaalselt käivitada veebisaidil omavolilist JavaScripti koodi, kui teatud tingimused on täidetud.

Täpsemalt on oht seotud HTTP päise “X-LSCACHE-VARY-VALUE” ebapiisava puhastamisega, mis võimaldab nii-öelda skripti süstimist, kui plugina “CSS Combine” ja “Generate UCSS” seaded on aktiveeritud.

See haavatavus annab ründajatele hea võimaluse näpata tundlikku teavet või veelgi halvemal juhul omandada saidi administraatori õigused, mille järel saavad nad võtta täieliku kontrolli kogu veebisaidi üle.

Taoline stsenaarium võib viia tõsiste tagajärgedeni, sealhulgas teiste pahatahtlike tegevuste käivitamiseni ettevõttes.

Kuidas probleem avastati?

Turvaaugust teatas esimest korda TaiYou turvaettevõttest Patchstack, mis keskendub WordPressi turvaprobleemide avastamisele ja nendele kiirelt reageerimisele.

Turvauuringutest selgus, et ründajad saavad lihtsa HTTP päringuga kasutada seda haavatavust, et sisestada veebisaidile kahjulikku koodi ja võtta üle administraatori konto.

CVE-2024-47374 turvaprobleem on praeguseks parandatud LiteSpeed Cache´i plugina versioonis 6.5.1. Kuid vanemat versiooni kasutavad veebilehed on endiselt ohus ja kasutajad peaksid hetkegi viivitamata paigaldama värskenduse, sest iga hetk võib keegi seda turvaprobleemi ära kasutada.

LiteSpeed Cache lekkis ka kuu aega tagasi

Ehkki LiteSpeed Cache on iseenesest väga hea tööriist WordPressi kasutajatele ja seda tasub soovitada, pole turvalisusega mitte just alati kõik korras olnud.

Tegemist pole esimese LiteSpeed Cache pluginaga seotud turvaprobleemiga. Vaid veidi aega varem, selle aasta septembri alguses avastati teine kõrge ohutasemega turvaauk (CVE-2024-44000, CVSS skoor 7.5), mis võimaldas volitamata külastajatel võtta üle kasutajakontod ja isegi eskaleerida õigusi administraatori tasemele. See haavatavus oli seotud HTTP vastuse päiste lekkega, mis avaldas “Set-Cookie” päise sisu veebilehe veaotsingu logifailis.

Kuigi see probleem lahendati versioonis 6.5.0.1, tuletab see meelde, et isegi väikesed seadistused võivad jätta veebisaidi turvaaukudele avatuks, kui neid ei hallata korralikult. Võib koguni juhtuda, et kui viimase kuu jooksul pole pluginaid uuendatud, on LiteSpeed Cache-is veel parandamata ka eelmine turvaauk. Seega tasub kiirelt praegu kasutatav plugina versioon üle kontrollida.

Kuidas neid turvaauke vältida?

Nagu ikka, kehtivad igal ajal asjalikud üldised soovitused oma kodulehte pidevalt uuendada ja kaitsta. Siin aga on mõned konkreetsemad näpunäited.

1. Uuenda LiteSpeed Cache pluginat – esimene ja kõige olulisem samm on kontrollida, et kasutaksid LiteSpeed Cache´i viimast versiooni (6.5.1 või uuem, sest ka eelmise turvaparandusega 6.5.0.1 on see nüüd haavatav). WordPressi administraatori paneel võimaldab seda hõlpsasti vaadata ja installida kohe saadaolevad värskendused.
2. Keela haavatavad seaded – kui värskendamine pole mingil põhjusel kohe võimalik, aga oled veebilehtede osas asjatundja, siis kontrolli, kas plugina seadetes on lubatud “CSS Combine” ja “Generate UCSS”. Kui need funktsioonid on lubatud, keela need ajutiselt, et vähendada turvariski.
3. Kasuta turvapluginat – installi ja kasuta WordPressi turvapluginaid nagu Wordfence või iThemes Security, mis suudavad tuvastada ja blokeerida kahtlast tegevust, sealhulgas võimalikke XSS rünnakuid.
4. Kasuta ennetavat kaitset – kui sul pole alati võimalik kiirelt reageerida, siis paigalda Patchstacki ennetav turvakaitse. Seda saad teha ka Veebimajutuse iseteeninduse kaudu.
5. Tee regulaarseid varukoopiaid – isegi parimate turvameetmete puhul võib rünnak ikkagi toimuda. Regulaarsed varukoopiad tagavad, et saad oma veebisaidi kiiresti taastada, kui midagi juhtub.
6. Puhasta koodi – see on rohkem arendajatele suunatud soovitus – kasuta koodis sanitize_text_field või esc_html funktsioone, et tagada HTML-i väljundis kasutatavate andmete puhastamine ja turvalisus. Atribuutide sees olevate väärtuste puhul kasuta esc_attr funktsiooni.

Kokkuvõtteks tuletavad WordPressi LiteSpeed Cache´i plugina hiljutised turvaaugud meelde, kui oluline on olla valvas ja hoida oma veebilehte ajakohasena. Plugina kasutajad peavad kiiresti reageerima ja installima turvaparandused, et kaitsta oma kodulehte rünnakute eest. Nagu ikka, aitab ennetav hooldus, õiged seadistused ja usaldusväärsete turvapluginate kasutamine. Turvaline veebileht ei ole vaid vajalik – see on hädavajalik!

Artikkel ilmus algselt Veebimajutus.ee blogis.