14 Juin 2024
Olivier
Les mois se suivent et se ressemblent pour les développeurs du plugin LiteSpeed Cache, dont les failles de sécurité sont mises à jour pour la seconde fois depuis le mois d’octobre 2023. Cette nouvelle faille permet encore une fois l’injection de code malveillant sur les sites web utilisant ce plugin. Il faut croire que les développeurs de Litespeed n’ont pas retenu la leçon de la récente faille, presqu’identique.
Cette fois encore, des pirates auraient ciblé des milliers de sites WordPress utilisant une version obsolète du plugin LS Cache. Ils exploité une brèche pour créer des utilisateurs WordPress possédant le rôle d’administrateur, avant de prendre le contrôle des sites web.
Voyons un peu plus en détails la nature de cette nouvelle faille de sécurité. Nous expliquerons aussi un peu le contexte dans lequel elle survient, ainsi que la façon dont elle a été identifiée.
On doit préciser que la faille a été corrigé dans les dernières versions du plugin. Il n’y a donc pas de raison de vous inquiéter si vous utiliser une version mise à jour du plugin LS Cache. On vous recommande toutefois d’être vigilant et mettre votre plugin à jour si vous utilisé une version obsolète.
L’extension de LiteSpeed nommées LS Cache, est un plugin de mise en cache utilisé par plus de cinq millions de sites WordPress. Il utilise une technologie avancée de mise en cache, et offre de meilleurs résultats sur des serveurs compatibles avec celle-ci.
LS Cache aide à accélérer le chargement du contenu et des pages web. Cela permet d’améliorer l’expérience des utilisateurs et le classement du site dans les résultats de recherche. Sa grande efficacité en fait l’un des plugins les plus populaire auprès de utilisateurs de WordPress.
La technologie et le plugin de Litespeed ont généralement très bonne réputation et sont reconnus comme sécuritaires. Les enjeux récents sont plutôt inhabituels, mais ils pourraient entacher l’image de la marque s’ils ne sont pas adressé rapidement et sérieusement.
Cette nouvelle faille survient seulement quelques mois après que les développeurs aient publié une mise à jour pour corriger le problème précédent. Entre nous, ce n’est pas réconfortant. D’autant plus si l’on pense que les deux menaces étaient pratiquement identiques!
Pour une seconde fois d’affilé, la menace a été détecté par WPScan, qui est l’équipe de sécurité d’Automattic (les développeurs de WordPress). Les experts ont observé en avril une forte augmentation de l’activité des acteurs derrière la menace.
Ils auraient chercher et compromis les sites WordPress avec des versions du plugin antérieures à 5.7.0.1. Toute ces sites se trouvaient vulnérables à un croisement XSS non authentifié, évalué comme étant de haute gravité (8.8 sur une échelle de 10)
Cette nouvelle faille de sécurité de type XSS (Cross-Site Scripting) non authentifiée a été classée sous le numéro CVE-2023-40000. Elle permet aux pirates d’injecter du code JavaScript malveillant dans les fichiers critiques de WordPress ou dans la base de données des sites vulnérables.
WPScan signale que les attaques utilisent du code JavaScript malveillant injecté pour créer des utilisateurs. Ceux-ci ont le rôle d’administrateur et sont nommés ‘wpsupp-user‘ ou ‘wp-configuser.’
Un autre signe d’infection a été identifié par les experts. Il s’agit de la présence de la chaîne “eval(atob(Strings.fromCharCode” dans l’option “litespeed.admin_display.messages” dans la base de données.
Une faille XSS très similaire avait été signalée précédemment par l’équipe de sécurité de WordPress. Cette autre faille du plugin LiteSpeed, désignée CVE-2023-4372, partageait d’ailleurs la même origine. Le plugin souffrait d’un manque de nettoyage des entrées utilisateur et d’échappement des sorties.
La mise à jour de la version 5.7 de Litespeed a rectifié cette faille de sécurité de plugin LiteSpeed. Il semble toutefois que la leçon n’a pas été retenue par l’équipe de développement. Le plugin se retrouve encore une fois vulnérable face à un problème quasi-identique.
LS Cache a pourtant subi plusieurs mises à jour au cours de dernier mois. La plus récente version du plugin est la 6.2.0.1. Les développeurs n’ont toutefois pas profité de ces nombreuses opportunités pour augmenter la sécurité de leur logiciel. Ils ne semblent pas non plus avoir accru leur surveillance, n’étant encore pas à l’origine de la détection du problème.
On ne peut qu’espérer que cette seconde faille de sécurité en quelques mois sera davantage pris au sérieux que le précédent. Litespeed est depuis des années un outil très fiable pour la mise en cache de sites WordPress. Les récents enjeux de sécurité risquent toutefois d’entacher la réputation de la marque si des correctifs sérieux ne sont pas apportés rapidement.
La sécurité est toujours un enjeu important pour les propriétaires de sites web. C’est d’autant plus vrai pour les sites WordPress, qui sont des cible privilégiées par les pirates.
Il n’est pas rare de voir des plugins WordPress souffrir de failles de sécurité. C’est toutefois beaucoup plus rare de voir un outil réputé et populaire comme LS Cache, affecté par plusieurs problèmes consécutifs.
Dans ce cas-ci, on peut même considérer le fait que les deux brèches soit quasi-identiques comme un facteur aggravant. Les développeurs de Litespeed aurait dû se prémunir contre le dernier problème lors de la correction du précédent.
On ne peut maintenant qu’espérer que l’entreprise portera une attention particulière à la sécurité au cours des prochaines années. Une troisième faille pourrait s’avérer dramatique pour la confiance des utilisateurs envers Litespeed.
Nous espérons que cet article vous a plus et vous a éclairé sur les failles de sécurité menaçant le plugin Litespeed. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.