해커들이 오래된 버전의 LiteSpeed Cache 플러그인을 가진 워드프레스 사이트를 대상으로 관리자 계정을 생성하고 사이트를 통제하는 공격을 진행하고 있습니다. LiteSpeed Cache는 페이지 로딩 속도를 높이고 방문자 경험을 향상시키며 구글 검색 순위를 높이는 캐싱 플러그인으로, 500만 개 이상의 워드프레스 사이트에서 사용되고 있습니다. WPScan 보안팀은 5.7.0.1 이전 버전의 플러그인을 사용하는 워드프레스 사이트를 대상으로 공격 활동이 증가하고 있음을 발견했습니다.
해커들은 워드프레스 파일이나 데이터베이스에 악성 자바스크립트 코드를 주입하여 'wpsupp‑user' 또는 'wp‑configuser'라는 관리자 계정을 생성합니다. 이 공격은 데이터베이스의 "litespeed.admin_display.messages" 옵션에 "eval(atob(Strings.fromCharCode" 문자열이 존재하는 것으로 확인할 수 있습니다. LiteSpeed Cache 사용자 중 대부분은 이러한 취약점이 없는 최신 버전으로 이동했지만, 약 183만 5000명의 사용자들이 여전히 취약한 버전을 사용하고 있습니다.
워드프레스 사이트에서 관리자 계정을 생성할 수 있는 능력은 해커들에게 사이트의 전체 통제권을 부여합니다. 이를 통해 해커들은 내용을 수정하거나 플러그인을 설치하고, 중요한 설정을 변경하거나, 트래픽을 안전하지 않은 사이트로 리디렉션하거나, 악성 코드를 배포하거나, 피싱을 진행하거나, 사용자 데이터를 도난당할 수 있습니다. 워드프레스 사이트 관리자들은 플러그인을 최신 버전으로 업데이트하고, 필요하지 않은 구성 요소를 제거하거나 비활성화하며, 새로운 관리자 계정이 생성되는 것을 모니터링하는 것이 권장됩니다.
요약
- 해커들이 오래된 버전의 LiteSpeed Cache 플러그인을 가진 워드프레스 사이트를 공격하고 있다.
- 공격자들은 악성 자바스크립트 코드를 주입하여 관리자 계정을 생성하고 사이트를 통제한다.
- 워드프레스 사이트 관리자들은 플러그인을 최신 버전으로 업데이트하고, 필요하지 않은 구성 요소를 제거하거나 비활성화하며, 새로운 관리자 계정이 생성되는 것을 모니터링하는 것이 권장된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.