Le plugin WordPress LiteSpeed Cache cumule les mandats. Après deux failles critiques en deux mois, la sécurité du plugin utilisé par plus de 6 millions de sites, frise la correctionnelle.

Le plugin LiteSpeed Cache est utilisé par 6 millions de propriétaires de sites WordPress - © David MG / Shutterstock.com
Le plugin LiteSpeed Cache est utilisé par 6 millions de propriétaires de sites WordPress - © David MG / Shutterstock.com

Quand la réputation d'un outil se construit autour de sa performance, la sécurité devient son talon d'Achille. LiteSpeed Cache, star du cache WordPress, enchaîne les faux pas. Avec quatre vulnérabilités depuis mars, dont la dernière CVE-2024-50550, le plugin fait désormais figure de passoire numérique.

Avec un score CVSS de 8,1 qu'envierait un patineur artistique, un visiteur lambda peut potentiellement devenir administrateur du site, installer des plugins malveillants et transformer votre belle vitrine digitale en terrain de jeu pour des hackers pas vraiment catholiques. La question n’est plus de savoir si cette situation peut se répéter, mais à quelle fréquence ces failles pourraient compromettre la sécurité des utilisateurs.

Un plugin qui permet à n'importe qui de devenir administrateur sans mot de passe

Le plugin LiteSpeed Cache, qu'on ne présente plus pour ses capacités d’optimisation, finira par être plus célèbre pour ses failles que ses performances. Il a montré de graves lacunes dans la gestion de son hachage de sécurité, un maillon faible qui a permis l'accès admin non autorisé.

Dans le détail, exploitée via la fonction « is_role_simulation », cette faille repose sur un contrôle de hachage insuffisant, utilisant une vérification basée sur le flash hash et un cookie dédié. Or, cette protection n’a pas résisté aux tentatives de forçage. Et pour cause, les cookies utilisés pour la vérification contiennent des hachages trop prévisibles, générés à l’aide de fonctions PHP basiques comme mt_rand(), qui, comme le précise le site spécialisé en cybersécurité Patchstack, « bien qu’aléatoires, manquent de complexité pour des applications de sécurité ». Une erreur étonnante pour un plugin de cette envergure.

Et comme si cette brèche ne suffisait pas à faire vaciller le bâtiment, pour que l'attaque soit efficace, il suffit que le propriétaire du site ait activé certaines configurations précises au niveau du Crawler, dont la « simulation de rôle ». Cette configuration est censée limiter la charge des serveurs en simulant des interactions et non en permettant des prises de contrôle.

En clair, pour que la magie noire opère, plusieurs conditions doivent être réunies : le crawler doit être activé, avec une durée d'exécution entre 2 500 et 4 000 secondes, et surtout, la limite de charge serveur doit être configurée sur zéro. Un alignement d'étoiles qui permet à un attaquant de forcer un hachage de sécurité, contourner les vérifications d'IP et usurper une identité administrative.

Deux failles critiques en deux mois pour LiteSpeed Cache, ça commence à faire un peu beaucoup - © Choong Deng Xiang / Unsplash

Le contexte juridique entre WordPress et WP Engine ajoute un obstacle supplémentaire à la sécurité des plugins

Et pour couronner le tout, l'imbroglio juridique entre Automattic, la maison-mère de WordPress et WP Engine, vient mettre son grain de sel dans la panade.

Certains développeurs, lassés d'attendre le dénouement de cette affaire dans laquelle ils ne sont que des victimes collatérales, se détournent du répertoire officiel de WordPress.org. Cette désertion entraîne la suppression de certains plugins de la boutique et prive les utilisateurs des mises à jour automatiques ou correctifs essentiels à leur sécurité. En conséquence, certains plugins sont directement supprimés du répertoire officiel, privant ainsi les utilisateurs de mises à jour automatiques, qui incluent souvent des correctifs de sécurité.

Oliver Sild, le PDG de Patchstack, prévient : « Les utilisateurs qui n'installent pas manuellement les plugins supprimés du référentiel WordPress.org risquent de ne pas recevoir les nouvelles mises à jour qui peuvent inclure des correctifs de sécurité importants ».

Avec 4 failles depuis le début de l'année, LiteSpeed devrait revoir sa copie -

Si l’absence de mises à jour est souvent attribuée à l’oubli ou à la négligence, pour une fois, les coupables ne sont pas ceux que l'on croit. Pendant ce temps, Patchstack bat le rappel des utilisateurs de LiteSpeed Cache pour une mise à jour urgente du plugin.

WordPress
  • moodVersion d'essai disponible
  • settingsHébergé / pré-installé
  • storage1 Go à 200 Go de stockage
  • extensionPlugins disponibles
  • format_paintThemes disponibles
  • shopping_bagAdapté aux sites e-commerce
8 / 10
Voir le site
Lire le test

Sources : The Hacker News, Patchstack