LiteSpeed Cache 플러그인의 심각한 취약점이 해결되어 보안이 강화되었습니다.

WP-방화벽 보안팀

WordPress 사이트를 권한 상승 취약점으로부터 보호

끊임없이 진화하는 WordPress 보안 환경에서 최근의 취약성은 사전 예방적 방어 조치의 중요성을 강조했습니다. 그러한 중요한 취약성 중 하나는 최근 LiteSpeed Cache 플러그인에서 패치되어 500만 개 이상의 사이트에 영향을 미쳤습니다. 이 문서에서는 이 취약성의 세부 사항과 그것이 어떻게 악용되었는지에 대해 자세히 살펴보고 WordPress 사이트를 유사한 위협으로부터 보호하는 방법에 대한 통찰력을 제공합니다.

LiteSpeed Cache 플러그인의 취약점

WordPress의 인기 있는 캐싱 및 최적화 도구인 LiteSpeed Cache 플러그인은 심각한 권한 상승 취약점(CVE-2024-28000)으로 어려움을 겪었습니다. 이 취약점을 통해 인증되지 않은 공격자는 사용자 ID를 스푸핑하고 WordPress의 "사용자" REST API를 호출할 때 브라우저 쿠키에서 가져온 취약한 해시 검증을 악용하여 관리자 수준의 액세스 권한을 얻을 수 있었습니다.

취약점이 어떻게 악용되었는가

이 취약점은 플러그인의 역할 시뮬레이션 기능 구현에서 기인했습니다. 구체적으로, 비동기_라이트스피드_핸들러() 함수에 적절한 nonce 검사가 없어서 인증되지 않은 사용자가 함수를 트리거하고 보안 해시를 생성할 수 있었습니다. 이 해시는 크롤링을 시뮬레이션하고 잠재적으로 관리 역할에 액세스하는 데 사용되었습니다.

취약점 패치

이 문제를 해결하기 위해 LiteSpeed 팀은 여러 가지 보안 조치를 구현했습니다.

  • 해시 검증: 팀은 다음을 사용하여 해시 검증을 추가했습니다. 비동기 호출 해시 옵션 가치 라우터::async_litespeed_handler() 기능.
  • 일회용 해시: 추가 해시 검사, 라이트스피드 플래시 해시, 120초의 TTL로 도입되었습니다.
  • 보안 해시 생성: 보안 해시의 길이가 32개의 임의 문자로 늘어났습니다. 비동기 호출 해시, 라이트스피드 플래시 해시, 그리고 라이트스피드 해시.
  • 크롤러 역할 시뮬레이션: 이제 코드는 크롤러가 실행될 때마다 새로운 해시를 생성하고 유효성 검사를 위해 현재 요청 IP를 저장합니다.

주요 내용

  1. 선제적 방어: 공식 패치에만 의존하면 취약성의 창이 생길 수 있습니다. 실시간 보호 솔루션과 같은 사전 방어 조치는 사이트를 안전하게 유지하는 데 필수적입니다.
  2. 약한 해시 검증: 약한 해시 검증 메커니즘을 사용하면 공격자가 악용할 수 있습니다. 보안 해시의 강도와 예측 불가능성을 보장하는 것이 중요합니다.
  3. 플러그인 업데이트: 알려진 취약점이 악용되기 전에 이를 패치하기 위해 플러그인을 정기적으로 업데이트하는 것이 중요합니다.

WordPress 사이트 보호

WordPress 사이트를 유사한 취약점으로부터 보호하려면:

  1. 플러그인을 최신 상태로 유지하세요: 모든 플러그인을 정기적으로 업데이트하세요. 특히 LiteSpeed Cache와 같이 설치 횟수가 많은 플러그인을 업데이트하세요.
  2. 실시간 보호 기능 사용: 악용이 발생하자마자 이를 탐지하고 차단할 수 있는 실시간 보호 솔루션을 구현합니다.
  3. 업데이트 모니터링: 플러그인 개발자와 WordPress 코어의 보안 업데이트와 패치를 따르세요.
  4. 보안 해시 사용: 모든 보안 관련 기능이 강력하고 예측 불가능한 해시를 사용하는지 확인하세요.

결론

LiteSpeed Cache 플러그인의 최근 취약점은 WordPress에서 강력한 보안 조치의 중요성을 상기시켜줍니다. 선제적으로 대응하고 사이트를 최신 패치로 업데이트하면 손상 위험을 크게 줄일 수 있습니다. 선제적 방어는 WordPress 사이트를 새로운 위협으로부터 보호하는 데 필수적임을 기억하세요.

WordPress 보호 시작

권한 상승 취약점으로 인한 위협이 항상 존재하므로 강력한 보안 솔루션을 갖추는 것이 중요합니다. WP-방화벽 권한 상승 공격을 포함한 다양한 위협으로부터 WordPress 사이트를 보호하도록 설계된 고급 보안 기능을 제공합니다.

WP-Firewall PRO 플랜이 필요한 이유:

  • 실시간 보호: WP-Firewall은 악성 코드로부터 실시간 보호 기능을 제공하여 공식 패치가 나오기 전에도 사이트의 보안을 유지합니다.
  • 사용자 정의 가능한 규칙: 특정 요청을 차단하고 알려진 취약점으로부터 보호하기 위해 사용자 지정 방화벽 규칙을 만듭니다.
  • 고급 로깅: 자세한 로깅을 통해 트래픽을 모니터링하고 분석하여 잠재적인 위협을 더 쉽게 감지할 수 있습니다.
  • 정기 업데이트: 저희 팀은 플러그인을 최신 보안 패치와 기능으로 지속적으로 업데이트하고 있습니다.

WP-Firewall 무료 플랜에 가입하세요 https://my.wp-firewall.com/buy/wp-firewall-free-plan/

  • 기본 보호: 일반적인 위협으로부터 기본적인 보호를 받으려면 무료 플랜으로 시작하세요.
  • 나중에 업그레이드: 더욱 고급 기능이 필요하시면 PRO 플랜으로 쉽게 업그레이드하실 수 있습니다.

보안 뉴스레터 구독:

  • 최신 정보를 얻으세요: 보안 뉴스레터를 구독하여 최신 보안 소식과 팁을 받아보세요.
  • 15일 무료 체험: 15일 무료 체험판과 함께 뉴스레터 구독을 시도해 보고 사이트 보안을 어떻게 강화할 수 있는지 확인하세요.

너무 늦을 때까지 기다리지 마세요. 오늘 WP-Firewall로 WordPress 사이트를 보호하세요. 방문 WP-방화벽 자세한 내용을 알아보고 지금 당장 사이트 보안을 시작하세요.


wordpress security update banner

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요
!!

매주 WordPress 보안 업데이트를 이메일로 받아보려면 가입하세요.

우리는 스팸을 보내지 않습니다! 개인정보 보호정책 자세한 내용은