OpenLiteSpeed Web Server, popularny serwer sieciowy typu open source na całym świecie, miał kilka bardzo poważnych luk, ostrzegają eksperci.
Badacze z Unit 42, działu badań nad cyberbezpieczeństwem Palo Alto Networks, twierdzą, że cyberprzestępcy, którzy z powodzeniem wykorzystaliby te luki, otrzymaliby w pełni uprzywilejowane możliwości zdalnego wykonywania kodu.
Zespół odkrył, że OpenLiteSpeed Web Server ma trzy podatności o wysokim poziomie ważności, a mianowicie CVE-2022-0073 (ocena ważności 8,8, błąd zdalnego wykonania kodu o wysokim poziomie ważności), CVE-2022-0074 (luka eskalacji uprawnień o wysokim poziomie ważności 8,8 ) i CVE-2022-0072 (błąd przechodzenia katalogu o średnim poziomie ważności 5.8). Luki dotyczyły również wersji Enterprise, LiteSpeed Web Server.
poprawka gotowa
Jednostka 42 poinformowała LiteSpeed Technologies o swoich odkryciach, która następnie naprawiła wady i wydała nowe wersje serwera, wzywając użytkowników do natychmiastowej aktualizacji oprogramowania.
Organizacje korzystające z OpenLiteSpeed w wersji 1.5.11 do 1.7.16, a także LiteSPeed w wersji 5.4.6 do 6.0.11, zachęca się do ustawienia swoich punktów końcowych (otwiera się w nowej karcie) na 1.7.16.1 i 6.0 .12 jak najszybciej jak to możliwe.
Według Unit 42, serwer WWW LiteSpeed jest szóstą najpopularniejszą ofertą internetową, obsługującą około 2% wszystkich aplikacji serwerowych, z prawie 1,9 miliona unikalnych serwerów na całym świecie.
„Próbowaliśmy naśladować działania przeciwnika i zaangażowaliśmy się w badania mające na celu znalezienie luk w zabezpieczeniach i ujawnienie ich sprzedawcy” – wyjaśnili badacze w poście na blogu (otwiera się w nowej pestaña).
„Dochodzenie zaowocowało odkryciem trzech luk w zabezpieczeniach, które dotyczą zarówno rozwiązań korporacyjnych, jak i rozwiązań typu open source. Mogą one zostać powiązane i wykorzystane przez przeciwnika z poświadczeniami panelu administracyjnego w celu uzyskania uprzywilejowanego wykonania kodu na wrażliwych komponentach.
Serwery internetowe przeszły długą drogę pod względem bezpieczeństwa, podsumowuje Unit 42, dodając, że pomimo optymistycznych prognoz wciąż wykrywane są luki w zabezpieczeniach ze względu na szybkie tempo zmian technologicznych.