Эксперты предупреждают, что OpenLiteSpeed Web Server, всемирно популярный веб-сервер с открытым исходным кодом, содержит несколько уязвимостей высокой степени серьезности.
Злоумышленники, которым удалось воспользоваться этими уязвимостями, получили бы полные привилегии удаленного выполнения кода, отметили исследователи из Unit 42, исследовательского подразделения Palo Alto Networks в области кибербезопасности.
Команда обнаружила, что веб-сервер OpenLiteSpeed содержит три уязвимости высокой степени опасности, а именно CVE-2022-0073 (оценка серьезности 8,8, уязвимость удаленного выполнения кода высокой серьезности), CVE-2022-0074 (уязвимость повышения привилегий 8,8), и CVE-2022-0072 (уязвимость обхода каталога 5.8 со средней степенью серьезности). Уязвимости также затронули корпоративную версию LiteSpeed Web Server.
Патч готов
Unit 42 уведомил LiteSpeed Technologies о своих выводах, которые впоследствии исправили недостатки и выпустили новые версии сервера, призывая пользователей немедленно обновить свое программное обеспечение.
Организациям, использующим OpenLiteSpeed версий 1.5.11–1.7.16, а также LiteSPeed версий 5.4.6–6.0.11, настоятельно рекомендуется использовать свои конечные точки. (откроется в новой вкладке) до 1.7.16.1 и 6.0.12 как можно скорее.
По данным Unit 42, веб-сервер LiteSpeed является шестым по популярности веб-предложением, обслуживая примерно 2% всех приложений веб-сервера и почти 1,9 миллиона уникальных серверов по всему миру.
«Мы пытались имитировать действия злоумышленника и занимались исследованиями с намерением найти уязвимости и раскрыть их поставщику», — пояснили исследователи в сообщении. Сообщение блога (откроется в новой вкладке).
«В результате этого исследования были обнаружены три уязвимости, которые затрагивают как корпоративные решения, так и решения с открытым исходным кодом. Они могут быть объединены и использованы злоумышленником, у которого есть учетные данные для панели администратора, чтобы получить привилегированное выполнение кода на уязвимых компонентах».
Веб-серверы прошли долгий путь с точки зрения безопасности и защиты, заключает Unit 42, добавляя, что, несмотря на оптимистичный прогноз, уязвимости все еще обнаруживаются из-за быстрого темпа технологического развития.
