Avisos
Vaciar todo
Hola, constantemente veo registros de bloqueo del WAF de Jetpack en mi sitio en relación a LiteSpeed
Jetpack WAF Blocked Request block 99110049 403 LiteSpeed Cache Privilege Escalation
Son varios días y repetidas veces en el mismo día, alguna sugerencia?
Contenido solo visible a usuarios registrados
Respondido : 07/10/2024 4:17 pm
Hola Tomás,
Aquí tienes una explicación de esto por parte del propio plugin de Wordfence:
Entiendo que debe ser por la versión sin actualizar del plugin de jetpack que tienes:
Jetpack VaultPress Backup -- 2.9 cuando la última versión es la 13.9
Verifica actualizar los plugins y no dejarlos tanto tiempo sin actualizarlos.
Un saludo 🖐️
Respondido : 07/10/2024 4:30 pm
Gracias por la celeridad de respuesta.
Decirte que no tengo ningún plugin instalado de caché en relación a Litespeed, utilizo WP Rocket y la caché del servidor, varnish y microcaché.
Por otro lado, no me piden actualizar los plugin
Respondido : 07/10/2024 4:35 pm
Hola Tomas,
Verifica descargar el propio plugin:
https://wordpress.org/plugins/jetpack-backup/
Y realizas una instalación manual, esto hará que se fuerce la actualización del mismo. Verifica con esto y nos comentas si dejas de ver el aviso.
Un saludo 🖐️
Respondido : 07/10/2024 5:11 pm
Apreciado Argenis, no te entiendo, la versión que muestra en la página del plugin es la 2.9, la misma que tengo yo instalada 🙂
Pero me importa mucho más saber porqué bloquea un plugin que yo no tengo instalado, reitero, yo uso WP Rocket, no tengo instalado Litespeed. Es que lo usáis vosotros en el servidor?
Respondido : 07/10/2024 8:10 pm
Hola Tomas,
El servidor no utiliza plugins de caché en tu instalación, los plugins que se toma en tu sitio son los instalados por ti, a nivel del servidor es otro sistema que no está ni siquiera tomado en cuenta por parte de estos plugins.
Hay varios factores que pueden estar afectando allí, sin embargo, no nos envías una captura de que plugin es el que te genera este aviso, no sabemos si es un aviso de error o solo un aviso informativo. Recuerda darnos más información sobre los problemas o mensajes para poder verificar a fondo. Dicho esto, tampoco encontramos dicho aviso en tu asistente virtual stephan y no vemos ninguna anomalía más allá de las reglas de seguridad adicionales que has implementado en tu servidor y una IP que indica como sospechosa ingresando a FTP accediendo de estados unidos.
Con respecto a la versión del plugin es correcto, la versión 13 corresponde al jetpack base, no al que utilizas de backup.
Un saludo 🖐️
Respondido : 07/10/2024 8:45 pm
Igual no me expliqué correctamente Argenis, te pido disculpas anticipadas.
Son registros que veo en el archivo error_log en el adminstrador de archivos de cpanel.
Yo utilizo Jetpack Security, y veo registros continuos como este: Jetpack WAF Blocked Request block 99110049 403 LiteSpeed Cache Privilege Escalation
Y lo que me ha llegado a sorprender verdaderamente es que no utilizo LiteSpeed cache, utilizo WP Rocket, por lo que me he quedado un poco confuso.
También he observado en Google analitys visitas que aterrizan en Forbidden 403, que igual puede estar relacionado
Respondido : 07/10/2024 8:58 pm
Hola Tomas,
Si no lo tienes instalado en tu sitio, imagino que este mensaje de error viene con algo mas adicional a ese codigo de error, nos compartes una captura o el error log para poder validarlo? es curioso lo que nos comentas, sin embargo, como te indico hay más de un factor que pueda estar afectando, es posible que en algún punto instalases el plugin y quedo algún retazo de este en tu base de datos, si quieres asegurarte que tu sitio está limpio envía un ticket a soporte para que lo validen contigo.
Un saludo 🖐️
Respondido : 08/10/2024 12:26 am
Adjunto captura
Respondido : 08/10/2024 5:25 am
Hola Tomás
El error Jetpack WAF Blocked Request block 99110049 403 LiteSpeed Cache Privilege Escalation está relacionado con la combinación del plugin Jetpack y la protección WAF (Web Application Firewall), que detecta un intento de explotación o escalada de privilegios, posiblemente relacionado con el plugin LiteSpeed Cache aunque veo que no lo tienes instalado
-
Jetpack WAF Blocked Request: Esto significa que el firewall de la aplicación web está bloqueando una solicitud de un visitante o usuario. Los WAF están diseñados para proteger el sitio de ataques y vulnerabilidades conocidas.
-
block 99110049: Este código específico es un ID de regla del WAF. Cada regla dentro del firewall tiene un ID que representa un tipo particular de amenaza o comportamiento malicioso. El número
99110049se asocia con intentos de escalada de privilegios, lo que indica que un usuario no autorizado está intentando obtener permisos adicionales. -
403 Forbidden: El código 403 indica que el servidor ha bloqueado el acceso a la solicitud. Esto es una medida de seguridad para proteger el sitio.
-
LiteSpeed Cache Privilege Escalation: Parece que el WAF está detectando una posible vulnerabilidad o intento de ataque relacionado con el plugin LiteSpeed Cache. La escalada de privilegios ocurre cuando un atacante intenta obtener acceso a funciones o datos que normalmente no estarían disponibles para él.
Al no tener el plugin LiteSpeed instalado es posible que sea Falsos positivos del WAF:
1. Falso positivo del WAF:
- El WAF (Web Application Firewall) puede estar detectando alguna actividad de otro plugin o funcionalidad de tu sitio como potencial amenaza, aunque no esté relacionada con LiteSpeed Cache.
- Es posible que la referencia a LiteSpeed Cache sea un identificador genérico en la regla del WAF, y no necesariamente indique que este plugin está instalado en tu sitio.
2. Conflicto con otro plugin:
-
Aunque no tengas LiteSpeed, otros plugins o procesos pueden estar activando esta regla de seguridad. Jetpack, en particular, realiza muchas tareas de backend (como la sincronización de datos, escaneo de seguridad, etc.) que podrían ser malinterpretadas por el WAF.
-
Además, plugins de caché o seguridad como WP Rocket, W3 Total Cache, o Wordfence también podrían generar conflictos que el WAF interpreta erróneamente como una amenaza de escalada de privilegios.
3. Reglas del WAF genéricas:
-
Algunos WAF tienen reglas genéricas para ciertos tipos de amenazas comunes. Aunque mencionen LiteSpeed Cache en el mensaje de error, la regla puede estar aplicándose de manera más amplia a cualquier actividad que se asemeje a una vulnerabilidad de "privilege escalation" (escalada de privilegios).
Revisando veo que están intentando acceder a una ruta que no existe:
[08/Oct/2024:05:48:29 +0200] "POST /?rest_route=/litespeed/v1/ HTTP/1.1" 403 59 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36
Es posible que estén intentado acceder al plugin LiteSpeed para aprovecharse de una vulnerabilidad que tenía pero al no tenerlo instalado devuelve un error de " No se ha encontrado ninguna ruta que coincida con la URL y el método de la solicitud " pero el firewall de Jetpack detecta el acceso y salta la regla 99110049
En principio no tienes que hacer nada ya que es un Falso positivo
Un Saludo
Respondido : 08/10/2024 12:23 pm
Hola Tomás,
Gracias a ti, es un placer para nosotros siempre poder ayudarte.
No dudes en escribirnos si tienes cualquier otra consulta.
Un Saludo 😊
Respondido : 08/10/2024 8:20 pm
