Οι χάκερ εκμεταλλεύονται ενεργά ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα (RCE) που επηρεάζει το Brick Builder Theme για την εκτέλεση κακόβουλου κώδικα PHP σε ευάλωτες τοποθεσίες.
Το Bricks Builder Theme είναι ένα premium θέμα WordPress που περιγράφεται ως ένα καινοτόμο πρόγραμμα δημιουργίας οπτικών ιστοτόπων με γνώμονα την κοινότητα. Με περίπου 25.000 ενεργές εγκαταστάσεις, το προϊόν προωθεί τη φιλικότητα προς τον χρήστη και την προσαρμογή στη σχεδίαση ιστοτόπων.
Στις 10 Φεβρουαρίου, ένας ερευνητής με το όνομα ‘snicco’ ανακάλυψε μια ευπάθεια που επί
του
παρόντος παρακολουθείται ως CVE-2024-25600 που επηρεάζει το Θέμα Brick Builder που είναι εγκατεστημένο με την προεπιλεγμένη διαμόρφωσή του.
Το θέμα ασφάλειας οφείλεται σε ένα
ισοτιμία
κλήση συνάρτησης στη συνάρτηση ‘prepare_query_vars_from_settings’, η οποία θα μπορούσε να επιτρέψει σε έναν μη πιστοποιημένο χρήστη να την εκμεταλλευτεί για να εκτελέσει αυθαίρετο κώδικα PHP.
Η πλατφόρμα Patchstack για τρωτά σημεία ασφαλείας στο WordPress έλαβε την αναφορά και ειδοποίησε την ομάδα του Bricks. Μια ενημέρωση κώδικα έγινε διαθέσιμη στις 13 Φεβρουαρίου με την κυκλοφορία της έκδοσης 1.9.6.1.
Η συμβουλή του προμηθευτή σημείωσε τότε ότι δεν υπήρχαν ενδείξεις εκμετάλλευσης του ελαττώματος, αλλά προέτρεψε τους χρήστες να αναβαθμίσουν στην πιο πρόσφατη έκδοση το συντομότερο δυνατό.
«Μέχρι τη στιγμή αυτής της κυκλοφορίας, δεν υπάρχουν στοιχεία ότι αυτή η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης. Ωστόσο, η δυνατότητα εκμετάλλευσης αυξάνεται όσο περισσότερο καθυστερεί η ενημέρωση στην 1.9.6.1», αναφέρει
Δελτίο Bricks
.
«Ενημερώστε όλους τους ιστότοπους Bricks στην πιο πρόσφατη έκδοση Bricks 1.9.6.1 το συντομότερο δυνατό. Τουλάχιστον όμως μέσα στις επόμενες 24 ώρες. Όσο νωρίτερα, τόσο το καλύτερο», προέτρεψε ο προγραμματιστής τους διαχειριστές.
Την ίδια μέρα, η snicco αποκάλυψε ορισμένες λεπτομέρειες σχετικά με την ευπάθεια. Σήμερα ο ερευνητής
ενημέρωσε την αρχική ανάρτηση
να περιλαμβάνει μια επίδειξη για την επίθεση αλλά όχι τον κώδικα εκμετάλλευσης.
Ενεργή εκμετάλλευση σε εξέλιξη
Σε σημερινή ανάρτηση, το Patchstack επίσης
κοινοποιήθηκαν πλήρεις λεπτομέρειες
για το CVE-2024-25600, μετά τον εντοπισμό ενεργών προσπαθειών εκμετάλλευσης που ξεκίνησαν στις 14 Φεβρουαρίου.
Η εταιρεία εξηγεί ότι το ελάττωμα προκύπτει από την εκτέλεση εισόδου ελεγχόμενη από τον χρήστη μέσω του
ισοτιμία
λειτουργία σε
προετοιμασία_ερώτησης_vars_from_settings
με
$php_query_raw
κατασκευάστηκε από το queryEditor.
Η εκμετάλλευση αυτού του κινδύνου ασφαλείας είναι δυνατή μέσω των τελικών σημείων REST API για απόδοση από την πλευρά του διακομιστή, παρά το μη κανονικό check in
render_element_permissions_check
λόγω δημόσιας πρόσβασης nonces και ανεπαρκών ελέγχων άδειας, οι οποίοι επιτρέπουν πρόσβαση χωρίς έλεγχο
ταυτότητα
ς.
Το Patchstack λέει ότι έχει παρατηρήσει στη φάση μετά την εκμετάλλευση ότι οι εισβολείς χρησιμοποίησαν συγκεκριμένο
κακόβουλο λογισμικό
που μπορεί να απενεργοποιήσει πρόσθετα ασφαλείας όπως το Wordfence και το Sucuri.
Οι ακόλουθες διευθύνσεις IP έχουν συσχετιστεί με τις περισσότερες από τις επιθέσεις:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence
επιβεβαιώθηκε επίσης
την κατάσταση ενεργού εκμετάλλευσης του CVE-2024-25600 και αναφέρθηκε ότι είδαμε 24 ανιχνεύσεις την περασμένη ημέρα.
Συνιστάται στους χρήστες του Bricks να κάνουν αναβάθμιση στην έκδοση 1.9.3.1
αμέσως
είτε πλοηγώντας «Εμφάνιση > Θέματα» στον πίνακα ελέγχου του WordPress και κάνοντας κλικ στην «ενημέρωση» είτε χειροκίνητα
από εδώ
.
VIA:
bleepingcomputer.com