Hakeri aktivno iskorištavaju kritičnu grešku u daljinskom izvršavanju koda (RCE) koja utiče na temu Brick Builder za pokretanje zlonamjernog PHP koda na ranjivim stranicama.
Tema Bricks Builder je vrhunska WordPress tema opisana kao inovativni vizualni graditelj web stranica vođen zajednicom. Sa oko 25.000 aktivnih instalacija, proizvod promoviše jednostavnost i prilagođavanje u dizajnu web stranice.
10. februara, istraživač po imenu ‘snicco’ otkrio je ranjivost koja se trenutno prati kao CVE-2024-25600 koja utiče na instaliranu temu Brick Builder sa svojom zadanom konfiguracijom.
Sigurnosni problem je zbog poziva funkcije eval u funkciji ‘prepare_query_vars_from_settings’, koja bi mogla omogućiti neautorizovanom korisniku da je iskoristi za izvršavanje proizvoljnog PHP koda.
Patchstack platforma za sigurnosne propuste u WordPress-u je primila izvještaj i obavijestila Bricks tim. Ispravka je postala dostupna 13. februara sa izdanjem verzije 1.9.6.1.
U savjetu dobavljača je tada navedeno da nema dokaza da je greška iskorištavana, ali su korisnici pozvani da što prije nadograde na najnoviju verziju.
“U vrijeme objavljivanja ovog izdanja, nema dokaza da je ova ranjivost iskorištena. Međutim, potencijal za eksploataciju se povećava što se duže odlaže ažuriranje na 1.9.6.1”, stoji u Bricksovom biltenu.
“Ažurirajte sve svoje Bricks stranice na najnoviju verziju Bricks 1.9.6.1 što je prije moguće. Učinite to barem u naredna 24 sata. Što ranije, to bolje”, apelovao je programer na administratore.
Istog dana, snicco je otkrio neke detalje o ranjivosti. Danas je istraživač ažurirao originalnu objavu kako bi uključio demo za napad, ali ne i eksploatacijski kod.
Aktivna eksploatacija u toku
U današnjoj objavi, Patchstack je takođe podijelio kompletne detalje za CVE-2024-25600, nakon što je otkrio aktivne pokušaje eksploatacije koji su počeli 14. februara.
Kompanija objašnjava da mana proizlazi iz izvršavanja unosa koji kontroliše korisnik preko funkcije eval u prepare_query_vars_from_settings, sa $php_query_raw konstruisanim iz queryEditor-a.
Iskorištavanje ovog sigurnosnog rizika moguće je putem krajnjih tačaka REST API-ja za server-side rendering, uprkos nonce provjeri u render_element_permissions_check, zbog javno dostupnih nonces i neadekvatnih provjera dozvola, koje dozvoljavaju neautorizovan pristup.
Patchstack kaže da je u fazi nakon eksploatacije primijetio da su napadači koristili određeni malver koji može onemogućiti sigurnosne dodatke kao što su Wordfence i Sucuri.
Sljedeće IP adrese su povezane sa većinom napada:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence je takođe potvrdio aktivni status eksploatacije CVE-2024-25600 i prijavio da je vidio 24 detekcije u proteklom danu.
Izvor: BleepingComputer
