Хакеры активно используют критический недостаток удаленного выполнения кода (RCE), влияющий на тему Brick Builder, для запуска вредоносного PHP-кода на уязвимых сайтах.
The Bricks Builder Theme — это тема WordPress премиум-класса, описываемая как инновационный визуальный конструктор сайтов, управляемый сообществом. Имея около 25 000 активных установок, этот продукт обеспечивает удобство для пользователя и возможность настройки дизайна веб-сайтов.
10 февраля исследователь по имени snicco обнаружил уязвимость, отслеживаемую в настоящее время как CVE-2024-25600, которая влияет на тему Brick Builder, установленную с конфигурацией по умолчанию.
Проблема безопасности связана с оценивать вызов функции в функции prepare_query_vars_from_settings, что может позволить неаутентифицированному пользователю использовать ее для выполнения произвольного PHP-кода.
Платформа Patchstack для выявления уязвимостей безопасности в WordPress получила отчет и уведомила команду Bricks. Исправление стало доступно 13 февраля с выходом версии 1.9.6.1.
В сообщении производителя тогда отмечалось, что не было никаких доказательств использования этой уязвимости, но призывали пользователей как можно скорее обновиться до последней версии.
«На момент выпуска этого релиза нет никаких доказательств того, что эта уязвимость была использована. Однако вероятность взлома возрастает по мере задержки обновления до 1.9.6.1», — говорится в бюллетене Bricks.
«Как можно скорее обновите все свои сайты Bricks до последней версии Bricks 1.9.6.1. Но по крайней мере в течение следующих 24 часов. Чем раньше, тем лучше», — призвал администраторов разработчик.
В тот же день snicco раскрыла некоторые подробности об уязвимости. Сегодня исследователь обновил исходный пост, включив в него демонстрацию атаки, но не код эксплойта.
Идет активная эксплуатация
В сегодняшнем сообщении Patchstack также поделился полной информацией об CVE-2024-25600 после обнаружения активных попыток эксплуатации, начавшихся 14 февраля.
Компания объясняет, что ошибка возникает из-за выполнения управляемого пользователем ввода через оценивать функционировать в подготовить_запрос_vars_from_settingsс $php_query_raw созданный из queryEditor.
Использование этой угрозы безопасности возможно через конечные точки REST API для рендеринга на стороне сервера, несмотря на проверку nonce. render_element_permissions_checkиз-за общедоступных одноразовых номеров и неадекватных проверок разрешений, которые допускают доступ без аутентификации.
Patchstack сообщает, что на этапе после эксплуатации злоумышленники использовали определенное вредоносное ПО, которое может отключать плагины безопасности, такие как Wordfence и Sucuri.
С большинством атак были связаны следующие IP-адреса:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence также подтвердил статус активной эксплуатации CVE-2024-25600 и сообщил о 24 обнаружениях за последний день.
Пользователям Bricks рекомендуется немедленно обновиться до версии 1.9.3.1, выбрав «Внешний вид > Темы» на панели управления WordPress и нажав «Обновить», или вручную отсюда.
2024-02-19 17:55:48
1708366137
#Хакеры #используют #критический #недостаток #RCE #конструкторе #сайтов #Bricks #WordPress
