A hackerek aktívan kihasználják a Brick Builder Theme-t érintő kritikus RCE hibát, amelynek segítségével rosszindulatú PHP kódot futtathatnak a sebezhető webhelyeken.
A Bricks Builder Theme egy prémium WordPress téma, amelyet innovatív, közösségvezérelt vizuális oldalépítőként írnak le. A mintegy 25000 aktív telepítéssel rendelkező termék a felhasználóbarátságot és a testreszabhatóságot segíti elő a webhelyek tervezésében.
Február 10-én egy “snicco” nevű kutató felfedezett egy sebezhetőséget, amelyet CVE-2024-25600 néven követnek nyomon, és amely az alapértelmezett konfigurációval telepített Brick Builder Theme-t érinti. A biztonsági probléma a prepare_query_vars_from_settings
függvényben található eval
függvényhívásnak köszönhető, amely lehetővé teheti egy hitelesítés nélküli felhasználó számára, hogy kihasználva azt, tetszőleges PHP kódot futtason.
A WordPress biztonsági réseit vizsgáló Patchstack platform megkapta a bejelentést, és értesítette a Bricks csapatát. A javítás február 13-án vált elérhetővé az 1.9.6.1 verzió kiadásával. Ugyanezen a napon a “snicco” nyilvánosságra hozott néhány részletet a sebezhetőségről. Később a kutató frissítette az eredeti bejegyzést, egy a támadáshoz használt demóval, de exploit kódot nem mellékelt. Most a Patchstack megosztotta a CVE-2024-25600 részleteit, miután február 14-től kezdődően aktív kihasználási kísérleteket észlelt.
A Patchstack azt mondja, hogy a kihasználás utáni fázisban a támadók olyan speciális kártevőket használtak, amelyek képesek hatástalanítani az olyan biztonsági bővítményeket, mint a Wordfence és a Sucuri.
A következő IP-címeket hozták kapcsolatba a legtöbb támadással:
- 251[.]23.57
- 118[.]170.216
- 187[.]5.128
- 202[.]55.79
- 252[.]118.211
- 108[.]240.52
A Bricks felhasználóinak ajánlott azonnal frissíteniük az 1.9.3.1-es verzióra, akár a WordPress dashboard “Appearance > Themes” menüpontjában a “Frissítés” gombra kattintva, akár manuálisan innen.