Тема WordPress Bricks подвергается активной атаке: критический недостаток затрагивает более 25 000 сайтов

Критический недостаток безопасности в теме Bricks для WordPress активно используется злоумышленниками для запуска произвольного PHP-кода на уязвимых установках.

Недостаток, отслеживаемый как CVE-2024-25600 (оценка CVSS: 9,8), позволяет злоумышленникам, не прошедшим проверку подлинности, осуществлять удаленное выполнение кода. Это влияет на все версии Bricks вплоть до 1.9.6 включительно.

Разработчики темы исправили ее в версии 1.9.6.1, выпущенной 13 февраля 2024 года, всего через несколько дней после того, как поставщик безопасности WordPress Snicco сообщил об ошибке 10 февраля.

Хотя эксплойт для проверки концепции (PoC) не был выпущен, Snicco и Patchstack опубликовали технические подробности, отметив, что базовый уязвимый код существует в функции prepare_query_vars_from_settings().

В частности, это касается использования токенов безопасности, называемых “одноразовыми номерами”, для проверки разрешений, которые затем могут быть использованы для передачи произвольных команд на выполнение, эффективно позволяя субъекту угрозы захватить контроль над целевым сайтом.

Значение одноразового использования является общедоступным во интерфейсе сайта WordPress, сказал Patchstack, добавив, что не применяются адекватные проверки ролей.

“Одноразовые номера никогда не следует использовать для аутентификации, авторизации или контроля доступа”, – предупреждает WordPress в своей документации. “Защищайте свои функции с помощью current_user_can () и всегда предполагайте, что одноразовые номера могут быть скомпрометированы”.

Компания по безопасности WordPress Wordfence заявила, что обнаружила более трех десятков попыток атак с использованием этого недостатка по состоянию на 19 февраля 2024 года. Сообщается, что попытки эксплуатации начались 14 февраля, на следующий день после публичного раскрытия.

Большинство атак происходит со следующих IP-адресов –

  • 200.251.23[.]57
  • 92.118.170[.]216
  • 103.187.5[.]128
  • 149.202.55[.]79
  • 5.252.118[.]211
  • 91.108.240[.]52

По оценкам, на данный момент у Bricks около 25 000 активных установок. Пользователям плагина рекомендуется применять последние исправления для смягчения потенциальных угроз.