Hackers exploram falha crítica de RCE no construtor de sites Bricks WordPress
20 de Fevereiro de 2024

Hackers estão explorando ativamente uma falha crítica de execução de código remoto (RCE) que afeta o tema Brick Builder para executar código PHP malicioso em sites vulneráveis.

O tema Bricks Builder é um tema premium do WordPress descrito como um construtor de sites visual inovador e orientado pela comunidade.

Com cerca de 25.000 instalações ativas, o produto promove a facilidade de uso e customização no design de sites.

Em 10 de fevereiro, um pesquisador chamado ‘snicco’ descobriu uma vulnerabilidade atualmente rastreada como CVE-2024-25600 que afeta o tema Brick Builder instalado com sua configuração padrão.

O problema de segurança se deve a uma chamada de função eval na função 'prepare_query_vars_from_settings', que poderia permitir a um usuário não autenticado explorá-la para executar código PHP arbitrário.

A plataforma Patchstack para vulnerabilidades de segurança no WordPress recebeu o relatório e notificou a equipe do Bricks.

Uma correção ficou disponível em 13 de fevereiro com o lançamento da versão 1.9.6.1.

A assessoria do fornecedor observou na ocasião que não havia evidências da falha ser explorada, mas instou os usuários a atualizarem para a versão mais recente o mais rápido possível.

“No momento deste lançamento, não há evidências de que esta vulnerabilidade tenha sido explorada.

No entanto, o potencial para exploração aumenta quanto mais demorada é a atualização para 1.9.6.1", lê-se no boletim do Bricks.

"Atualize todos os seus sites Bricks para o Bricks 1.9.6.1 mais recente o mais rápido possível.

Mas pelo menos dentro das próximas 24 horas.

Quanto mais cedo, melhor", instou o desenvolvedor aos administradores.

No mesmo dia, snicco divulgou alguns detalhes sobre a vulnerabilidade.

Hoje, o pesquisador atualizou o post original para incluir uma demonstração para o ataque, mas não o código de exploração.

Em uma postagem hoje, a Patchstack também compartilhou detalhes completos sobre o CVE-2024-25600, após detectar tentativas de exploração ativa que começaram em 14 de fevereiro.

A empresa explica que a falha surge da execução de entrada controlada pelo usuário por meio da função eval em prepare_query_vars_from_settings, com $php_query_raw construído a partir de queryEditor.

A exploração deste risco de segurança é possível através dos endpoints da API REST para renderização no lado do servidor, apesar de uma verificação de nonce em render_element_permissions_check, devido a nonces publicamente acessíveis e verificações de permissão inadequadas, que permitem acesso não autenticado.

Patchstack diz que observou na fase pós-exploração que os atacantes usaram malware específico que pode desativar plug-ins de segurança como Wordfence e Sucuri.

Os seguintes endereços IP foram associados à maioria dos ataques:

200.251.23.57
92.118.170.216
103.187.5.128
149.202.55.79
5.252.118.211
91.108.240.52

Wordfence também confirmou o status de exploração ativa do CVE-2024-25600 e relatou ter visto 24 detecções no último dia.

Os usuários do Bricks são recomendados a atualizar para a versão 1.9.3.1 imediatamente, seja navegando em "Aparência > Temas" no painel do WordPress e clicando em "update", ou manualmente a partir daqui.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...