Hackers estão explorando ativamente uma falha crítica de execução de código remoto (RCE) que afeta o tema Brick Builder para executar código PHP malicioso em sites vulneráveis.
O tema Bricks Builder é um tema premium do WordPress descrito como um construtor de sites visual inovador e orientado pela comunidade.
Com cerca de 25.000 instalações ativas, o produto promove a facilidade de uso e customização no design de sites.
Em 10 de fevereiro, um pesquisador chamado ‘snicco’ descobriu uma vulnerabilidade atualmente rastreada como CVE-2024-25600 que afeta o tema Brick Builder instalado com sua configuração padrão.
O problema de segurança se deve a uma chamada de função eval na função 'prepare_query_vars_from_settings', que poderia permitir a um usuário não autenticado explorá-la para executar código PHP arbitrário.
A plataforma Patchstack para vulnerabilidades de segurança no WordPress recebeu o relatório e notificou a equipe do Bricks.
Uma correção ficou disponível em 13 de fevereiro com o lançamento da versão 1.9.6.1.
A assessoria do fornecedor observou na ocasião que não havia evidências da falha ser explorada, mas instou os usuários a atualizarem para a versão mais recente o mais rápido possível.
“No momento deste lançamento, não há evidências de que esta vulnerabilidade tenha sido explorada.
No entanto, o potencial para exploração aumenta quanto mais demorada é a atualização para 1.9.6.1", lê-se no boletim do Bricks.
"Atualize todos os seus sites Bricks para o Bricks 1.9.6.1 mais recente o mais rápido possível.
Mas pelo menos dentro das próximas 24 horas.
Quanto mais cedo, melhor", instou o desenvolvedor aos administradores.
No mesmo dia, snicco divulgou alguns detalhes sobre a vulnerabilidade.
Hoje, o pesquisador atualizou o post original para incluir uma demonstração para o ataque, mas não o código de exploração.
Em uma postagem hoje, a Patchstack também compartilhou detalhes completos sobre o CVE-2024-25600, após detectar tentativas de exploração ativa que começaram em 14 de fevereiro.
A empresa explica que a falha surge da execução de entrada controlada pelo usuário por meio da função eval em prepare_query_vars_from_settings, com $php_query_raw construído a partir de queryEditor.
A exploração deste risco de segurança é possível através dos endpoints da API REST para renderização no lado do servidor, apesar de uma verificação de nonce em render_element_permissions_check, devido a nonces publicamente acessíveis e verificações de permissão inadequadas, que permitem acesso não autenticado.
Patchstack diz que observou na fase pós-exploração que os atacantes usaram malware específico que pode desativar plug-ins de segurança como Wordfence e Sucuri.
Os seguintes endereços IP foram associados à maioria dos ataques:
200.251.23.57
92.118.170.216
103.187.5.128
149.202.55.79
5.252.118.211
91.108.240.52
Wordfence também confirmou o status de exploração ativa do CVE-2024-25600 e relatou ter visto 24 detecções no último dia.
Os usuários do Bricks são recomendados a atualizar para a versão 1.9.3.1 imediatamente, seja navegando em "Aparência > Temas" no painel do WordPress e clicando em "update", ou manualmente a partir daqui.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...