Brick Builder: hacker sfruttato bug RCE del tema WordPress

Alcuni hacker stanno sfruttando attivamente un difetto critico di esecuzione del codice remoto (RCE) che colpisce il tema Brick Builder. Ciò consente loro di eseguire codice PHP dannoso su siti vulnerabili. Bricks Builder è un tema WordPress premium, descritto come un innovativo builder che consente di realizzare siti web utilizzando un editor visuale. Con circa 25.000 installazioni attive, il prodotto promuove la facilità d'uso e la personalizzazione nella progettazione del sito web. Lo scorso 10 febbraio, un ricercatore chiamato "snicco" ha scoperto una vulnerabilità attualmente tracciata come CVE-2024-25600. Tale bug influisce sul tema Brick Builder installato con la sua configurazione predefinita. Il problema di sicurezza è dovuto a una chiamata di funzione eval nella funzione 'prepare_query_vars_from_settings', che potrebbe consentire a utenti non autenticati di sfruttarla per eseguire codice PHP arbitrario. La correzione della vulnerabilità è avvenuta con la versione 1.9.6.1 di Brick Builder (dopo la segnalazione alla piattaforma Patchstack).

Brick Builder: aggiornare subito il tema WordPress alla nuova versione

L'avviso del fornitore rilevava all'epoca che non c'erano prove che il difetto venisse sfruttato, ma esortava gli utenti ad aggiornare alla versione più recente il prima possibile. Come si legge sul blog di Brick Builder: “Al momento di questo rilascio, non ci sono prove che questa vulnerabilità sia stata sfruttata. Tuttavia, il potenziale di sfruttamento aumenta man mano che si ritarda l'aggiornamento alla versione 1.9.6.1. Aggiorna tutti i tuoi siti all'ultima versione Bricks 1.9.6.1 il prima possibile”. Lo stesso giorno, l’utente snicco ha rivelato alcuni dettagli sulla vulnerabilità. Il ricercatore ha poi aggiornato il post originale includendo una demo dell'attacco ma non il codice dell'exploit. Anche Patchstack ha anche condiviso i dettagli della vulnerabilità CVE-2024-25600. L'azienda ha confermato che il difetto deriva dall'esecuzione di input controllati dall'utente tramite la funzione eval in “prepare_query_vars_from_settings” , con “$php_query_raw” costruito da queryEditor.

È possibile sfruttare questa vulnerabilità tramite gli endpoint API REST per il rendering lato server, nonostante un controllo nonce in render_element_permissions_check. Ciò è possibile a causa di nonce accessibili pubblicamente e di controlli di autorizzazione inadeguati, che consentono l'accesso non autenticato. Nella fase post-exploitation, Patchstack ha osservato che gli aggressori hanno utilizzato malware specifici in grado di disattivare plugin di sicurezza come Wordfence e Sucuri. Alla maggior parte degli attacchi sono stati associati i seguenti indirizzi IP: 200.251.23.57, 92.118.170.216, 103.187.5.128, 149.202.55.79, 5.252.118.211, 91.108.240.52. Wordfence ha inoltre confermato lo stato di sfruttamento attivo di CVE-2024-25600 e ha riferito di aver riscontrato 24 rilevamenti nelle scorse ore. Si consiglia agli utenti Bricks di eseguire immediatamente l'aggiornamento alla versione 1.9.3.1. Per fare ciò basta recarsi su “Aspetto” e poi “Temi” nella dashboard di WordPress. Infine, basterà semplicemente fare clic sul tasto  “Aggiorna”, alla voce Brick Builder.