Los piratas informáticos están explotando activamente una falla crítica de ejecución remota de código (RCE) que afecta al tema Brick Builder para ejecutar código PHP malicioso en sitios vulnerables. El tema Bricks Builder es un tema premium de WordPress que se describe como un creador de sitios visual innovador e impulsado por la comunidad.
Con alrededor de 25.000 instalaciones activas, el producto promueve la facilidad de uso y la personalización en el diseño de sitios web.
El 10 de febrero, un investigador llamado ‘snicco’ descubrió una vulnerabilidad actualmente rastreada como CVE-2024-25600 que afecta el tema Brick Builder instalado con su configuración predeterminada.
El problema de seguridad se debe a una llamada a la función eval en la función ‘prepare_query_vars_from_settings’, que podría permitir que un usuario no autenticado la aproveche para ejecutar código PHP arbitrario.
La plataforma Patchstack para vulnerabilidades de seguridad en WordPress recibió el informe y notificó al equipo de Bricks. Una solución estuvo disponible el 13 de febrero con el lanzamiento de la versión 1.9.6.1.
El aviso del proveedor señaló en ese momento que no había evidencia de que se estuviera explotando la falla, pero instó a los usuarios a actualizar a la última versión lo antes posible.
“Hasta el momento de este comunicado, no hay evidencia de que esta vulnerabilidad haya sido explotada. Sin embargo, el potencial de explotación aumenta cuanto más se retrasa la actualización a 1.9.6.1”, se lee en el boletín de Bricks.
“Actualice todos sus sitios de Bricks a la última versión de Bricks 1.9.6.1 lo antes posible. Pero al menos dentro de las próximas 24 horas. Cuanto antes, mejor”, instó el desarrollador a los administradores.
El mismo día, snicco reveló algunos detalles sobre la vulnerabilidad. Hoy, el investigador actualizó la publicación original para incluir una demostración del ataque, pero no el código de explotación.
Explotación en Activo
En una publicación de hoy, Patchstack también compartió detalles completos de CVE-2024-25600, luego de detectar intentos de explotación activos que comenzaron el 14 de febrero.
La compañía explica que la falla surge de la ejecución de entradas controladas por el usuario a través de la función eval en prepare_query_vars_from_settings , con $php_query_raw construido a partir de queryEditor.
Es posible explotar este riesgo de seguridad a través de puntos finales de API REST para la representación del lado del servidor, a pesar de una verificación nonce en render_element_permissions_check , debido a nonces de acceso público y comprobaciones de permisos inadecuadas, que permiten el acceso no autenticado.
Patchstack dice que observó en la fase posterior a la explotación que los atacantes utilizaron malware específico que puede desactivar complementos de seguridad como Wordfence y Sucuri.
Las siguientes direcciones IP se han asociado con la mayoría de los ataques:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence también confirmó el estado de explotación activa de CVE-2024-25600 e informó haber visto 24 detecciones en el último día.
Se recomienda a los usuarios de Bricks que actualicen a la versión 1.9.6.1 inmediatamente, ya sea navegando “Apariencia > Temas” en el panel de WordPress y haciendo clic en “actualizar” o manualmente.