Los actores de amenazas están explotando activamente una falla de seguridad crítica en el tema Bricks para WordPress para ejecutar código PHP arbitrario en instalaciones susceptibles.
La falla, identificada como CVE-2024-25600 (puntuación CVSS: 9,8), permite a atacantes no autenticados lograr la ejecución remota de código. Afecta a todas las versiones de Bricks hasta la 1.9.6 inclusive.
Ha sido abordado por los desarrolladores del tema en versión 1.9.6.1 lanzado el 13 de febrero de 2024, pocos días después de que el proveedor de seguridad de WordPress Snicco informara la falla el 10 de febrero.
Si bien no se ha publicado una prueba de concepto (PoC), se han publicado detalles técnicos. liberado tanto por Snicco como por Patchstack, señalando que el código vulnerable subyacente existe en la función prepare_query_vars_from_settings().
Específicamente, se trata del uso de tokens de seguridad llamados «nonces» para verificar permisos, que luego pueden usarse para pasar comandos arbitrarios para su ejecución, permitiendo efectivamente que un actor de amenazas tome el control de un sitio objetivo.
El valor nonce está disponible públicamente en la interfaz de un sitio de WordPress, Patchstack dichoy agrega que no se aplican controles de roles adecuados.
«Nunca se debe confiar en Nonces para la autenticación, autorización o control de acceso», WordPress precauciones en su documentación. «Proteja sus funciones usando current_user_can() y siempre asuma que los nonces pueden verse comprometidos».
Empresa de seguridad de WordPress Wordfence dicho detectó más de tres docenas de intentos de ataque aprovechando la falla hasta el 19 de febrero de 2024. Se dice que los intentos de explotación comenzaron el 14 de febrero, un día después de la divulgación pública.
La mayoría de los ataques provienen de las siguientes direcciones IP:
- 200.251.23[.]57
- 92.118.170[.]216
- 103.187.5[.]128
- 149.202.55[.]79
- 5.252.118[.]211
- 91.108.240[.]52
Se estima que Bricks cuenta actualmente con unas 25.000 instalaciones activas. Se recomienda a los usuarios del complemento que apliquen los parches más recientes para mitigar posibles amenazas.