Một lỗ hổng bảo mật nghiêm trọng trong theme Bricks cho WordPress đang được các tác nhân đe dọa tích cực khai thác để chạy mã PHP tùy ý trên các cài đặt nhạy cảm.
Lỗ hổng, được theo dõi là CVE-2024-25600 (điểm CVSS: 9.8), cho phép những kẻ tấn công chưa được xác thực thực thi mã từ xa. Nó tác động đến tất cả các phiên bản của Bricks lên đến và bao gồm cả 1.9.6.
Nó đã được các nhà phát triển chủ đề giải quyết trong phiên bản 1.9.6.1 được phát hành vào ngày 13 tháng 2 năm 2024, chỉ vài ngày sau khi nhà cung cấp bảo mật WordPress Snicco báo cáo lỗ hổng vào ngày 10 tháng 2.
Trong khi khai thác bằng chứng khái niệm (PoC) chưa được phát hành, các chi tiết kỹ thuật đã được phát hành bởi cả Snicco và Patchstack, lưu ý rằng mã dễ bị tổn thương cơ bản tồn tại trong hàm prepare_query_vars_from_settings().
Cụ thể, nó liên quan đến việc sử dụng các mã thông báo bảo mật được gọi là "nonces" để xác minh quyền, sau đó có thể được sử dụng để truyền các lệnh tùy ý để thực thi, cho phép tác nhân đe dọa chiếm quyền kiểm soát trang web được nhắm mục tiêu.
Giá trị nonce có sẵn công khai trên giao diện người dùng của một trang web WordPress, Patchstack cho biết thêm rằng không có kiểm tra vai trò đầy đủ nào được áp dụng.
"Nonces không bao giờ nên dựa vào để xác thực, ủy quyền hoặc kiểm soát truy cập", WordPress cảnh báo trong tài liệu của mình. "Bảo vệ các chức năng của bạn bằng cách sử dụng current_user_can (), và luôn cho rằng nonces có thể bị xâm phạm."
Công ty bảo mật WordPress Wordfence cho biết họ đã phát hiện hơn ba chục nỗ lực tấn công khai thác lỗ hổng tính đến ngày 19 tháng 2 năm 2024. Các nỗ lực khai thác được cho là đã bắt đầu vào ngày 14 tháng 2, một ngày sau khi tiết lộ công khai.
Phần lớn các cuộc tấn công là từ các địa chỉ IP sau:
- 200.251.23[.] 57
- 92.118.170[.] 216
- 103.187.5[.] 128
- 149.202.55[.] 79
- 5.252.118[.] 211
- 91.108.240[.] 52
Bricks ước tính có khoảng 25.000 cài đặt hiện đang hoạt động. Người dùng plugin được khuyến nghị áp dụng các bản vá mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.