Gli hacker stanno attivamente sfruttando una falla critica di esecuzione remota di codice (RCE) nel tema Bricks Builder di WordPress, consentendo l’esecuzione di codice PHP malevolo sui siti vulnerabili. Identificata come CVE-2024-25600, questa vulnerabilità colpisce l’installazione predefinita del tema Bricks Builder e deriva da una chiamata alla funzione eval nella funzione prepare_query_vars_from_settings, che potrebbe permettere a un utente non autenticato di eseguire codice PHP arbitrario.
La piattaforma Patchstack, che si occupa di vulnerabilità di sicurezza in WordPress, ha ricevuto la segnalazione e notificato al team di Bricks, che ha prontamente rilasciato una correzione il 13 febbraio con la versione 1.9.6.1 del tema. Nonostante l’avviso del fornitore al momento del rilascio indicasse che non c’erano prove dell’exploit della falla, gli utenti sono stati esortati ad aggiornare alla versione più recente il prima possibile.
Il 14 febbraio sono iniziati tentativi di sfruttamento attivo della vulnerabilità, che sono stati individuati grazie all’esecuzione di input controllati dall’utente tramite la funzione eval in prepare_query_vars_from_settings, con php_query_raw costruito da queryEditor. Gli attacchi possono avvenire attraverso endpoint REST API per il rendering lato server, nonostante un controllo nonce in render_element_permissions_check, a causa di nonce pubblicamente accessibili e controlli di permesso inadeguati che consentono l’accesso non autenticato.
Patchstack ha osservato che nella fase post-sfruttamento, gli aggressori hanno utilizzato specifici malware in grado di disabilitare plugin di sicurezza come Wordfence e Sucuri. Gli indirizzi IP associati alla maggior parte degli attacchi includono:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Anche Wordfence ha confermato lo stato di sfruttamento attivo di CVE-2024-25600, segnalando 24 rilevamenti nell’ultimo giorno. Gli utenti di Bricks sono incoraggiati ad aggiornare immediatamente alla versione 1.9.6.1, attraverso la sezione
“Aspetto > Temi” del dashboard di WordPress e cliccando su “aggiorna”, o manualmente dal sito di Bricks.