Falha no construtor de sites WordPress Bricks está sendo explorada

Rastreada como CVE-2024-25600, uma falha no construtor de sites para WordPress Bricks Builder está sendo explorada ativamente.

O Bricks Builder é um tema WordPress premium descrito como um construtor de sites visual inovador e voltado para a comunidade. Com cerca de 25 mil instalações ativas, o produto promove facilidade de uso e customização no design do site.

Mas agora, os hackers estão explorando ativamente uma falha crítica de execução remota de código (RCE) que afeta o tema Brick Builder para executar código PHP malicioso em sites vulneráveis.

Falha no construtor de sites WordPress Bricks está sendo explorada

Falha no construtor de sites WordPress Bricks está sendo explorada
Falha no construtor de sites WordPress Bricks está sendo explorada

Sim. Uma falha no construtor de sites WordPress Bricks está sendo explorada. Em 10 de fevereiro, um pesquisador chamado ‘snicco’ descobriu uma vulnerabilidade atualmente rastreada como CVE-2024-25600 que afeta o tema Brick Builder instalado com sua configuração padrão.

O problema de segurança se deve a uma chamada de função eval na função ‘prepare_query_vars_from_settings’, que poderia permitir que um usuário não autenticado a explorasse para executar código PHP arbitrário.

A plataforma Patchstack para vulnerabilidades de segurança no WordPress recebeu o relatório e notificou a equipe Bricks. Uma correção foi disponibilizada em 13 de fevereiro com o lançamento da versão 1.9.6.1.

O comunicado do fornecedor observou na época que não havia evidências de exploração da falha, mas pediu aos usuários que atualizassem para a versão mais recente o mais rápido possível.

“Até o momento deste lançamento, não há evidências de que esta vulnerabilidade tenha sido explorada. No entanto, o potencial de exploração aumenta quanto mais a atualização para 1.9.6.1 for adiada”, diz o boletim da Bricks.

“Atualize todos os seus sites Bricks para o Bricks 1.9.6.1 mais recente o mais rápido possível. Mas pelo menos nas próximas 24 horas. Quanto mais cedo, melhor”, pediu o desenvolvedor aos administradores.

No mesmo dia, a snicco divulgou alguns detalhes sobre a vulnerabilidade. Recentemente, o pesquisador atualizou a postagem original para incluir uma demonstração do ataque, mas não o código de exploração.

Em uma postagem recente, o Patchstack também compartilhou detalhes completos do CVE-2024-25600, após detectar tentativas de exploração ativas iniciadas em 14 de fevereiro.

A empresa explica que a falha surge da execução de entradas controladas pelo usuário por meio da função eval em prepare_query_vars_from_settings, com $php_query_raw construído a partir do queryEditor.

A exploração desse risco de segurança é possível por meio de endpoints da API REST para renderização no lado do servidor, apesar de uma verificação de nonce em render_element_permissions_check, devido a nonces acessíveis publicamente e verificações de permissão inadequadas, que permitem acesso não autenticado.

Patchstack afirma ter observado na fase pós-exploração que os invasores usaram malware específico que pode desabilitar plugins de segurança como Wordfence e Sucuri.

Os seguintes endereços IP foram associados à maioria dos ataques:

  • 200.251.23.57
  • 92.118.170.216
  • 103.187.5.128
  • 149.202.55.79
  • 5.252.118.211
  • 91.108.240.52

O Wordfence também confirmou o status de exploração ativa do CVE-2024-25600 e relatou ter visto 24 detecções no último dia.

Recomenda-se que os usuários do Bricks atualizem para a versão 1.9.3.1 imediatamente, navegando em “Aparência> Temas” no painel do WordPress e clicando em “atualizar” ou manualmente aqui.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.