WordPress Bricks Builder 是一种流行的网站构建插件和 WordPress 主题,由于存在允许未经身份验证的攻击者执行远程代码执行 (RCE) 的严重漏洞,因此成为黑客的积极攻击目标。
Bricks 插件漏洞被追踪为 CVE-2024-25600,“意味着任何人都可以运行任意命令并接管站点/服务器”。 根据 WordPress 开发和安全公司 Snicco 的说法,发现了该错误。 CVE-2024-25600 的关键 CVSS 评分为 9.8。
Snicco 于 2 月 10 日向 Bricks 开发人员报告了该漏洞,并 2月13日发布了补丁。 有关该错误的技术细节于周日首次披露; 在同一天, 据报道,该漏洞正在被积极利用 由 WordPress 漏洞保护公司 Patchstack 提供。
据 Patchstack 称,针对 CVE-2024-25600 的攻击者已被发现使用旨在禁用 WordPress 安全插件的恶意软件。
Bricks Builder 版本 1.9.6 和所有早期版本容易受到未经身份验证的 RCE 攻击。 Bricks 用户必须更新到版本 1.9.6.1 以防止攻击。
Bricks 开发人员还指出,用户应将所有站点备份更新到 1.9.6.1 版本,因为从过时的备份进行恢复可能会重新引入该漏洞。
WordPress Bricks 插件使用了不安全的授权方法、PHP 函数
Snicco 发现了 Bricks Builder 中的两个主要缺陷,一个允许任意代码执行,另一个允许任何未经身份验证的用户调用 Brick REST API 端点。
该插件使用 PHP eval 函数来执行变量 $php_query_raw,攻击者可以通过向 Brick REST API 发送精心设计的请求来注入该变量的内容。
PHP eval 函数由于能够执行任意 PHP 代码而具有极高的风险,并且通常不鼓励使用它,正如 Snicco 和 PHP 组本身。
Snicco 安全研究员 Calvin Alkan 写道:“说实话,这个功能极其危险,永远不应该使用。”
此外,在 CVE-2024-25600 漏洞利用的概念验证中,Alkan 指出,可以在没有适当权限检查的情况下调用 Bricks REST API,因为 render_element_permission_check 函数仅检查有效的“使用一次的数字”(随机数)令牌来授权请求。
Snicco 研究人员指出,可以轻松地从任何 Bricks WordPress 网站前端的 HTML 中检索有效的随机数。 WordPress 的开发者资源网站 指出随机数“永远不应该依赖于身份验证、授权或访问控制”。
Snicco 展示了如何成功利用 Bricks Builder 漏洞,用突破砖墙的 Kool-Aid 吉祥物 GIF 替换 WordPress 网站上的每个页面。
WordPress Bricks 漏洞用于注入安全恶意软件
Patchstack 检测到,CVE-2024-25600 至少自 2 月 14 日起就已被积极利用。
Patchstack 研究人员观察到了恶意软件后利用的情况,其中包括禁用 Wordfence 和 Sucuri 等 WordPress 安全插件的功能。
大多数针对 Bricks 漏洞的攻击来自 Patchstack 识别的七个 IP 地址 在他们的咨询中。 据报道,早在 2023 年 4 月,其中几个 IP 地址就通过各种方法瞄准了 WordPress 网站 滥用IPDB。
Wordfence 的 CVE-2024-25600 漏洞数据库页面 截至 2 月 19 日,针对该漏洞的 36 次攻击在 24 小时内被阻止。
当漏洞被披露时,Bricks 插件估计有大约 25,000 个活跃安装。
今年早些时候,另一个 WordPress 插件漏洞遭到大规模攻击,当时 Popup Builder 插件 成为 Balada Injector 活动的目标。 由于跨站点脚本缺陷,超过 6,700 个使用 Popup Builder 的 WordPress 站点被感染 CVE-2023-6000。
去年十月, Balada Injector 攻击了 17,000 个 WordPress 网站,其中 9,000 人受到错误影响(CVE-2023-3169)在页面构建插件TagDiv Composer中。
目前尚不清楚巴拉达注射器是否 自 2017 年以来已感染至少一百万个 WordPress 网站,参与利用 CVE-2024-25600。
1708453534
2024-02-20 18:00:54
#WordPress #插件受到攻击 #Bricks #Builder #漏洞启用 #RCE
