Ein kritischer Sicherheitsfehler im Bricks-Theme für WordPress wird aktiv von Bedrohungsakteuren ausgenutzt, um beliebigen PHP-Code auf anfälligen Installationen auszuführen.
Der Fehler, als CVE-2024-25600 verfolgt (CVSS-Score: 9,8), ermöglicht nicht authentifizierten Angreifern die Ausführung von Remote-Code. Er betrifft alle Versionen von Bricks bis einschließlich 1.9.6.
Die Entwickler des Themes haben diesen in Version 1.9.6.1 behoben, die am 13. Februar 2024 veröffentlicht wurde, nur wenige Tage nachdem das Sicherheitsunternehmen Snicco den Fehler am 10. Februar gemeldet hat.
Obwohl noch kein Proof-of-Concept-Exploit veröffentlicht wurde, wurden technische Details sowohl von Snicco als auch Patchstack veröffentlicht, die darauf hinweisen, dass der darunter liegende anfällige Code in der Funktion „prepare_query_vars_from_settings()“ existiert.
Speziell betrifft dies die Verwendung von Sicherheitstokens namens „nonces“, um Berechtigungen zu überprüfen, die dann verwendet werden können, um beliebige Befehle zur Ausführung zu übergeben, was einem Bedrohungsakteur effektiv erlaubt, die Kontrolle über eine gezielte Website zu übernehmen.
Der nonce-Wert ist öffentlich auf der Frontend-Seite einer WordPress-Site verfügbar, so Patchstack, und es gibt keine ausreichenden Rollenprüfungen.
WordPress warnt in seiner Dokumentation: „Nonces sollten niemals für Authentifizierung, Autorisierung oder Zugriffskontrolle verlassen werden. Schützen Sie Ihre Funktionen mit current_user_can() und gehen Sie immer davon aus, dass Nonces kompromittiert werden können.“
Das WordPress-Sicherheitsunternehmen Wordfence gab an, dass es bis zum 19. Februar 2024 über drei Dutzend Angriffsversuche erkannt hat, die den Fehler ausnutzen. Die Exploit-Versuche sollen am 14. Februar begonnen haben, einem Tag nach der öffentlichen Offenlegung.
Die meisten Angriffe stammen von den folgenden IP-Adressen –
- 200.251.23[.]57
- 92.118.170[.]216
- 103.187.5[.]128
- 149.202.55[.]79
- 5.252.118[.]211
- 91.108.240[.]52
Bricks wird auf etwa 25.000 derzeit aktiven Installationen geschätzt. Nutzern des Plugins wird empfohlen, die neuesten Patches anzuwenden, um potenzielle Bedrohungen zu reduzieren.