هکرها به افزونه Bricks WordPress نفوذ و از نقص بحرانی اجرای کد از راه دور (RCE) سوءاستفاده کردند تا کد مخرب PHP را روی وبسایتهای آسیبپذیر اجرا کنند.
بهگزارش تکناک، Bricks WordPress یکی از افزونههای پریمیوم وردپرس است که بهعنوان ابزار ساخت وبسایت شناخته میشود. این محصول با حدود ۲۵ هزار نصب فعال، سهولت استفاده و سفارشیسازی در طراحی وبسایت را بهارمغان میآورد. ۱۰ فوریه ۲۰۲۴ (۲۱بهمن ۱۴۰۲)، یکی از متخصصان امنیتی به نام Snicco آسیبپذیریای را کشف کرد که درحالحاضر با شناسه CVE-2024-25600 ردیابی میشود.
آسیبپذیری مذکور افزونه Bricks WordPress را در پیکربندی پیشفرض تحتتأثیر قرار میدهد. دلیل این مشکل امنیتی فراخوانی تابع eval در تابع prepare_query_vars_from_settings است که میتواند به کاربر غیرمجاز اجازه دهد تا کد PHP دلخواه را اجرا کند. پلتفرم Patchstack برای آسیبپذیریهای امنیتی در وردپرس این گزارش را دریافت و تیم Bricks را مطلع کرد.
۱۳ فوریه ۲۰۲۴ (۲۴ بهمن ۱۴۰۲)، با انتشار نسخه ۱.۹.۶.۱ راهحل این مشکل دردسترس قرار گرفت. در آن زمان، توسعهدهندگان اشاره کردند که مدرکی مبنیبر سوءاستفاده از این نقص وجود ندارد؛ اما از کاربران خواست تا در اسرع وقت جدیدترین نسخه را دریافت کنند. در بولتن Bricks آمده است:
تا زمان انتشار این نسخه، مدرکی مبنیبر سوءاستفاده از این آسیبپذیری وجود ندارد. بااینحال، هرچه بهتعویقانداختن بهروزرسانی به ۱.۹.۶.۱ بیشتر طول بکشد، احتمال سوءاستفاده افزایش مییابد.
توسعهدهنده خطاب به مدیران وبسایت اعلام کرد:
هرچه زودتر، بهتر. حداقل در ۲۴ ساعت آینده، تمام وبسایتهای Bricks خود را به جدیدترین نسخه Bricks ۱.۹.۶.۱ بهروزرسانی کنید.
در همان روز، Snicco جزئیاتی درباره آسیبپذیری فاش کرد. امروز، وی پست اصلی را بهروز کرد تا شامل نمایشی از حمله شود؛ اما کد سوءاستفاده را درج نکرد. همچنین، Patchstack امروز در پستی پس از شناسایی تلاشهای سوءاستفاده فعال که از ۱۴ فوریه ۲۰۲۴ (۲۵ بهمن ۱۴۰۲) آغاز شده بود، جزئیات کامل CVE-2024-25600 را بهاشتراک گذاشت.
شرکت یادشده توضیح میدهد که این نقص بهدلیل اجرای ورودی تحتکنترل کاربر ازطریق تابع eval در prepare_query_vars_from_settings ایجاد میشود؛ جایی که $php_query_raw از queryEditor ساخته شده است.
با وجود بررسی Nonce در render_element_permissions_check، بهدلیل Nonceهای دردسترس عموم و بررسیهای مجوز ناکافی که دسترسی غیرمجاز را مجاز میکنند، سوءاستفاده از این خطر امنیتی ازطریق نقاط پایانی REST API برای رندر سمت سرور امکانپذیر است.
Patchstack میگوید در مرحله پس از سوءاستفاده مشاهده کرده است که مهاجمان از بدافزار خاصی استفاده کردهاند که میتواند افزونههای امنیتی مانند Wordfence و Sucuri را غیرفعال کند. آدرسهای IP زیر با بیشتر حملات مرتبط هستند:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence نیز وضعیت سوءاستفاده فعال CVE-2024-25600 را تأیید کرد و گزارش داد که در ۲۴ ساعت گذشته ۲۴ مورد شناسایی کرده است. به کاربران Bricks توصیه میشود بهطور خودکار با رفتن به نمایش > پوستهها در داشبورد وردپرس و کلیککردن روی بهروزرسانی نسخه ۱.۹.۶.۱ را دریافت کنند.
