Los ciberdelincuentes han estado explotando activamente una grave vulnerabilidad llamada CVE-2024-25600 (puntuación CVSS: 9.8) en el tema Bricks para WordPress, lo que les permite ejecutar código PHP arbitrario en sitios vulnerables. Afecta a todas las versiones de Bricks hasta la versión 1.9.6. Con el fin de solucionar el problema, los desarrolladores del tema lanzaron la versión 1.9.6.1 el 13 de febrero de 2024, después de que el proveedor de seguridad de WordPress Snicco reportara el fallo el 10 de febrero.
Tanto Snicco como Patchstack han publicado detalles técnicos sobre el problema, concretamente la función prepare_query_vars_from_settings(), que utiliza tokens de seguridad llamados «nonces» para verificar permisos. Los nonces pueden utilizarse para ejecutar comandos arbitrarios y tomar el control de un sitio web vulnerable.
Wordfence ha detectado más de tres docenas de intentos de ataque que explotan la vulnerabilidad desde el 19 de febrero de 2024. Se cree que los intentos comenzaron el 14 de febrero, solo un día después de la divulgación pública. Es importante mencionar que «los nonces no deben ser utilizados para la autenticación, autorización o control de acceso«, según la documentación de WordPress. Por lo tanto, siempre se sugiere proteger las funciones con current_user_can() y asumir que los nonces pueden ser comprometidos.
Se recomienda a los usuarios del plugin Bricks, que cuenta con aproximadamente 25,000 instalaciones activas en la actualidad, aplicar los últimos parches disponibles para evitar posibles amenazas. Se estima que los intentos de ataque fueron realizados principalmente desde las direcciones IP 200.251.23[.]57, 92.118.170[.]216, 103.187.5[.]128, 149.202.55[.]79, 5.252.118[.]211 y 91.108.240[.]52. Asegúrate de instalar las últimas actualizaciones para evitar la explotación de vulnerabilidades similares en el futuro.
Vía The Hacker News
