Một lỗ hổng bảo mật nghiêm trọng trong WordPress Bricks đang bị các kẻ tấn công lợi dụng, khai thác để chạy mã PHP tùy ý trên các phiên bản dễ bị tấn công
Lỗ hổng này, được theo dõi dưới mã định danh CVE-2024-25600 (điểm CVSS: 9.8), cho phép các kẻ tấn công chưa xác thực thực hiện thực thi mã từ xa. Nó ảnh hưởng đến tất cả các phiên bản của Bricks bao gồm 1.9.6.
Lỗ hổng này đã được giải quyết trong phiên bản 1.9.6.1, phát hành vào ngày 13 tháng 2 năm 2024, chỉ vài ngày sau khi nhà cung cấp bảo mật WordPress Snicco báo cáo lỗ hổng vào ngày 10 tháng 2.
Mặc dù một bản PoC chưa được phát hành, thông số kỹ thuật đã được công bố bởi cả Snicco và Patchstack, lưu ý rằng mã dễ bị tấn công khi nằm trong chức năng prepare_query_vars_from_settings().
Cụ thể, đó là vấn đề về việc sử dụng các mã thông báo bảo mật gọi là “nonces” nhằm xác minh quyền hạn, sau đó có thể được sử dụng để truyền các lệnh tùy ý thực thi, cho phép kẻ đe dọa chiếm quyền kiểm soát trang web được nhắm mục tiêu một cách hiệu quả.
Giá trị nonce được cung cấp công khai trên giao diện người dùng của trang web WordPress, Patchstack cho biết không có kiểm tra vai trò đầy đủ nào được áp dụng.
WordPress cảnh báo trong tài liệu của mình: “Không bao giờ nên dựa vào Nonces để xác thực, ủy quyền hoặc kiểm soát truy cập. Bảo vệ các chức năng của bạn bằng cách sử dụng current_user_can() và luôn cho rằng các nonces có thể bị xâm phạm.”
Công ty bảo mật WordPress Wordfence cho biết họ phát hiện hơn ba chục cuộc tấn công tìm lỗ hổng vào ngày 19 tháng 2 năm 2024. Các cuộc tấn công được cho là đã bắt đầu vào ngày 14 tháng 2, một ngày sau khi thông báo công khai.
Hầu hết các cuộc tấn công đến từ các địa chỉ IP sau:
- 200.251.23[.]57
- 92.118.170[.]216
- 103.187.5[.]128
- 149.202.55[.]79
- 5.252.118[.]211
- 91.108.240[.]52
Ước lượng rằng Bricks hiện có khoảng 25.000 lượt cài đặt hiện đang hoạt động. Người dùng plugin được khuyến nghị áp dụng các bản vá mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.
Nguồn The Hacker News