1708453773
2024-02-20 18:00:54
人気のサイト構築プラグインおよび WordPress テーマである WordPress Bricks Builder は、認証されていない攻撃者によるリモート コード実行 (RCE) の実行を可能にする重大な脆弱性のため、ハッカーによって積極的に標的にされています。
CVE-2024-25600 として追跡されている Bricks プラグインの脆弱性は、「誰でも任意のコマンドを実行してサイト/サーバーを乗っ取ることができることを意味します」 WordPress 開発およびセキュリティ会社 Snicco によると、バグを発見しました。 CVE-2024-25600 のクリティカル CVSS スコアは 9.8 です。
Snicco は 2 月 10 日にこの脆弱性を Bricks 開発者に報告しました。 パッチは 2 月 13 日にリリースされました。 このバグに関する技術的な詳細は日曜日に初めて明らかにされた。 同じ日に、 欠陥の積極的な悪用が報告されました WordPress の脆弱性保護会社 Patchstack によるものです。
Patchstack によると、CVE-2024-25600 をターゲットとする攻撃者は、WordPress セキュリティ プラグインを無効にするように設計されたマルウェアを使用していることが確認されています。
Bricks Builder バージョン 1.9.6 およびそれ以前のすべてのバージョンは、認証されていない RCE に対して脆弱です。 Bricks ユーザーは、攻撃から保護するためにバージョン 1.9.6.1 に更新する必要があります。
Bricks 開発者はまた、古いバックアップから復元すると脆弱性が再侵入する可能性があるため、ユーザーはサイトのバックアップをバージョン 1.9.6.1 に更新する必要があると指摘しました。
WordPress Bricks プラグインは安全でない認証方法、PHP 関数を使用しました
Bricks Builder の 2 つの大きな欠陥が Snicco によって発見されました。1 つは任意のコードの実行を可能にするもので、もう 1 つは認証されていないユーザーが Brick REST API エンドポイントを呼び出すことを可能にするものです。
このプラグインは、PHP eval 関数を使用して変数 $php_query_raw を実行します。この変数の内容は、Brick REST API への細工されたリクエストを介して攻撃者によって挿入される可能性があります。
Snicco と Snicco の両方が指摘しているように、PHP eval 関数は任意の PHP コードを実行できるため非常に危険であり、その使用は一般的に推奨されません。 PHP グループ自体。
「正直に言うと、この機能は非常に危険であり、決して使用すべきではありません」と Snicco のセキュリティ研究者である Calvin Alkan 氏は書いています。
さらに、CVE-2024-25600 悪用の概念実証で、Alkan 氏は、render_element_permission_check 関数が有効な「一度使用された番号」(ノンス) をチェックするだけであるため、適切な権限チェックなしで Bricks REST API への呼び出しが行われる可能性があると指摘しました。リクエストを承認するためのトークン。
有効な nonce は、Bricks WordPress サイトのフロントエンドの HTML から簡単に取得できると Snicco 研究者らは指摘しました。 WordPress の開発者向けリソース サイト nonce は「認証、認可、アクセス制御に決して依存すべきではない」と述べています。
Snicco は、Bricks Builder のバグを悪用して、WordPress サイトのすべてのページを、クールエイドのマスコットがレンガの壁を突き破る GIF に置き換えることに成功したことを実証しました。
WordPress Bricks の脆弱性がセキュリティを破壊するマルウェアの注入に使用される
Patchstack によって検出されたように、CVE-2024-25600 は少なくとも 2 月 14 日以降、積極的に悪用されています。
Patchstack の研究者は、Wordfence や Sucuri などの WordPress セキュリティ プラグインを無効にする機能を含む、悪用後のマルウェアの使用を観察しました。
Bricks の脆弱性に対するほとんどの攻撃は、Patchstack によって特定された 7 つの IP アドレスから行われます。 彼らの勧告では。 以下から入手可能な情報によると、これらの IP アドレスのいくつかは、早ければ 2023 年 4 月の時点で、さまざまな方法で WordPress サイトをターゲットにしていると報告されています。 IPDBの悪用。
CVE-2024-25600 に関する Wordfence の脆弱性データベース ページ 2 月 19 日の時点で、この脆弱性を狙った 36 件の攻撃が 24 時間以内にブロックされたと述べています。
この脆弱性が公開された時点では、Bricks プラグインには約 25,000 のアクティブなインストールがあったと推定されていました。
今年初めに、Popup Builder プラグインが別の WordPress プラグインの脆弱性として大規模な攻撃を受けました。 Balada Injector キャンペーンの標的となった。 Popup Builder を使用する 6,700 以上の WordPress サイトが、次のように追跡されたクロスサイト スクリプティングの欠陥により感染しました。 CVE-2023-6000。
昨年の10月、 Balada Injector が 17,000 の WordPress サイトを攻撃、バグの影響を受ける 9,000 件を含む (CVE-2023-3169) ページ構築プラグイン TagDiv Composer 内。
Balada Injector かどうかは不明です。 2017 年以降、少なくとも 100 万の WordPress サイトに感染している、CVE-2024-25600 の悪用に関与しています。
#WordPress #プラグインが攻撃を受けています #Bricks #Builder #のバグにより #RCE #が有効になる