Les pirates exploitent activement une faille critique d’exécution de code à distance (RCE) affectant le thème Brick Builder pour exécuter du code PHP malveillant sur des sites vulnérables.

Le thème Bricks Builder est un thème WordPress premium décrit comme un constructeur de site visuel innovant et axé sur la communauté. Avec environ 25 000 installations actives, le produit favorise la convivialité et la personnalisation de la conception de sites Web.

Le 10 février, un chercheur nommé  » snicco’ a découvert une vulnérabilité actuellement répertoriée sous le nom de CVE-2024-25600 qui affecte le thème Brick Builder installé avec sa configuration par défaut.

Le problème de sécurité est dû à un appel de fonction eval dans la fonction’ prepare_query_vars_from_settings’, qui pourrait permettre à un utilisateur non authentifié de l’exploiter pour exécuter du code PHP arbitraire.

La plate-forme Patchstack pour les vulnérabilités de sécurité dans WordPress a reçu le rapport et a informé l’équipe Bricks. Un correctif est devenu disponible le 13 février avec la sortie de la version 1.9.6.1.

L’avis du fournisseur a noté à l’époque qu’il n’y avait aucune preuve que la faille était exploitée, mais a exhorté les utilisateurs à passer à la dernière version dès que possible.

“Au moment de cette publication, il n’y a aucune preuve que cette vulnérabilité ait été exploitée. Cependant, le potentiel d’exploitation augmente à mesure que la mise à jour vers la 1.9.6.1 est retardée”, lit-on dans le bulletin de Bricks.

« Mettez à jour tous vos sites Bricks vers la dernière version de Bricks 1.9.6.1 dès que possible. Mais au moins dans les prochaines 24 heures. Le plus tôt sera le mieux”, a exhorté le développeur aux administrateurs.

Le même jour, snicco a divulgué certains détails sur la vulnérabilité. Aujourd’hui, le chercheur a mis à jour le message d’origine pour inclure une démo de l’attaque, mais pas le code d’exploitation.

Exploitation active en cours
Dans un article publié aujourd’hui, Patchstack a également partagé des détails complets sur CVE-2024-25600, après avoir détecté des tentatives d’exploitation actives qui ont débuté le 14 février.

La société explique que la faille provient de l’exécution d’une entrée contrôlée par l’utilisateur via la fonction eval dans prepare_query_vars_from_settings, avec $php_query_raw construit à partir de queryEditor.

L’exploitation de ce risque de sécurité est possible via les points de terminaison de l’API REST pour le rendu côté serveur, malgré une vérification nonce dans render_element_permissions_check, en raison de nonces accessibles au public et de vérifications d’autorisations inadéquates, qui permettent un accès non authentifié.

Patchstack dit qu’il a observé dans la phase de post-exploitation que les attaquants utilisaient des logiciels malveillants spécifiques qui peuvent désactiver les plugins de sécurité comme Wordfence et Sucuri.

Les adresses IP suivantes ont été associées à la plupart des attaques:

  • 200.251.23.57
  • 92.118.170.216
  • 103.187.5.128
  • 149.202.55.79
  • 5.252.118.211
  • 91.108.240.52

Wordfence a également confirmé le statut d’exploitation active de CVE-2024-25600 et a signalé avoir vu 24 détections au cours de la dernière journée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *