هکرها به افزونه Bricks WordPress نفوذ کردند و از یک نقص اجرای کد از راه دور (RCE) برای اجرای کدهای مخرب PHP در وب سایت های آسیب پذیر سوء استفاده کردند.
به گزارش تکنوک، Bricks WordPress یکی از افزونه های برتر وردپرس است که به عنوان ابزار ساخت وب سایت شناخته می شود. این محصول با حدود 25 هزار نصب فعال، سهولت استفاده و سفارشی سازی در طراحی سایت را برای ارمغان به ارمغان می آورد. در 10 فوریه 2024، یک متخصص امنیتی به نام Snicco آسیب پذیری را کشف کرد که در حال حاضر با نام CVE-2024-25600 ردیابی می شود.
این آسیب پذیری بر افزونه Bricks WordPress در پیکربندی پیش فرض آن تأثیر می گذارد. دلیل این مشکل امنیتی فراخوانی تابع eval در تابع prere_query_vars_from_settings است که می تواند به کاربر غیرمجاز اجازه اجرای کد PHP دلخواه را بدهد. Patchstack، پلتفرمی برای آسیبپذیریهای امنیتی در وردپرس، این گزارش را دریافت کرد و به تیم Bricks اطلاع داد.
در 13 فوریه 2024 (24 بهمن 1402) راه حل این مشکل با انتشار نسخه 1.9.6.1 در دسترس قرار گرفت. در آن زمان، توسعه دهندگان خاطرنشان کردند که هیچ مدرکی دال بر سوء استفاده از این نقص وجود ندارد. اما او از کاربران خواست تا در اسرع وقت آخرین نسخه را دریافت کنند. در بولتن آجر آمده است:
از زمان انتشار، هیچ مدرکی دال بر سوء استفاده از این آسیب پذیری وجود ندارد. با این حال، هر چه بیشتر بهروزرسانی به 1.9.6.1 را به تأخیر بیندازید، احتمال سوء استفاده از آن بیشتر میشود.
توسعه دهنده به مدیران وب سایت اعلام کرد:
هر چه زودتر بهتر. تمام وب سایت های Bricks خود را به آخرین نسخه Bricks 1.9.6.1 حداقل در 24 ساعت آینده به روز کنید.
در همان روز، Snicco جزئیات مربوط به این آسیبپذیری را فاش کرد. امروز، V پست نسخه اصلی را بهروزرسانی کرد تا یک نسخه نمایشی از حمله را در بر بگیرد. اما کد سوء استفاده را شامل نمی شد. همچنین، Patchstack امروز در پست الکترونیکی پس از شناسایی تلاشهای بهرهبرداری فعال که در ۱۴ فوریه ۲۰۲۴ (۲۵ فوریه ۱۴۰۲) آغاز شد، جزئیات کامل CVE-2024-25600 را به اشتراک گذاشت.
شرکت فوق توضیح می دهد که این نقص به دلیل اجرای ورودی کنترل شده توسط کاربر از طریق تابع eval در prede_query_vars_from_settings ایجاد می شود. جایی که $php_query_raw از queryEditor ایجاد می شود.
علیرغم بررسی Nonce در render_element_permissions_check، به دلیل Nonces در دسترس عموم و بررسیهای مجوز ناکافی که اجازه دسترسی غیرمجاز را میدهد، میتوان از این خطر امنیتی از طریق نقاط پایانی REST API برای رندر سمت سرور سوء استفاده کرد.
Patchstack می گوید که در مرحله پس از بهره برداری، مشاهده کرد که مهاجمان از بدافزار خاصی استفاده می کنند که می تواند افزونه های امنیتی مانند Wordfence و Sucuri را غیرفعال کند. آدرس های IP زیر با اکثر حملات مرتبط هستند:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence همچنین وضعیت بهره برداری فعال CVE-2024-25600 را تایید کرد و گزارش داد که 24 مورد را در 24 ساعت گذشته شناسایی کرده است. به کاربران آجر توصیه می شود این کار را به صورت خودکار با مراجعه به مشاهده > پوسته ها در داشبورد وردپرس و روی آن کلیک کنید به روز رسانی دانلود نسخه 1.9.6.1.
نوشته پلاگین وردپرس Bricks هک شد اولین بار در Tech Knock – اخبار دنیای فناوری پدیدار شد. ظاهر شد.
گفتگو در مورد این post