Los piratas informáticos están actualmente explotando una vulnerabilidad crítica de ejecución remota de código (falla RCE) en el tema Bricks Builder, lo que les permite ejecutar código PHP malicioso en sitios vulnerables.
Bricks Builder es un tema premium de WordPress conocido como un innovador constructor visual de sitios respaldado por la comunidad, con alrededor de 25,000 instalaciones activas.
Destaca por su facilidad de uso y personalización en el diseño de sitios web.
El 10 de febrero, el investigador ‘snicco’ descubrió una vulnerabilidad, rastreada como CVE-2024-25600, que afecta al tema Bricks Builder en su configuración predeterminada.
La vulnerabilidad radica en una llamada de función ‘eval’ en la función ‘prepare_query_vars_from_settings’, que un usuario no autenticado podría explotar para ejecutar código PHP arbitrario.
El equipo de Bricks fue notificado a través de la plataforma Patchstack, y lanzó una corrección el 13 de febrero con la versión 1.9.6.1.
Aunque no había evidencia de explotación hasta la fecha de la versión, el desarrollador instó a los usuarios a actualizar lo antes posible, dado que el riesgo aumenta con el tiempo.
“Actualice todos sus sitios de Bricks a la última versión 1.9.6.1 lo antes posible, preferiblemente dentro de las próximas 24 horas“, recomendó el equipo de Bricks.
El investigador ‘snicco’ proporcionó detalles sobre la vulnerabilidad el mismo día y recientemente actualizó su informe para incluir una demostración del ataque, aunque sin compartir el código de explotación.
Lo que está sucediendo
En su última actualización, Patchstack detalló completamente el CVE-2024-25600, tras detectar intentos activos de explotación a partir del 14 de febrero.
La vulnerabilidad proviene de la ejecución de entrada controlada por el usuario a través de la función eval en ‘prepare_query_vars_from_settings’, donde $php_query_raw se construye a partir de ‘queryEditor’.
La explotación de este riesgo de seguridad es viable mediante puntos finales de la API REST para el renderizado en el servidor.
A pesar de una verificación de nonce en ‘render_element_permissions_check’, se debe a los nonces públicamente accesibles y controles de permisos inadecuados que permiten el acceso no autenticado.
En la fase de post-explotación, Patchstack ha observado que los atacantes utilizan malware específico capaz de desactivar plugins de seguridad como Wordfence y Sucuri.
Las siguientes direcciones IP han sido asociadas con la mayoría de los ataques:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 1.108.240.52
Wordfence también ha confirmado la activa explotación del CVE-2024-25600 y ha informado haber detectado 24 instancias en el último día.
Se insta a los usuarios de Bricks a que actualicen a la versión 1.9.3.1 de inmediato.
Pueden hacerlo a través de “Apariencia -> Temas” en el panel de control de WordPress, haciendo clic en “Actualizar”, o de manera manual desde este enlace.
