Bilgisayar korsanları, savunmasız sitelerde kötü amaçlı PHP kodu çalıştırmak için Brick Builder Temasını etkileyen kritik bir uzaktan kod yürütme (RCE) kusurundan aktif olarak yararlanıyor.
Bricks Builder Teması, yenilikçi, topluluk odaklı bir görsel site oluşturucu olarak tanımlanan premium bir WordPress temasıdır. Yaklaşık 25.000 aktif kurulumla ürün, web sitesi tasarımında kullanıcı dostu olmayı ve kişiselleştirmeyi teşvik eder.
10 Şubat’ta ‘snicco’ adlı bir araştırmacı, şu anda CVE-2024-25600 olarak izlenen ve varsayılan yapılandırmasıyla yüklenen Brick Builder Temasını etkileyen bir güvenlik açığı keşfetti.
Güvenlik sorununun nedeni değerlendirmek ‘prepare_query_vars_from_settings’ işlevindeki işlev çağrısı, kimliği doğrulanmamış bir kullanıcının isteğe bağlı PHP kodu yürütmek için bu işlevi kullanmasına olanak verebilir.
WordPress’teki güvenlik açıklarına yönelik Patchstack platformu raporu aldı ve Bricks ekibine bilgi verdi. 13 Şubat’ta 1.9.6.1 sürümünün yayınlanmasıyla birlikte bir düzeltme kullanıma sunuldu.
Satıcının tavsiyesi o sırada kusurun istismar edildiğine dair bir kanıt bulunmadığını belirtmiş ancak kullanıcıları mümkün olan en kısa sürede en son sürüme yükseltmeye çağırmıştı.
“Bu sürümün yayımlandığı tarih itibariyle, bu güvenlik açığının istismar edildiğine dair hiçbir kanıt bulunmuyor. Ancak 1.9.6.1 güncellemesi ne kadar gecikirse kötüye kullanım potansiyeli de o kadar artıyor” diyor Bricks’in bülteni.
“Tüm Bricks sitelerinizi mümkün olan en kısa sürede en son Bricks 1.9.6.1 sürümüne güncelleyin. Ama en azından önümüzdeki 24 saat içinde. Geliştirici, yöneticilere ne kadar erken olursa o kadar iyi dedi.
Aynı gün Snicco, güvenlik açığıyla ilgili bazı ayrıntıları açıkladı. Bugün araştırmacı orijinal gönderiyi saldırı için bir demo içerecek, ancak yararlanma kodunu içermeyecek şekilde güncelledi.
Aktif sömürü sürüyor
Bugün yayınlanan bir gönderide Patchstack, 14 Şubat’ta başlayan aktif istismar girişimlerini tespit ettikten sonra CVE-2024-25600’ün tüm ayrıntılarını da paylaştı.
Şirket, kusurun kullanıcı tarafından kontrol edilen girdilerin değerlendirmek içinde işlev görmek hazır_query_vars_from_settingsile $php_query_raw queryEditor’dan oluşturuldu.
Bu güvenlik riskinden yararlanmak, tek seferlik check-in işlemine rağmen sunucu tarafı işleme için REST API uç noktaları aracılığıyla mümkündür render_element_permissions_checkkimlik doğrulaması yapılmadan erişime izin veren, herkese açık olarak erişilebilen tekrarlar ve yetersiz izin kontrolleri nedeniyle.
Patchstack, istismar sonrası aşamada saldırganların Wordfence ve Sucuri gibi güvenlik eklentilerini devre dışı bırakabilecek belirli kötü amaçlı yazılımlar kullandığını gözlemlediğini söylüyor.
Aşağıdaki IP adresleri saldırıların çoğuyla ilişkilendirilmiştir:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence ayrıca CVE-2024-25600’ün aktif kullanım durumunu doğruladı ve geçtiğimiz gün 24 tespit gördüğünü bildirdi.
Bricks kullanıcılarının, WordPress kontrol panelinde “Görünüm > Temalar”a gidip “güncelleme”yi tıklayarak veya buradan manuel olarak hemen 1.9.3.1 sürümüne yükseltmeleri önerilir.