Ein kritisches Sicherheitsproblem im Bricks-Theme für WordPress wird aktiv von Bedrohungsakteuren genutzt, um willkürlichen PHP-Code auf anfälligen Installationen auszuführen. Die Schwachstelle, als CVE-2024-25600 registriert (CVSS-Bewertung: 9,8), ermöglicht es nicht authentifizierten Angreifern, Fernausführungen von Code zu erreichen und betrifft alle Versionen von Bricks bis einschließlich 1.9.6.
Die Entwickler des Themes haben das Problem in Version 1.9.6.1 am 13. Februar 2024 behoben, nur wenige Tage nachdem der WordPress-Sicherheitsanbieter Snicco die Schwachstelle am 10. Februar gemeldet hatte. Obwohl kein Proof-of-Concept (PoC)-Exploit veröffentlicht wurde, haben sowohl Snicco als auch Patchstack technische Details herausgegeben. Dabei wurde festgestellt, dass der anfällige Code in der Funktion prepare_query_vars_from_settings() existiert.
Konkret geht es um die Verwendung von Sicherheitstokens, sogenannten „Nonces“, zur Überprüfung von Berechtigungen, die dann genutzt werden können, um willkürliche Befehle zur Ausführung zu bringen und so einem Bedrohungsakteur die Kontrolle über eine betroffene Website zu ermöglichen.
Der Wert des Nonces ist auf der Frontend-Seite einer WordPress-Website öffentlich zugänglich, so Patchstack, und es werden keine angemessenen Rollenprüfungen angewendet. „Nonces sollten niemals als alleinige Methode für Authentifizierung, Autorisierung oder Zugriffskontrolle verwendet werden“, warnt WordPress in seiner Dokumentation. „Schützen Sie Ihre Funktionen mit current_user_can() und gehen Sie immer davon aus, dass Nonces kompromittiert werden können.“
Die WordPress-Sicherheitsfirma Wordfence meldete, dass sie seit dem 19. Februar 2024 über drei Dutzend Angriffsversuche, die die Schwachstelle ausnutzen, festgestellt hat. Die Ausnutzungsversuche begannen am 14. Februar, einen Tag nach der öffentlichen Bekanntgabe.
Die Mehrheit der Angriffe stammt von den folgenden IP-Adressen –
- 200.251.23[.]57
- 92.118.170[.]216
- 103.187.5[.]128
- 149.202.55[.]79
- 5.252.118[.]211
- 91.108.240[.]52
Es wird geschätzt, dass Bricks derzeit etwa 25.000 aktive Installationen hat. Nutzern des Plugins wird empfohlen, die neuesten Patches anzuwenden, um möglichen Bedrohungen entgegenzuwirken.