WordPress Bricks Builder Theme ranjivost
WordPress Bricks Builder Theme ranjivost se aktivno iskorištava za pokretanje proizvoljnog PHP kôda na ranjivim instalacijama. Ranjivost označena kao CVE-2024-25600 (CVSS ocjena: 9.8) omogućava neautorizovanim napadačima da postignu daljinsko izvršavanje kôda što utiče na Bricks verziju 1.9.6 i niže.
BRICKS BUILDER THEME
Procjenjuje se da Bricks Builder Theme (premijum verzija) ima oko 25.000 trenutno aktivnih instalacija, a poznata je kao popularna tema za za pravljenje premijum internet stranica. Tema Bricks Builder je proglašena za inovativni, vizuelni kreator internet stranica za WordPress podržan zajednicom korisnika. Ova tema omogućava korisnicima da dizajniraju jedinstvene, efikasne i skalabilne internet stranice sa pristupom bez kôda.
BRICKS BUILDER RANJIVOST
Ranjivost CVE-2024-25600 omogućava neautorizovanim napadačima da postignu daljinsko izvršavanje kôda što utiče na Bricks verziju 1.9.6 i niže. Kompanije Snicco i Patchstack, su objavile tehničke detalje, uz napomenu da osnovni ranjivi kôd postoji u funkciji prepare_query_vars_from_settings() function.
“Greška je identifikovana u funkciji ‘prepare_query_vars_from_settings’, koja se poziva iz različitih procesa u kodu, uključujući klasu Bricks\Query, koja upravlja prikazivanjem WordPress upita za objavu i koja koristi PHP funkciju eval.”
– Calvin Alkan, snicco –
Konkretno, radi se o upotrebi sigurnosnih tokena zvanih “nonces” za verifikaciju dozvola, koje se zatim mogu koristiti za prosljeđivanje proizvoljnih komandi za izvršenje, efektivno omogućavajući zlonamjernom akteru da preuzme kontrolu nad ciljnom lokacijom. Vrijednost “nonces” je javno dostupna na prednjem planu (eng. frontend) WordPress stranice, a ne primjenjuju adekvatne provjere uloga.
“Nikada se ne treba oslanjati na “nonces” za autentifikaciju, autorizaciju ili kontrolu pristupa Zaštitite svoje funkcije koristeći current_user_can() i uvijek pretpostavite da jednokratne stavke mogu biti kompromitovane.”
Pošto funkcija provjerava samo jednokratnu vrijednost, a Bricks ispisuje važeći nonces na prednjem planu WordPress stranice, čak i za korisnike bez autentifikacije, napadač može lako da preuzme nonces i pokrene izvršavanje daljinskog kôda (eng. remote code execution – RCE). Izvršavanje daljinskog kôda može dovesti do različitih zlonamjernih aktivnosti, uključujući: instaliranje zlonamjernog softvera ili tajnog pristupa (eng. backdoor), krađu osjetljivih podataka, izmjenu sadržaja na internet stranici (eng. website defacement) i korištenje servera za dalje napade.
ZAKLJUČAK
WordPress je najpopularniji graditelj internet lokacija na svetu i kao takav je popularna meta zlonamjernih aktera. Međutim, sama platforma se generalno smatra bezbjednom, pri čemu su dodaci – besplatni i komercijalni – najslabija karika. Dobra vest kod komercijalnih dodatka je da se aktivno održavaju i da se nedostaci kao što je ovaj brzo popravljaju.
Ovaj incident služi kao podsjetnik na stalnu prijetnju koju predstavljaju ranjivosti u WordPress temama i dodacima i zbog toga postoji naglašena potreba da administratori internet lokacija ostanu na oprezu, redovno ažuriraju svoj softver i primjenjuju robusne bezbjednosne mjere za zaštitu od takvih prijetnji.
ZAŠTITA
Kako se zaštitili, administratorima internet lokacija se preporučuju sljedeći koraci:
- Ažuriranje Bricks Builder teme na verziju 1.9.6.1 bez odlaganja,
- Pratiti internet lokaciju na prisustvo bilo kakvih sumnjivih aktivnosti i redovno provjeravanje da li postoje ažuriranja i zakrpe za sve instalirane teme i dodatke,
- Zaštiti internet lokaciju robusnim bezbjednosnim mjerama, uključujući zaštitne zidove (eng. firewall), bezbjednosne dodatke i redovne rezervne kopije.