En anonym forsker afslørede en open source udnytte for farlige 0-dages sårbarhed i forummet vBulletin motor.
Now, informationssikkerhed eksperter frygter, at offentliggørelsen af detaljerede oplysninger om problemet og Python udnytte for det kunne fremprovokere en massiv bølge af forum hacks.Nærmere oplysninger om 0-dages bug kan findes på Fuld åbenhed postliste.
”Dette RCE gjorde det muligt for en angriber at udføre skalkommandoer på en server med vBulletin. i øvrigt, en hacker bare brug for at bruge en simpel HTTP POST anmodning og behøver ikke at have en konto på målet forum, Det er, problemet tilhører den ubehagelige klasse af sårbarheder pre-authentication”, – siger Full Disclosure postliste.
ZDNet henviser til en række af sine egne kilder, og bekræfter, at sårbarheden fungerer præcis som beskrevet af en anonym specialist.
”Måske er den eneste gode nyhed i denne situation er, at 0-dag kun arbejder med de vBulletin 5.x forum versioner (op til den nyeste 5.5.4), og tidligere versioner er ikke berørt af fejlen”, – Forfatterne til ZDNet rapport.
Det er stadig uklart, om den anonyme forfatter forsøgte at rapportere problemet til vBulletin udviklerne (og undlod at ordne det), eller straks frigives oplysninger om fejlen i det offentlige rum.
Læs også: Smominru botnet hurtigt spreder og den fine kombination da løbet 90 tusinde computere hver måned
Udviklerne har endnu ikke kommenteret situationen, og nogle mener endda, at offentliggørelsen af sårbarhed data kan være en planlagt sabotage.
”Det kunne også være et udtryk for forsætlig ondskab eller sabotage, med den anonym forsker droppe et nul-dag bare for at såre en virksomheds omdømme og sætte sine kunder i fare”, - foreslå ZDNet forfattere.
Selvom vBulletin er et kommercielt produkt, i dag er det den mest populære forum motor med en større markedsandel end open source-løsninger såsom phpBB, XenForo, Simple Forum Machines, MyBB og andre. Ifølge W3Techs, om 0.1% af alle websteder bruger vBulletin fora. Selv om denne værdi synes små, i virkeligheden betyder det, at milliarder af internetbrugere arbejder med vBulletin.
Interessant, oplysninger om dette problem kunne bringe forskeren en masse penge. For eksempel, Zerodium er villig at betale op til $10,000 for sådanne RCE sårbarheder i vBulletin.
