I går blev rapporteret at en vis anonym forsker offentliggjort i det offentlige rum oplysninger om den farlige zero-day sårbarhed i forummet vBulletin motor, samt en udnytte for det. Nu viste det sig, at denne sårbarhed er blevet udnyttet i årevis.
Fejlen gør det muligt for en angriber at udføre skalkommandoer på en sårbar server. i øvrigt, en hacker bare brug for at bruge en simpel HTTP POST anmodning og behøver ikke at have en konto på målrettede forum, Det er, problemet tilhører den ubehagelige klasse af sårbarheder præ-autentificering.
”væsentlige, ethvert angreb udnytter en super enkel kommando injektion. En angriber sender nyttelasten, vBulletin kører derefter kommandoen, og den reagerer tilbage til hackeren med, hvad de bad om. Hvis en hacker udsteder en shell-kommando som en del af indsprøjtning, vBulletin vil køre linux kommandoer på sin vært med uanset brugerens tilladelser vBulletins’ system-niveau brugerkonto har adgang til”, - Ryan Seguin, en forskning ingeniør på Tenable, fortalt.
Nu på GitHub ankom mere detaljeret beskrivelse af problemet, og et script har også været offentliggjort på netværket for at søge efter sårbare servere. vBulletin brugere, på tur, er allerede begyndt at rapportere om angreb på deres fora. Nogle endda klager over den fuldstændig fjernelse af databasen med denne fejl.
Interessant, efter offentliggørelsen af sårbarhed data, lederen af Zerodium, Chauki Bekrar, sagt på Twitter at hans selskab og kunder havde været opmærksom på dette problem i tre år, og udnytter for det havde længe været solgt på det sorte marked.
”Den seneste vBulletin pre-auth RCE 0-dag beskrevet af en forsker på fuld offentliggørelse ligner en bugdoor, en perfekt kandidat til @PwnieAwards 2020. Let at få øje på og udnytte. Mange forskere solgte dette udnytte i årevis. @Zerodium kunder var klar over det, da 3 flere år", - skrev Chaouki Bekrar.
Da udviklerne af vBulletin var tavse, ER ekspert Nick Cano straks fremstilles en uofficiel patch til denne fejl. For at bruge den, bare redigere includes / VB5 / frontend / controller / bbcode.php derfor.
Langt om længe, om aftenen september 25, vBulletin udviklere brød tavsheden og annonceret udgivelsen af en patch for vBulletin versionen 5.5.X. Sårbarheden blev tildelt identifikator CVE-2019-16.759.
