gestern wurde gemeldet dass eine bestimmte anonymen Forscher in den öffentlichen Bereich Details des gefährlichen Zero-Day-Schwachstelle im vBulletin Forum-Engine veröffentlicht, sowie eine für sie ausbeuten. Nun stellte sich heraus, dass diese Sicherheitsanfälligkeit seit Jahren genutzt wurde.
Der Fehler kann ein Angreifer Shell-Befehle auf einem anfälligen Server auszuführen. Außerdem, ein Angreifer braucht nur eine einfache HTTP-POST-Anforderung zu verwenden und muss nicht ein Konto auf dem Zielforum hat, Das ist, das Problem gehört zu der unangenehmen Klasse von Vorauthentifizierung Anfälligkeiten.
"Im Wesentlichen, jeder Angriff nutzt einen einfachen Super-Befehlseinspritz. Ein Angreifer sendet die Nutzlast, vBulletin führt dann den Befehl, und er antwortet zurück an den Angreifer mit dem, was sie gefragt. Wenn ein Angreifer gibt einen Shell-Befehl als Teil der Einspritz, vBulletin läuft Linux auf seinem Host-Befehle mit dem, was Benutzerberechtigungen vBulletins’ System-Level-Benutzerkonto hat Zugriff auf“, - Ryan Seguin, Forschungsingenieur bei Tenable, erzählte.
Jetzt auf der GitHub kam ein ausführlichere Beschreibung von dem Problem, und ein Skript hat auch gewesen veröffentlicht auf dem Netzwerk für gefährdeten Server suchen. VBulletin Benutzer, im Gegenzug, sie haben schon die Foren berichtet über Angriffe begonnen. Einige beschweren sich auch über die vollständige Entfernung der Datenbank mit diesem Fehler.
Interessant, nach der Veröffentlichung von Vulnerability-Daten, der Leiter des Zerodium, Chauki Bekrar, sagte auf Twitter dass sein Unternehmen und Kunden seit drei Jahren war dieses Problem bekannt, und Exploits für sie schon lange auf dem Schwarzmarkt verkauft.
„Der jüngste vBulletin Pre-Auth RCE 0-Tag von einem Forscher auf Full Disclosure offenbart sieht aus wie ein bugdoor, ein perfekter Kandidat für @PwnieAwards 2020. Leicht zu erkennen und zu nutzen,. Viele Forscher verkauften dies seit Jahren ausschöpfen. @Zerodium Kunden bewusst waren es seit 3 Jahre", - schrieb Chaouki Bekrar.
Da die Entwickler von vBulletin schweigen, IS-Experte Nick Cano sofort bereit ein inoffizieller Patch für diesen Fehler. Um es zu benutzen, gerade bearbeiten includes / VB5 / Frontend / controller / bbcode.php entsprechend.
Endlich, am Abend des September 25, vBulletin Entwickler brach Schweigen und kündigte die Veröffentlichung eines Patches für vBulletin Version 5.5.x. Die Schwachstelle wurde mit der Kennung zugewiesen CVE-2019-16759.
