Un investigador anónimo dio a conocer un código abierto para explotar la peligrosa vulnerabilidad 0-day en el motor de foros vBulletin.
norteay, expertos en seguridad de la información temen que la publicación de información detallada sobre el problema y el pitón explotar para ello podría provocar una ola masiva de hacks foro.Los detalles sobre el error 0-día se pueden encontrar en la La divulgación completa lista de correo.
“Esta vulnerabilidad RCE permite a un atacante ejecutar comandos shell en un servidor con vBulletin. Además, un atacante sólo tiene que utilizar una solicitud HTTP POST simple y no necesita tener una cuenta en el foro de destino, Es decir, el problema pertenece a la clase desagradable de vulnerabilidades pre-autenticación”, – dice que la lista de correo Full Disclosure.
ZDNet se refiere a una serie de fuentes propias y confirma que la vulnerabilidad funciona exactamente como se describe por un especialista en el anonimato.
“Quizás la única buena noticia en esta situación es que de 0 días sólo funciona con las versiones 5.x vBulletin (hasta la última 5.5.4), y versiones anteriores no se ven afectados por el insecto”, – autores del informe de ZDNet.
Todavía no está claro si el autor anónimo trató de reportar el problema a los desarrolladores de vBulletin (y no para solucionarlo), o inmediatamente liberado información sobre el error en el dominio público.
leer también: Smominru botnet se propaga rápidamente y hacks más 90 miles de ordenadores cada mes
Los desarrolladores aún no han comentado sobre la situación, y algunos incluso creen que la publicación de los datos de vulnerabilidades podría ser un acto de sabotaje planeado.
“Esto también podría ser un acto de malicia intencional o sabotaje, con el investigador anónimo dejar caer un día cero sólo para dañar la reputación de una empresa y sus clientes poner en riesgo”, - sugerir autores ZDNet.
Aunque vBulletin es un producto comercial, hoy en día es el motor foro más popular con una cuota de mercado superior soluciones de código abierto, como phpBB, XenForo, Simple Machines Forum, MyBB y otros. De acuerdo a W3Techs, acerca de 0.1% de todos los sitios utilizan foros vBulletin. Aunque este valor parece pequeña, en realidad significa que los mil millones de usuarios de Internet trabajan con vBulletin.
Curiosamente, información acerca de este problema podría llevar al investigador una gran cantidad de dinero. Por ejemplo, Zerodium está dispuesto a pagar hasta $10,000 para tales vulnerabilidades RCE en vBulletin.
