ayer Fue reportado que un determinado investigador anónimo publicado en los datos de dominio público de la peligrosa vulnerabilidad de día cero en el motor de foros vBulletin, así como explotar para ello. Ahora resulta que esta vulnerabilidad ha sido explotada durante años.
El fallo permite a un atacante ejecutar comandos shell en un servidor vulnerable. Además, un atacante sólo tiene que utilizar una solicitud HTTP POST simple y no necesita tener una cuenta en el foro dirigido, Es decir, el problema pertenece a la clase desagradable de vulnerabilidades de autenticación previa.
"Esencialmente, cualquier ataque explota una inyección de comandos super sencillo. Un atacante envía la carga útil, vBulletin continuación, se ejecuta el comando, y responde al atacante con cualquier cosa que pidieran. Si un atacante envía un comando shell como parte de la inyección, vBulletin se ejecutará comandos de Linux en su huésped con cualquier usuario de permisos vBulletins’ cuenta de usuario a nivel de sistema tiene acceso a”, - Ryan Seguin, un ingeniero de investigación en Tenable, dicho.
Ahora en el GitHub llegado una descripción más detallada del problema, y una secuencia de comandos también ha sido publicado en la red para buscar servidores vulnerables. usuarios vBulletin, en turno, ya han comenzado a informar sobre los ataques a sus foros. Algunos incluso se quejan de la eliminación completa de la base de datos con este error.
Curiosamente, después de la publicación de los datos de la vulnerabilidad, La cabeza de Zerodium, Chauki Bekrar, dicho en Twitter que su empresa y los clientes habían sido conscientes de este problema durante tres años, y exploits para que siempre habían sido vendidos en el mercado negro.
“La reciente pre-auth RCE 0-día vBulletin descrito por un investigador en la divulgación completa se parece a un bugdoor, un candidato perfecto para @PwnieAwards 2020. Fáciles de detectar y explotar. Muchos investigadores estaban vendiendo este exploit durante años. @Zerodium clientes eran conscientes de ello desde 3 años", - escribió Chaouki Bekrar.
Dado que los desarrolladores de vBulletin estaban en silencio, es un experto Nick Cano preparada con prontitud una parche no oficial para este error. Para usarlo, acaba de editar incluye / vb5 / frontend / controlador / bbcode.php en consecuencia.
Finalmente, en la tarde de setiembre 25, desarrolladores de vBulletin rompió el silencio y anunció el lanzamiento de un parche para la versión 5.5.x vBulletin. La vulnerabilidad fue asignado el identificador CVE-2019 a 16759.
