Een anonieme onderzoeker onthulde een open-source te benutten voor de gevaarlijke 0-day kwetsbaarheid in het vBulletin forum engine.
Nau, informatiebeveiliging experts vrezen dat de publicatie van gedetailleerde informatie over het probleem en de Python exploit voor het zou een enorme golf van forum hacks uit te lokken.Details over de 0-day bug is te vinden op de Totale openheid verzendlijst.
“Dit RCE kwetsbaarheid kan een aanvaller shell commando's uitvoeren op een server met vBulletin. Bovendien, Een aanvaller moet gewoon een eenvoudige HTTP POST-verzoek gebruiken en hoeft niet om een account hebben op het doel forum, Dat is, het probleem behoort tot de onaangename klasse van pre-authenticatie kwetsbaarheden”, – zegt dat de Full Disclosure mailinglist.
ZDNet verwijst naar een aantal van haar eigen bronnen en bevestigt dat de kwetsbaarheid werkt precies zoals beschreven door een anonieme specialist.
“Misschien is het enige goede nieuws in deze situatie is dat 0-day werkt alleen met de vBulletin 5.x forum versies (tot en met de laatste 5.5.4), en eerdere versies worden niet beïnvloed door de bug”, – auteurs van ZDNet rapport.
Het is nog onduidelijk of de anonieme auteur geprobeerd het probleem op de vBulletin ontwikkelaars melden (en niet in geslaagd om het te repareren), of onmiddellijk vrijgegeven informatie over de bug in het publieke domein.
Lees ook: Smominru botnet snel verspreidt en hacks op 90 duizend computers per maand
De ontwikkelaars hebben nog niet gereageerd op de situatie, en sommigen zelfs van mening dat de publicatie van de kwetsbaarheid van data een geplande daad van sabotage zou kunnen zijn.
“Dit zou ook een daad van opzettelijke opzet of sabotage zijn, met de anonieme onderzoeker laten vallen van een zero-day alleen maar om de reputatie van een bedrijf schaden en zette haar klanten in gevaar”, - suggereren ZDNet auteurs.
Hoewel vBulletin is een commercieel product, vandaag is het de meest populaire forum motor met een groter marktaandeel dan open source oplossingen zoals phpBB, XenForo, Simple Machines Forum, MyBB en anderen. Volgens W3Techs, wat betreft 0.1% van alle sites gebruiken vBulletin forums. Hoewel deze waarde lijkt klein, in de praktijk betekent dit dat miljarden internetgebruikers werken met vBulletin.
belangwekkend, informatie over dit probleem zou de onderzoeker leiden tot een veel geld. Bijvoorbeeld, Zerodium is bereid te betalen tot $10,000 dergelijke RCE kwetsbaarheden in vBulletin.
