gisteren werd gemeld dat een bepaalde anonieme onderzoeker gepubliceerd in het publieke domein details van de gevaarlijke zero-day kwetsbaarheid in het vBulletin forum engine, evenals een exploit voor haar. Nu bleek dat dit beveiligingslek is uitgebuit voor jaren.
De bug kan een aanvaller shell commando's uitvoeren op een kwetsbare server. Bovendien, Een aanvaller moet gewoon een eenvoudige HTTP POST-verzoek gebruiken en hoeft niet om een account hebben op de beoogde forum, Dat is, het probleem behoort tot de onaangename klasse van pre-authenticatie kwetsbaarheden.
"Eigenlijk, iedere aanval maakt gebruik van een super simpel commando injectie. Een aanvaller stuurt de payload, vBulletin loopt dan het commando, en het reageert terug naar de aanvaller met wat ze vroegen om. Als een aanvaller geeft een shell-commando in het kader van de injectie, vBulletin zal draaien Linux-commando's op zijn gastheer met wat gebruikersrechten vBulletins’ system-level user account heeft toegang tot”, - Ryan Seguin, een research engineer bij Tenable, vertelde.
Nu op de GitHub kwam een meer gedetailleerde beschrijving van het probleem, en een script is ook gepubliceerd op het netwerk te zoeken naar kwetsbare servers. VBulletin gebruikers, op zijn beurt, zijn al begonnen met het rapporteren over de aanvallen op hun forums. Sommigen klagen over de volledige verwijdering van de database met deze bug.
belangwekkend, na het verschijnen van kwetsbaarheid data, het hoofd van Zerodium, Chauki Bekrar, zei op Twitter dat zijn bedrijf en klanten bewust van dit probleem was voor drie jaar, en exploits want het was al lang verkocht op de zwarte markt.
“De recente vBulletin pre-auth RCE 0-day onthuld door een onderzoeker op full-disclosure ziet eruit als een bugdoor, een perfecte kandidaat voor @PwnieAwards 2020. Gemakkelijk te herkennen en te exploiteren. Veel onderzoekers verkochten deze exploit voor de komende jaren. @Zerodium klanten op de hoogte waren van het sinds 3 jaar”, - schreef Chaouki Bekrar.
Omdat de ontwikkelaars van vBulletin zwegen, IS expert Nick Cano onmiddellijk toebereid officiële patch voor deze bug. Om het te gebruiken, net bewerken includes / VB5 / frontend / controller / bbcode.php overeenkomstig.
Tenslotte, op de avond van september 25, vBulletin ontwikkelaars brak stilte en kondigt de release van een patch voor vBulletin versie 5.5.X. De kwetsbaarheid werd de identificator toegekend CVE-2019-16.759.
