ontem foi reportado que um certo pesquisador anônimo publicado nos detalhes de domínio público da perigosa vulnerabilidade zero-day no motor fórum vBulletin, bem como um exploit para ele. Agora descobriu-se que esta vulnerabilidade foi explorada por anos.
O bug permite que um invasor execute comandos shell em um servidor vulnerável. Além disso, um atacante só precisa usar uma solicitação HTTP POST simples e não precisa ter uma conta no fórum alvo, Isso é, o problema pertence à classe desagradável de vulnerabilidades de pré-autenticação.
"Essencialmente, qualquer ataque explora uma injeção de comandos super simples. Um atacante envia o payload, vBulletin em seguida, executa o comando, e ele responde de volta para o atacante com o que eles pediram. Se um atacante emite um comando shell como parte da injecção, vBulletin irá executar comandos Linux em seu hospedeiro com permissões vBulletins qualquer que seja usuário’ conta de usuário no nível do sistema tem acesso ao”, - Ryan Seguin, um engenheiro de pesquisa da Tenable, contou.
Agora no GitHub chegou um descrição mais detalhada do problema, e um script também tem sido Publicados na rede de pesquisa para servidores vulneráveis. usuários vBulletin, por sua vez, já começaram a relatar sobre os ataques a seus fóruns. Alguns até se queixam da remoção completa da base de dados com este bug.
Curiosamente, após a publicação de dados vulnerabilidade, o chefe de Zerodium, Chauki Bekrar, disse no Twitter que a empresa e os clientes tinham conhecimento deste problema por três anos, e exploits para que tinha sido vendido no mercado negro.
“A recente pré-auth RCE 0-day vBulletin divulgadas por um pesquisador em plena divulgação parece um bugdoor, um candidato perfeito para @PwnieAwards 2020. Fáceis de detectar e explorar. Muitos pesquisadores estavam vendendo essa exploração por anos. clientes @Zerodium estavam cientes disso desde 3 anos", - escreveu Chaouki Bekrar.
Desde os desenvolvedores do vBulletin ficaram em silêncio, É especialista Nick Cano prontamente preparado um remendo não oficial para este bug. Para usá-lo, basta editar inclui / VB5 / cliente / controlador / bbcode.php adequadamente.
Finalmente, na noite de setembro 25, desenvolvedores de vBulletin quebrou o silêncio e anunciou o lançamento de um patch para vBulletin versão 5.5.x. A vulnerabilidade foi atribuído o identificador CVE-2019-16759.
