Опубликован очень простой эксплойт для RCE 0-day уязвимости vBulletin

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 11 Aug 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    398
    Likes Received:
    1,525
    Reputations:
    22
    Был опубликован простой однострочный эксплойт для уязвимости удаленного выполнения кода (RCE) до проверки подлинности нулевого дня в программном обеспечении форума vBulletin.

    vBulletin - это чрезвычайно популярное программное обеспечение для онлайн-форумов, используемое такими крупными брендами, как Electronic Arts, Zynga, Sony, Pearl Jam, NASA, Steam и многими другими.

    В сентябре 2019 года неизвестный исследователь безопасности обнаружил RCE-уязвимость нулевого дня в версиях vBulletin с 5.0 по 5.4, которая отслеживалась как CVE-2019-16759.

    Используя эту уязвимость, злоумышленники могут удаленно использовать ошибку в модуле PHP vBulletin для выполнения любой команды PHP на удаленном сервере без входа в форум.

    Этой уязвимости был присвоен рейтинг критичности 9,8 / 10 из-за простоты использования и способности удаленно выполнять команды на уязвимых серверах vBulletin.

    Вчера исследователь безопасности Амир Этемадие (Zenofex) раскрыл новый эксплойт нулевого дня vBulletin, который обходит патч, выпущенный в 2019 году для исходной уязвимости CVE-2019-16759.

    Этот эксплойт до смешного прост в использовании и позволяет любому удаленно выполнять команды с помощью одной однострочной команды, которая отправляет запрос POST на сервер vBulletin, как показано на изображении ниже
    [​IMG]
    PoC of vBulletin zero-day
    В разговоре с BleepingComputer Этемадие заявил, что он публично раскрыл уязвимость, поскольку vBulletin не смог должным образом исправить ее с первого раза, и он решил их таким образом подтолкнуть.

    «Я чувствовал, что это уже была критическая уязвимость, которую они не смогли исправить годом ранее. Раскрытие информации было лучшим путем».

    «Я также предоставил способ защиты, чтобы позволить любым клиентам быстро предотвратить доступ злоумышленника к уязвимому коду».

    «Компании должны серьезно относиться к безопасности своих продуктов, исследователи не могут постоянно тратить свои ресурсы для выявления уязвимостей».

    «Я хочу обратить внимание общественности на то, что я не создаю уязвимости в коде, я лишь бесплатно работаю для их выявления», - сказал Этемадие BleepingComputer.

    Атаки начались сразу же

    Вскоре после публикации «нулевого дня» сайты vBulletin уже подверглись атакам.

    По словам Джеффа Мосса, известного также как The Dark Tangent и создателя конференций по безопасности Black Hat и Defcon, форум defcon.org подвергся атаке с помощью этого эксплойта через три часа после его раскрытия.

    [​IMG]

    Ранее сегодня форум vBulletin также был отключен, поскольку они предположительно применяли патч для исправления уязвимости.

    [​IMG]

    vBulletin выпускает быстрое обновление для ошбки zero-day

    Из-за простоты использования и серьезности этой уязвимости BleepingComputer решил не сообщать о ней до тех пор, пока не будет доступен патч.


    Сегодня днем vBulletin выпустил патч, который отключает модуль PHP в vBulletin, чтобы уменьшить уязвимость.

    «Все старые версии следует считать уязвимыми. Сайты, на которых установлены более старые версии vBulletin, необходимо как можно скорее обновить до vBulletin 5.6.2. Для получения дополнительной информации об обновлении см. Краткий обзор: Обновление vBulletin Connect на форумах поддержки», из бюллетеня безопасности vBulletin.

    vBulletin заявляет, что этот модуль будет полностью удален в версии 5.6.4.

    Для пользователей, использующих производственные серверы, вы также можете уменьшить уязвимость, выполнив следующие действия:
    1. Перевести сайт в режим отладки (debug mode).
    2. Войдите в AdminCP.
    3. Перейдите в Стили -> Менеджер стилей (Style Manager).
    4. Откройте список шаблонов для стиля MASTER.
    5. Прокрутите вниз, где написано Шаблоны модулей (Module Template).
    6. Выделите модуль widget_php.
    7. Нажмите кнопку «Вернуть» ("Revert").
    8. Это полностью удалит шаблон с вашего сайта и сделает модуль PHP неработоспособным.
    Все пользователи vBulletin должны немедленно установить исправление или применить описанные выше действия по снижению рисков, прежде чем их серверы будут взломаны хакерами.

     
    Suicide and fandor9 like this.
  2. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    398
    Likes Received:
    1,525
    Reputations:
    22
    Они уже давно выпустили коммерческую версию булки 6.2.5, на исправление багов в старых релизах, наверное, просто забили, как это обычно бывает.
     
    Suicide likes this.
Loading...