神祕人士將vBulletin零時差漏洞公佈於網上
本周有匿名人士在網路社群Full Disclosure中公佈,知名網路論壇平台軟體vBulletin 的一個尚未修補的零時差攻擊漏洞,使網路上數百萬論壇陷於遭劫持的風險中。
vBulletin是最受歡迎的網路論壇軟體之一,根據W3CTech統計,全球有0.1%的網站跑在vBulletin上,超過同類型軟體,如phpBB、XenForo、Simple Machines Forum、MyBB等。vBulletin列出的知名客戶包括 Steam、EA、 Zynga、NASA、Sony及丹佛野馬美式足球隊等。
媒體分析神祕人士張貼的攻擊程式碼,這項漏洞為「驗證前遠端程式碼執行」(pre-auth RCE)漏洞,這是影響Web 平台最嚴重的類型。攻擊者無需具備帳號,只要發出一個HTTP POST呼叫,就可以在vBulletin伺服器上執行指令,即可劫持跑論壇的網頁伺服器、竊取或刪改資料,或是對其他系統發動攻擊等。The Register指出,這可能只需要20行的Python程式即可。
張貼的文件並列出概念驗證攻擊程式,表示可在vBulletin 5.0.0 到 5.5.4執行。有人測試後發現證實此事。
不過這名神祕人士究竟是惡搞vBulletin,還是因為vBulletin團隊先前接獲研究人員通報卻沒有回應,使研究人員憤而公布則不得而知。vBulletin團隊也尚未對媒體說明此事。
2015年也曾有人公佈vBulletin 5.1.x版的Pre-Auth RCE漏洞及概念驗證攻擊程式,並以此竄改vBulletin官網。當時的漏洞被派發編號CVE-2015-7808,vBulletin於11月修補完成。
由於最新公佈的漏洞目前還未修補完成,使用vBulletin的網站管理員要是無法暫時把網站下線,唯一能做的就是留心是否有程式開採漏洞。
vBulletin緊急修補本周被揭露的零時差漏洞
本周有匿名人士在網路公布了商業論壇軟體vBulletin的零時差漏洞,以及只有18行的概念性驗證攻擊程式,且傳出已有駭客針對該漏洞展開攻擊,vBulletin團隊則在周四(9/26)緊急修補了該漏洞。
vBulletin為一提供討論區、內容管理系統及部落格等功能的付費軟體,宣稱全球已有超過10萬個網站採用。
本周被公布的安全漏洞編號為CVE-2019-16759,駭客無需具備論壇帳號,只要傳送一個特製的HTTP POST請求至vBulletin就能執行命令,可執行的命令型態則視vBulletin服務所使用的用戶帳號權限而定,可能允許駭客掌控整個系統。
資安專家認為這是個既嚴重又容易開採的高危險漏洞,預期它很快就會吸引眾多駭客,而來自於Bad Packets的Troy Mursch已經察覺首波的攻擊,駭客不但藉由公開的攻擊程式開採了該漏洞,還變更了系統配置,以讓未來要傳送命令都得輸入密碼,防堵其它駭客的開採行動,收編這些vBulletin伺服器成為自己的殭屍網路。大多數的攻擊流量來自巴西、越南與印度。
CVE-2019-16759影響vBulletin 5.0.0到5.5.4的版本,漏洞的嚴重性也讓vBulletin團隊緊急釋出安全更新,修補了vBulletin 5.5.2、5.5.3及5.5.4,並建議5.5.2以前版本的用戶儘快升級。
不過,專門收購零時差漏洞與攻擊程式的Zerodium執行長Chaouki Bekrar指出,先前就有許多研究人員對外銷售CVE-2019-16759的攻擊程式,Zerodium客戶至少在3年前便知道此一漏洞的存在。
