Bild: ZDNet
En anonym säkerhet forskare har publicerat information om en zero-day i vBulletin, dagens mest populära internet-forum.
På grund av detta enskilda åtgärder, säkerhet experter är nu orolig för att offentliggörande av information om detta unpatched sårbarhet kan utlösa en våg av forum hacka över internet, med hackare att ta över forumet installationer och stjäla användarinformation i bulk, som en följd av detta.
Zero-day-detaljer
Enligt en analys av publicerade kod, zero-day tillåter en angripare att exekvera shell-kommandon på servern som kör en vBulletin installation. Angriparen behöver inte ha ett konto på riktade forum.
I infosec lingo, detta är vad säkerhetsexperter kallar en “pre-autentisering fjärrkörning av kod” sårbarhet, en av de värsta typer av säkerhetsbrister som kan påverka en webb-baserad plattform.
ZDNet har bekräftat att detta zero-day fungerar som annonseras med två olika källor.
lol vBulletin 5.x RCE 0day. Testad och fungerar. https://t.co/NWH0AXIDD9 pic.twitter.com/fgwe7fZ3by
— uɐpʇou@ ✸ (@notdan) September 24, 2019
Oklart om sabotage eller misslyckats avslöjande
Detaljer om detta zero-day har publicerats på Full Disclosure, en offentlig tillgång till e-postlista.
Det är inte ovanligt för säkerhet forskare att släppa detaljer om unpatched säkerheten brister när säljare misslyckas med att lappa en sårbarhet som varit i privat rapporterade.
Men, i skrivande stund är det oklart om den anonyma forskare rapporterade sårbarheten till vBulletin-laget, eller om vBulletin laget misslyckades med att ta itu med denna fråga i god tid, vilket har föranlett forskare att gå allmänheten som följd.
MH Sub jag, LLC, företaget som säljer vBulletin forum programvara, har inte återvänt en begäran om en kommentar.
Dessutom, det kan också vara en handling av avsiktlig uppsåt eller sabotage, med anonym forskare att släppa en zero-day bara för att skada ett företags rykte och sätta sina kunder i riskzonen.
Forskaren publicerade uppgifter om detta zero-day från en anonym e-tjänsten, utan att avslöja sin verkliga e-postadress, så ZDNet inte möjlighet att nå ut till ytterligare information.
Tiotusentals utsatta forum
Trots att det är en kommersiell produkt, vBulletin är dagens mest populära web forum programpaket, med en större marknadsandel än open-source lösningar som phpBB, XenForo, Simple Machines Forum, MyBB, och andra.
Enligt W3Techs, cirka 0,1% av alla internet-webbplatser som kör ett vBulletin forum. Andelen ser liten ut, men det är faktiskt påverkan miljarder internetanvändare.
Detta är på grund av sin natur, forum är utformade för att samla in användarnas information om registrerade användare. Samtidigt som miljarder av webbplatser behöver inte lagra någon information om användarna, en handfull av online-forum kan mycket enkelt lagra data på de flesta internet-användare. Därför, har en marknadsandel på 0,1% är faktiskt ganska betydande, när vi tar hänsyn till hur många användare som kan vara registrerade på detta forum.
Google-dorks avslöja att det finns tiotusentals av vBulletin forum som körs över internet, som self-hosted anläggningar, eller kör på vBulletin är värd infrastruktur. På sin webbplats, vBulletin listar några ganska stora namn som kunder, såsom Ånga, EA, Zynga, NASA, Sony, BodyBuilding.com Houston Texans, och Denver Broncos.
Den enda goda nyheten är att detta zero-day fungerar bara mot vBulletin 5.x forum versioner. Forum som kör tidigare versioner är säker, om du kör upp-to-date säkerhetskorrigeringar.
Om du inte testar varenda företag på @Hacker0x01 och @Bugcrowd för detta vBulletin 0day RCE, du miste om gratis pengar.
*se till att dess räckvidd tho— uɐpʇou@ ✸ (@notdan) September 24, 2019
Zerodium, ett företag som köper bedrifter i web-baserad programvara för att sälja till brottsbekämpande myndigheter, listor vBulletin fjärrkörning av kod sårbarheter i sina utnyttja förvärv program.
Detta beror på att många mörka webb-forum, som de sysslat kriminella tjänster, malware, eller barnpornografiska bilder, kör ofta på vBulletin forum — och dessa typer av bedrifter kunde ge brottsbekämpande myndigheter tillgång till dessa olagliga forum.
Enligt bolagets pris diagram, denna typ av pre-auth RCE kunde ha fått anonyma forskare upp till $10.000 i kontanter belöningar, om han bara skulle ha kontaktat företaget istället för att publicera utnyttja online och sätta allas forum data på risk.
Utvecklare
Google: Dart 2.5 programmeringsspråk SDK kommer att ‘förbättra’ utvecklare
COBOL varv 60: Varför den kommer att överleva oss alla
Programmeringsspråk popularitet: Python stramar åt sitt grepp i toppen
Hur Shopify tror att genom att bygga en bas av utvecklare och e-handel (ZDNet YouTube)
Utveckling av programvara toppar listan över mest efterfrågade teknisk kompetens (TechRepublic)
HarmonyOS: Vad är det med Huawei ‘ s Android-ersättare? (CNET)
Relaterade Ämnen:
Utvecklare
Säkerhet-TV
Hantering Av Data
CXO
Datacenter