Billede: ZDNet
En anonym sikkerheds-forsker har offentliggjort oplysninger om en nul-dag i vBulletin, dagens mest populære internet forum software.
På grund af dette individs handlinger, sikkerhed eksperter er nu bekymret for, at offentliggørelse af oplysninger om denne unpatched sårbarhed kunne udløse en bølge af forum hacks på tværs af internettet, med hackere overtager forum anlæg og stjæle brugeroplysninger i bulk, som et resultat.
Zero-day detaljer
Ifølge en analyse af den offentliggjorte kode, nul-dag gør det muligt for en angriber at udføre skalkommandoer, på en server, der kører en vBulletin installation. Angriberen behøver ikke at have en konto på den målrettede forum.
I infosec lingo, dette er hvad sikkerhed eksperter kalder en “pre-godkendelse fjernkørsel af programkode” sårbarhed, en af de værste former for sikkerhedsbrister, der kan påvirke en web-baseret platform.
ZDNet har bekræftet, at dette nul-dag fungerer som annonceret med to forskellige kilder.
lol vBulletin 5.x RCE 0 dage. Testet og virker. https://t.co/NWH0AXIDD9 pic.twitter.com/fgwe7fZ3by
— uɐpʇou@ ✸ (@notdan) September 24, 2019
Uklart, om sabotage eller undladt offentliggørelse
Detaljer om denne nul-dag, er blevet offentliggjort på Fuld Offentliggørelse, en offentlig adgang til mailing-liste.
Det er ikke ualmindeligt, at sikkerhedseksperter til at frigive detaljer om unpatched sikkerhedshuller, når leverandører undlader at lappe en sårbarhed, der er blevet privat rapporteret.
Men på tidspunktet for skriftligt, er det uklart, om den anonyme forsker rapporteret sårbarheden til vBulletin team, eller hvis vBulletin lykkedes det ikke holdet at tage dette spørgsmål op i tide, hvilket fik forskeren til at gå til offentligheden som et resultat.
MH Sub jeg, LLC, det selskab, der kommercialiserer vBulletin forum software, har ikke returneret en anmodning om kommentarer.
Hertil kommer, at dette kunne også være en handling af bevidst ondskab eller sabotage, med den anonyme forsker droppe en nul-dag, bare for at skade en virksomheds omdømme og sætte sine kunder i fare.
Forskeren offentliggjort detaljer om denne nul-dag fra en anonym e-mail-tjeneste, uden at afsløre deres rigtige e-mail adresse, så ZDNet var ikke i stand til at nå ud til yderligere oplysninger.
Titusinder af sårbare fora
På trods af at være et kommercielt produkt, vBulletin er i dag mest populære web forum software-pakke, med en større markedsandel end open source-løsninger, som phpBB, XenForo, Simple Machines Forum, MyBB, og andre.
Ifølge W3Techs, omkring 0,1% af alle websteder på internettet køre et vBulletin forum. Den procentdel ser små, men det faktisk virkninger milliarder af internet-brugere.
Dette er på grund af deres art, fora, der er designet til at indsamle brugeren oplysninger om registrerede brugere. Mens milliarder af websites gemmer ikke nogen information om brugere, en håndfuld af online fora, kan meget nemt at gemme data på de fleste internet-brugere. Derfor, en markedsandel på 0,1% er faktisk temmelig markant, når vi indregner, hvor mange brugere der kan være registreret på disse fora.
Google dorks afsløre, at der er titusindvis af vBulletin forum, der kører over internettet, som self-hosted anlæg, eller kører på vBulletin hosting af infrastruktur. På sin hjemmeside, vBulletin lister nogle ret store navne som kunder, såsom Damp, EA, Zynga, NASA, Sony, BodyBuilding.com Houston Texans, og Denver Broncos.
Den eneste gode nyhed er, at dette nul-dag virker kun mod vBulletin 5.x forum versioner. Fora, der kører tidligere versioner, hvis der køres op-til-dato sikkerhedsrettelser.
Hvis du ikke test for hver enkelt virksomhed på @Hacker0x01 og @Bugcrowd for denne vBulletin 0 dage RCE, du mangler ud på gratis penge.
*sørg for, at dets anvendelsesområde tho— uɐpʇou@ ✸ (@notdan) September 24, 2019
Zerodium, et selskab, der køber udnytter web-baseret software til at videresælge til retshåndhævende myndigheder, lister vBulletin fjernkørsel af programkode sårbarheder i dets udnytte erhvervelse program.
Dette er fordi mange mørke web-fora, såsom dem, der peddling kriminelle tjenester, malware, eller børnepornografiske billeder, der ofte løber på vBulletin forum — og disse typer af bedrifter kan give retshåndhævende myndigheder adgang til disse ulovlige fora.
I henhold til selskabets pris diagram, denne type af pre-auth RCE kunne have fået den anonyme forsker op til $10.000 i kontanter belønning, hvis han kun ville have kontaktet virksomheden i stedet for at offentliggøre at udnytte online og sætte alles forum data i fare.
Udvikler
Google: Dart 2.5 programmeringssprog SDK ‘effektivisere’ udviklere
COBOL fylder 60 år, Hvorfor det vil overleve os alle
Programmeringssprog popularitet: Python strammer sit greb i toppen
Hvordan Shopify mener, at ved at bygge en udvikler base og e-handel (ZDNet YouTube)
Software udvikling topper listen over mest efterspurgte it-færdigheder (TechRepublic)
HarmonyOS: Hvad er der med Huawei Android-udskiftning? (CNET)
Relaterede Emner:
Udvikler
Sikkerhed-TV
Data Management
CXO
Datacentre