Immagine: ZDNet
Un anonimo ricercatore di sicurezza ha pubblicato i dettagli di una zero-day in vBulletin, oggi più popolare forum su internet software.
A causa di questo individuo azioni, esperti di sicurezza sono ora preoccupati che la pubblicazione di informazioni su questa vulnerabilità senza patch potrebbe innescare un’ondata di forum di hack su internet, con gli hacker di prendere sul forum installazioni e rubare le informazioni dell’utente in massa, come un risultato.
Zero-day dettagli
Secondo un’analisi pubblicata di codice, il giorno zero, consente a un utente malintenzionato di eseguire comandi di shell sul server che esegue un’installazione vBulletin. L’attaccante non ha bisogno di avere un account sul target forum.
In infosec gergo, questo è ciò che gli esperti di sicurezza chiamata “pre-autenticazione di esecuzione di codice remoto vulnerabilità”, uno dei peggiori tipi di falle di sicurezza che possono avere un impatto di una piattaforma web-based.
ZDNet ha confermato che questo zero-day funziona come pubblicizzato con due diverse fonti.
lol vBulletin 5.x RCE 0day. Testato e funziona. https://t.co/NWH0AXIDD9 pic.twitter.com/fgwe7fZ3by
— uɐpʇou@ ✸ (@notdan) 24 settembre 2019
Chiaro se sabotaggio o non è riuscito divulgazione
Dettagli su questo zero-day sono stati pubblicati su una Piena trasparenza, un accesso pubblico mailing list.
Non è raro per i ricercatori di sicurezza di rilasciare dettagli sulla patch falle di sicurezza, quando i produttori non riescono a patch per una vulnerabilità che è stata segnalata privatamente.
Tuttavia, al momento della scrittura, non è chiaro se il ricercatore anonimo ha segnalato la vulnerabilità al vBulletin squadra, o se il vBulletin team non è riuscito a risolvere questo problema in modo tempestivo, spingendo il ricercatore ad andare in pubblico come un risultato.
MH Sub, LLC, la società che commercializza il vBulletin forum software, non ha restituito una richiesta di commento.
Inoltre, questo potrebbe anche essere un atto di malizia o di sabotaggio, con l’anonimo ricercatore di cadere un giorno zero solo per ferire la reputazione di una società e di mettere i propri clienti a rischio.
Il ricercatore pubblicati i dettagli su questo “giorno zero” da un anonimo e-mail di servizio, senza rivelare il loro indirizzo e-mail reale, in modo da ZDNet non era in grado di raggiungere per ulteriori dettagli.
Decine di migliaia di persone vulnerabili forum
Pur essendo un prodotto commerciale, vBulletin è oggi più popolare del web forum pacchetto software, con una quota di mercato maggiore rispetto a soluzioni open-source, come phpBB, XenForo, Simple Machines Forum, MyBB, e altri.
Secondo W3Techs, circa lo 0,1% di tutti i siti internet eseguire un forum vBulletin. La percentuale sembra piccolo, ma in realtà impatti miliardi di utenti di internet.
Questo perché, per loro natura, i forum sono progettati per raccogliere informazioni agli utenti registrati. Mentre miliardi di siti internet non memorizzano tutte le informazioni su utenti, una manciata di forum on-line, potrebbe molto facilmente memorizzare i dati su più utenti di internet. Pertanto, una quota di mercato dello 0,1%, in realtà è abbastanza significativo, quando si fattore in quanto molti utenti potrebbero essere registrati su questi forum.
Google cazzi, rivelano che ci sono decine di migliaia di vBulletin forum in esecuzione attraverso internet, come self-hosted installazioni, o in esecuzione su vBulletin dell’infrastruttura di hosting. Sul suo sito web, vBulletin elenca alcuni piuttosto grandi nomi come clienti, come il Vapore, EA, Zynga, la NASA, Sony, BodyBuilding.com la Houston Texans, e i Denver Broncos.
L’unica buona notizia è che questo zero-day funziona solo contro vBulletin 5.x forum versioni. Forum che eseguono versioni precedenti sono sicuro, se l’esecuzione di up-to-date le patch di sicurezza.
Se non hai la prova di ogni singola azienda su @Hacker0x01 e @Bugcrowd per questo vBulletin 0day RCE, stai perdendo soldi gratis.
*assicurarsi che la sua portata tho— uɐpʇou@ ✸ (@notdan) 24 settembre 2019
Zerodium, azienda che acquista exploit software web-based per rivendere a agenzie di applicazione di legge, le liste di vBulletin remote code execution vulnerabilities nel suo exploit programma di acquisizione.
Questo è perché molti buio di un forum web, come quelli spaccio criminale servizi, malware, o immagini di abusi su minori, spesso eseguito su vBulletin forum — e questi tipi di exploit potrebbe concedere agenzie di applicazione di legge l’accesso a queste illegale forum.
Secondo la società di grafico dei prezzi, questo tipo di pre-auth RCE avrebbe ottenuto il ricercatore anonimo fino a 10.000 dollari di premi in denaro, se solo avrebbe contattato l’azienda, invece di pubblicare l’exploit online e mettere tutti i dati del forum a rischio.
Sviluppatore
Google: Dart 2.5 linguaggio di programmazione SDK ‘metti’ gli sviluppatori
COBOL compie 60 anni: Perché ci sopravviveranno tutti
Linguaggio di programmazione popolarità: Python stringe la sua presa al top
Come Shopify pensa attraverso la costruzione di una base di sviluppo e di e-commerce (ZDNet YouTube)
Sviluppo di Software top list dei più in-demand di abilità tecniche (TechRepublic)
HarmonyOS: che Cosa è con Huawei Android-sostituzione? (CNET)
Argomenti Correlati:
Sviluppatore
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati