Afbeelding: ZDNet
Een anonieme security-onderzoeker heeft gepubliceerd details over een zero-day in vBulletin, vandaag de meest populaire internet-forum-software.
Vanwege deze individuele acties, security experts zijn bezorgd dat de publicatie van details over dit ongepatchte kwetsbaarheid kan leiden tot een golf van forum hacks op het internet, met hackers over te nemen forum installaties en het stelen van informatie voor de gebruiker in bulk, als een resultaat.
Zero-day details
Volgens een analyse van de gepubliceerde code, de zero-day kan een aanvaller uit te voeren shell commando ‘ s op de server met een vBulletin-installatie. De aanvaller is het niet nodig om een account aan op de beoogde forum.
In infosec lingo, dit is wat security experts noemen een “pre-authenticatie tot uitvoering van externe code” kwetsbaarheid, een van de ergste vormen van beveiligingslekken die van invloed kunnen zijn een web-based platform.
ZDNet bevestigd dat dit zero-day werkt zoals geadverteerd met twee verschillende bronnen.
lol vBulletin 5.x RCE 0day. Getest en werkt. https://t.co/NWH0AXIDD9 pic.twitter.com/fgwe7fZ3by
— uɐpʇou@ ✸ (@notdan) September 24, 2019
Onduidelijk is of sabotage of openbaarmaking is mislukt
Meer informatie over deze zero-day zijn gepubliceerd op de Full-Disclosure, een toegang van het publiek mailinglijst.
Het is niet ongewoon voor de veiligheid onderzoekers release details over ongepatchte beveiligingslekken wanneer leveranciers niet patch voor een lek dat is privé gemeld.
Echter, op het moment van schrijven, is het onduidelijk of de anonieme onderzoeker meldde de kwetsbaarheid van de vBulletin team, of als de vBulletin team niet aan te pakken dit probleem in een tijdige wijze, vraagt de onderzoeker aan het grote publiek als gevolg.
MH Sub I, LLC, het bedrijf dat commercialiseert de vBulletin forumsoftware, is niet teruggekeerd van een verzoek om commentaar.
Bovendien zou dit ook een daad van opzettelijke kwaadaardigheid of sabotage, met de anonieme onderzoeker in het laten vallen van een zero-day gewoon kwaad om de reputatie van een bedrijf en haar klanten in gevaar.
De onderzoeker gepubliceerd details over deze zero-day van een anonieme e-mail service, zonder dat hun huidige e-mailadres, zodat ZDNet was niet in staat om uit te reiken voor meer details.
Tienduizenden kwetsbare forums
Ondanks dat het een commercieel product, vBulletin is vandaag de meest populaire web forum-software pakket, met een groter marktaandeel dan de open-source oplossingen zoals phpBB, XenForo, Simple Machines Forum, MyBB, en anderen.
Volgens W3Techs, ongeveer 0,1% van alle internet sites uitvoeren van een vBulletin forum. Het percentage ziet er klein, maar het is eigenlijk impact miljarden van internet-gebruikers.
Dit is omdat, door hun aard, forums zijn ontworpen om gebruikers verzamelen informatie over geregistreerde gebruikers. Terwijl miljarden internet sites niet opslaan van enige informatie over gebruikers, een handvol online forums kan heel gemakkelijk het opslaan van gegevens op de meeste internet-gebruikers. Daarom een marktaandeel van 0,1% is eigenlijk vrij aanzienlijk zijn, wanneer we rekening houden met hoeveel gebruikers kan worden ingeschreven op deze forums.
Google dorks onthullen dat zijn er tienduizenden van vBulletin forums die over het internet, als een zelf-gehoste installaties, of op vBulletin de hosting infrastructuur. Op de website van vBulletin lijsten sommige vrij grote namen als klanten, zoals Stoom, EA, Zynga, NASA, Sony, BodyBuilding.com de Houston Texans en de Denver Broncos.
Het enige goede nieuws is dat deze zero-day werkt alleen tegen vBulletin 5.x forum versies. Forums waarop eerdere versies veilig zijn, als die up-to-date beveiliging-patches.
Als je de test niet ieder bedrijf op @Hacker0x01 en @Bugcrowd voor dit vBulletin 0day RCE, je mist op gratis geld.
*zorg ervoor dat de reikwijdte tho— uɐpʇou@ ✸ (@notdan) September 24, 2019
Zerodium, een bedrijf dat koopt exploits in web-based software door te verkopen aan opsporingsinstanties, lijsten vBulletin tot uitvoering van externe code kwetsbaarheden in het exploiteren van acquisitie programma.
Dit is omdat er veel donkere web forums, zoals die leuren criminele diensten, malware, of afbeeldingen van kindermisbruik, vaak op vBulletin forums — en dit soort exploits kunnen verlenen opsporingsinstanties toegang tot deze illegale forums.
Volgens het bedrijf koersgrafiek, dit soort van pre-auth RCE zou hebben gekregen van de anonieme onderzoeker tot $10.000 aan cash beloningen, als hij alleen zou hebben contact opgenomen met het bedrijf in plaats van het publiceren van de exploit online en zetten iedereen van het forum-gegevens in gevaar.
Bijgewerkt op September 25, 04:00 ET, toe te voegen dat, aangezien dit artikel de publicatie, veiligheid onderzoekers hebben uitgebracht op een onofficiële patch, een script om het detecteren van kwetsbare vBulletin servers over het internet, en een meer diepgaande analyse van de kwetsbaarheid.
Ontwikkelaar
Google: Dart 2.5 programmeertaal SDK ‘boost’ – ontwikkelaars
COBOL wordt 60: Waarom het zal ons overleven alle
Programmeertaal populariteit: Python verstevigt zijn greep op de top
Hoe Shopify denkt dat door het opbouwen van een ontwikkelaar base en e-commerce (ZDNet YouTube)
Software ontwikkeling tops lijst van meest gevraagde technische vaardigheden (TechRepublic)
HarmonyOS: Wat is er met Huawei ‘ s Android-vervanging? (CNET)
Verwante Onderwerpen:
Ontwikkelaar
Beveiliging TV
Data Management
CXO
Datacenters