黑客利用 vBulletin 0day 攻陷 Check Point 旗下软件安全公司
以色列网络安全公司 Check Point Technologies 旗下一家互联网安全软件公司 ZoneAlarm 证实称,其论坛用户数据遭泄露。该公司的下载次数近1亿次,为全球的家庭电脑用户、小企业和移动电话提供杀毒软件、防火墙和其它杀软解决方案。
尽管ZoneAlarm 或其母公司 Check Point 尚未公开披露该安全事件,但ZoneAlarm 已经默默地在上周末向受影响用户发送邮件警报信息。邮件称建议论坛用户立即更改论坛账户密码,并指出黑客已经越权访问了他们的姓名、邮件地址、哈希密码和出生日期。
另外,该公司还指出,这起事件仅影响在“forums.zonealarm.com”域名注册的用户,这个用户群体仅有4500名。邮件通知指出,“论坛是独立于我们所拥有的单独网站,仅有注册了这个具体论坛的少量用户在使用。目前网站正在修复,暂不可用。修复完成之后将会立即开放。再次请大家重置密码。”
黑客利用了 vBulletin 0day
ZoneAlarm 的一名发言人指出,攻击者利用一个存在于 vBulletin 论坛软件中已知的严重的 vBulletin RCE 漏洞 (CVE-2019-16759) 攻陷了 ZoneAlarm 网站并获得越权访问权限。
该缺陷影响vBulletin 版本5.0.0 至最新版5.5.4。项目维护人员目前仅为最新版本 5.5.2、5.5.3 和 5.5.4 发布补丁。
令人惊讶的是,上周之前ZoneAlarm 公司本身运行的是已过时的版本 5.4.4,导致黑客轻松闯入。
这个vBulletin 0day当时是由名匿名黑客在今年9月份公开的,它如遭利用可导致攻击者完全控制未修复的 vBulletin 版本。一周之后,该漏洞遭不明攻击者用于攻击 Comodo 论坛网站,导致近24.5万名用户的登录账户信息遭暴露。虽然 ZoneAlarm 团队在上周晚些时候才获悉数据泄露事件并立即通知了受影响用户,但目前仍不清楚黑客何时攻陷该网站。
ZoneAlarm 公司的一名发言人表示,“ZoneAlarm 目前正在调查此事,我们在检测到事件后立即采取积极措施并在24小时内向论坛会员发出警报信息。”
由于该网站目前仍然不可访问,因此用户无法更改账户密码。不过建议用户更改其它使用了同样密码的网络账户,并在网站上线后立即更改 ZoneForum 账户密码。
奇安信代码卫士 (codesafe)