研究员Amir Estemadieh 公开了当前最流行的论坛软件 vBulletin 中的一个0day详情和 PoC。目前,vBulletin 已修复这个极其遭利用的漏洞。
该 0day 是对2019年9月遭披露的 0dayCVE-2019-16759 补丁的绕过。CVE-2019-16759 可导致攻击者利用 vBulletin 模板系统中的一个 bug 运行恶意代码,且在无需在受害者站点上进行认证的情况下接管论坛(预认证 RCE)。该漏洞于2019年9月24日披露并在第二天得到修复。
上周末晚些时候,安全研究员 Amir Estemadieh 表示 CVE-2019-16759 “未能正确拦截利用”。他指出已经找到绕过补丁并继续利用CVE-2019-16759 的新方法并以三种语言公开了 PoC,包括 Bash、Python 和 Ruby 以证明自己的观点。这个漏洞极易遭利用,只需增加一行命令,向 vBulletin 服务器发送一个 POST 请求就能使任何人远程执行命令。
Estemadieh 指出他公开这个新0day的原因是 vBulletin 刚开始未能正确修复 CVE-2019-16759,而他能够提供缓解措施。他认为企业应当严肃对待安全问题,研究员不能一直都当发现漏洞的免费劳动者。
这个 0day 已在大量社交媒体如 Reddit 和 Twitter 上传播,也见于私密论坛和 Discord 的多个频道上的黑客论坛中。去年,CVE-2019-16759 的公开引发大量针对 vBulletin 的攻击活动,使很多企业在未来几个月中都遭受安全事件。一般而言,论坛是最易受攻击的目标,和攻击者的攻击目的以及能够窃取的数据相关。和多数内容管理系统如 WordPress、Drupal或 Joomla不同,在线论坛如 vBulletin 的唯一以及主要目的是管理在线社区,因此持有大量个人数据。WordPress 站点的用户群体可能是婚礼策划师或者律师,但即使是最低端且不重要的论坛也会用于数千名注册用户的资料,其中包含敏感的数据详情、用户发文、个人信息,有时候甚至是金融信息(前提是论坛具有支付访问的功能)。然而,即使 Etemadieh 也并未说明是否在发布该 0day 前通知 vBulletin 团队,不过建议修改讨论板块设置以避免遭利用:2、点击左侧的“设置”目录,然后点击下拉菜单中的“选项”4、查找“禁用 PHP、静态 HTML 和 Ad Module 渲染”并设置为“是的”在本文成稿时,至少有一家论坛即 DEF CON 安全大会的论坛已证实遭入侵,利用的正是这个新 0day。https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/
vBulletin 迅速发布补丁,禁用了 vBulletin 中的 PHP 模块以修复漏洞。该论坛发布安全公告表示,所有老旧版本应当均受影响。运行老旧版本的用户应当尽快升级至 vBulletin 5.6.2 版本。另外,该论坛表示这个模块将在版本5.6.4中完全删除。如果用户运行的是生产服务器,则可执行如下步骤缓解该漏洞:3、进入 Styles → Style Manager5、滚动到底部的 Module Templates8、完全删除网站上的模板并禁用 PHP Module。
https://www.zdnet.com/article/security-researcher-publishes-details-and-exploit-code-for-a-vbulletin-zero-day/
https://www.bleepingcomputer.com/news/security/vbulletin-fixes-ridiculously-easy-to-exploit-zero-day-rce-bug/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~