[Не исправлено] Критический 0-дневный RCE эксплойт для форума vBulletin опубликован публично

 Сегодня анонимный хакер публично раскрыл подробности и проверочный код для уязвимой уязвимости удаленного выполнения нулевого дня в vBulletin - одной из широко используемых программ для интернет-форумов.
Сегодня анонимный хакер публично раскрыл подробности и проверочный код для уязвимой уязвимости удаленного выполнения нулевого дня в vBulletin - одной из широко используемых программ для интернет-форумов.

Одна из причин, по которой уязвимость следует рассматривать как серьезную проблему, заключается не только в том, что ее можно использовать удаленно, но и не требует проверки подлинности.

Написанный на PHP, vBulletin - это широко используемый проприетарный пакет программного обеспечения для интернет-форумов, который обслуживает более 100 000 веб-сайтов в Интернете, включая сайты и форумы компаний Fortune 500 и Alexa Top 1 млн.

Согласно опубликованным деталям в списке рассылки Full Disclosure хакер утверждает, что обнаружил уязвимость удаленного выполнения кода, которая, по-видимому, затрагивает версии 5.0.0 vBulletin до последней версии 5.5.4.

Hacker News независимо друг от друга проверили, что уязвимость работает, как описано, и влияет на последнюю версию программного обеспечения vBulletin, что в конечном итоге оставляет тысячи веб-сайтов форума под угрозой взлома.

Уязвимость заключается в том, что внутренний файл виджета программного пакета форума принимает конфигурации через параметры URL-адреса и затем анализирует их на сервере без надлежащих проверок безопасности, позволяя злоумышленникам вводить команды и удаленно выполнять код в системе.


В качестве подтверждения концепции, хакер также выпустил эксплойт на основе Python, который может помочь любому использовать нулевой день в дикой природе.

В качестве подтверждения концепции, хакер также выпустил эксплойт на основе Python, который может помочь любому использовать нулевой день в дикой природе.

До сих пор номер общих уязвимостей и уязвимостей (CVE) не был присвоен этой уязвимости.

Hacker News также проинформировали разработчиков проекта vBulletin о раскрытии уязвимости и ожидают, что они исправят проблему безопасности, прежде чем хакеры начнут ее использовать для установки vBulletin.

Отдельный исследователь в области кибербезопасности проанализировал основную причину этой уязвимости и опубликовал подробности вскоре после того, как The Hacker News опубликовали статью.

Между тем, пользователь GitHub также выпустил простой скрипт, который позволяет любому сканировать Интернет, чтобы найти веб-сайты vBulletin с помощью поисковой системы Shodan и автоматически проверять уязвимые сайты.

Мы обновим статью и проинформируем читателей через социальные сети, как только получим ответ от сопровождающих vBulletin.

Обновление - хакеры, активно использующие vBulletin Zero-Day; Патчи теперь доступны

Согласно многочисленным источникам сообщества Infosec, связавшимся с The Hacker News, различные хакерские группы и отдельные охотники за ошибками уже начали сканирование Интернета для поиска уязвимых веб-сайтов vBulletin.

После того, как The Hacker News объявили о новостях и сообщили команде vBulletin о публичном раскрытии информации о нулевом дне, которое теперь отслеживается как CVE-2019-16759, сопровождающие проекта сегодня выпустили исправления безопасности для версий vBulletin 5.5.2, 5.5.3 и 5.5. 4.