Для 0-day бага в vBulletin появился патч, но уязвимость эксплуатировали годами

Рекомендуем почитать:

Xakep #245. Нейросети

• Содержание выпуска
• Подписка на «Хакер»

Вчера стало известно, что некий анонимный исследователь обнародовал в открытом доступе детали опасной уязвимости нулевого дня в форумном движке vBulletin, а также эксплоит для нее. Баг позволяет злоумышленнику выполнять shell-команды на уязвимом сервере. Причем атакующему достаточно использовать простой HTTP POST-запрос и не нужно иметь учетную запись на целевом форуме, то есть проблема относится к неприятному классу pre-authentication уязвимостей.

Теперь на GitHub появилось более детальное описание проблемы, а также в сети был опубликован скрипт для поиска уязвимых серверов. Пользователи vBulletin, в свою очередь, уже начали сообщать об атаках на свои форумы. Некоторые даже жалуются на полное удаление БД при помощи данного бага.

Интересно, что после публикации данных об уязвимости глава компании Zerodium Чауки Бекрар заявил в Twitter, что его компании и клиентам было известно об этой проблеме на протяжении трех лет, а эксплоиты для нее давно продают на черном рынке.

The recent vBulletin pre-auth RCE 0day disclosed by a researcher on full-disclosure looks like a bugdoor, a perfect candidate for @PwnieAwards 2020. Easy to spot and exploit.

Many researchers were selling this exploit for years. @Zerodium customers were aware of it since 3 years

— Chaouki Bekrar (@cBekrar) September 25, 2019

Так как разработчики vBulletin хранили молчание, неофициальный патч для этого RCE-бага был оперативно подготовлен ИБ-экспертом Ником Кано (Nick Cano). Для его применения достаточно отредактировать includes/vb5/frontend/controller/bbcode.php соответствующим образом.

Наконец, вечером 25 сентября по московскому времени разработчики vBulletin прервали свое молчание и сообщили о выходе патча для vBulletin версий 5.5.X. Выяснилось, что уязвимости был присвоен идентификатор CVE-2019-16759.

Источник