WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
vBulletin vá lỗ hổng đã bị khai thác trên thực tế
Các nhà phát triển của phần mềm diễn đàn vBulletin đã vội vã phát hành bản vá cho lỗ hổng thực thi lệnh từ xa đã bị khai thác trên thực tế. Dù thông tin về lỗ hổng mới được công bố gần đây, nhiều ý kiến cho rằng thực ra sự tồn tại của nó đã được biết đến trong nhiều năm.
Một tin tặc ẩn danh đã công bố mã khai thác PoC cho lỗ hổng zero-day này ngày 23 tháng 9. Lỗ hổng là CVE-2019-16759 gây ảnh hưởng đến vBulletin 5.x đến 5.5.4.
Lỗ hổng có thể bị khai thác từ xa để thực thi mã PHP và các lệnh shell trên máy chủ bằng cách gửi các yêu cầu HTTP POST đặc biệt.
Bản vá cấp độ 1 cho vBulletin 5.5.4, 5.5.3 vá cấp độ 1 và 5.5.2 có thể giải quyết lỗ hổng. Người dùng các phiên bản cũ hơn 5.5.2 được khuyên nên nâng cấp lên bản phát hành mới hơn càng sớm càng tốt. Các trang web vBulletin Cloud đã nhận được bản vá tự động.
Các nhà cung cấp giải pháp an ninh website cũng đã đưa ra các bản cập nhập cho sản phẩm của họ để phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng. Thậm chí, một bản vá không chính thức đã được tung ra trước khi vBulletin phát hành bản cập nhật, và công ty an ninh web Sucuri đã cung cấp cho người dùng giải pháp tạm thời.
Một số tổ chức đã báo cáo rằng họ thấy có các cuộc tấn công nhằm khai thác CVE-2019-16759. Sucuri cho biết họ đã quan sát một cuộc tấn công, trong đó tin tặc lợi dụng lỗ hổng để kiểm soát các trang web có lỗ hổng.
Một số quản trị viên diễn đàn vBulletin cũng báo cáo rằng họ được cảnh báo về sự tồn tại của mã độc trên trang web của họ sau khi thông tin về lỗ hổng được tiết lộ.
Có hàng chục ngàn diễn đàn sử dụng vBulletin, bao gồm cả những diễn đàn thuộc các tổ chức quan trọng, nhưng chỉ có tỷ lệ tương đối nhỏ sử dụng phiên bản 5. dễ bị tấn công. Một số nguồn tin cho biết chỉ khoảng 1.100 diễn đàn sử dụng vBulletin 5.
Một số chuyên gia đã chỉ trích các nhà phát triển vBulletin bởi phản hồi chậm trễ.
Mặc dù không rõ lý do tại sao tin tặc ẩn danh quyết định phát hành mã khai thác PoC cho CVE-2019-16759, Zerodium – công ty chuyên “mua” các mã khai thác – cho biết “nhiều nhà nghiên cứu đã bán mã khai thác này trong nhiều năm qua” và một số khách hàng của hãng đã biết về lỗ hổng này trong 3 năm.
Một tin tặc ẩn danh đã công bố mã khai thác PoC cho lỗ hổng zero-day này ngày 23 tháng 9. Lỗ hổng là CVE-2019-16759 gây ảnh hưởng đến vBulletin 5.x đến 5.5.4.
Lỗ hổng có thể bị khai thác từ xa để thực thi mã PHP và các lệnh shell trên máy chủ bằng cách gửi các yêu cầu HTTP POST đặc biệt.
Bản vá cấp độ 1 cho vBulletin 5.5.4, 5.5.3 vá cấp độ 1 và 5.5.2 có thể giải quyết lỗ hổng. Người dùng các phiên bản cũ hơn 5.5.2 được khuyên nên nâng cấp lên bản phát hành mới hơn càng sớm càng tốt. Các trang web vBulletin Cloud đã nhận được bản vá tự động.
Các nhà cung cấp giải pháp an ninh website cũng đã đưa ra các bản cập nhập cho sản phẩm của họ để phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng. Thậm chí, một bản vá không chính thức đã được tung ra trước khi vBulletin phát hành bản cập nhật, và công ty an ninh web Sucuri đã cung cấp cho người dùng giải pháp tạm thời.
Một số tổ chức đã báo cáo rằng họ thấy có các cuộc tấn công nhằm khai thác CVE-2019-16759. Sucuri cho biết họ đã quan sát một cuộc tấn công, trong đó tin tặc lợi dụng lỗ hổng để kiểm soát các trang web có lỗ hổng.
Một số quản trị viên diễn đàn vBulletin cũng báo cáo rằng họ được cảnh báo về sự tồn tại của mã độc trên trang web của họ sau khi thông tin về lỗ hổng được tiết lộ.
Có hàng chục ngàn diễn đàn sử dụng vBulletin, bao gồm cả những diễn đàn thuộc các tổ chức quan trọng, nhưng chỉ có tỷ lệ tương đối nhỏ sử dụng phiên bản 5. dễ bị tấn công. Một số nguồn tin cho biết chỉ khoảng 1.100 diễn đàn sử dụng vBulletin 5.
Một số chuyên gia đã chỉ trích các nhà phát triển vBulletin bởi phản hồi chậm trễ.
Mặc dù không rõ lý do tại sao tin tặc ẩn danh quyết định phát hành mã khai thác PoC cho CVE-2019-16759, Zerodium – công ty chuyên “mua” các mã khai thác – cho biết “nhiều nhà nghiên cứu đã bán mã khai thác này trong nhiều năm qua” và một số khách hàng của hãng đã biết về lỗ hổng này trong 3 năm.
Theo securityweek