Abonner
SIKKERHET

Nulldags­sårbarhet i mye brukt forum­løsning er svært enkel å angripe

Ingen offisiell sikkerhetsfiks er tilgjengelig.

Selskapet bak vBulletin har kommet med noen offisiell sikkerhetsfiks eller uttalelse selv om det er mer enn et døgn siden sårbarheten i den kommersielle forumprogramvaren ble offentlig kjent.
Selskapet bak vBulletin har kommet med noen offisiell sikkerhetsfiks eller uttalelse selv om det er mer enn et døgn siden sårbarheten i den kommersielle forumprogramvaren ble offentlig kjent. Skjermbilde: digi.no
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
25. sep. 2019 - 15:38

En sikkerhetsforsker kun kjent som notdan (egentlig uɐpʇou@ ✸) på Twitter, offentliggjorde i går eksempelkode på hvordan man kan utnytte en til nå ukjent RCE-sårbarhet (Remote Code Execution) i webforumprogramvaren vBulletin til å utføre vilkårlige kommandoer i operativsystemet på serveren som vBulletin kjøres på. Det skal ikke være nødvendig for angriperen å ha en brukerkonto på forumet som angripes.

Under angrep

Eksempelkoden, som består av knapt 20 linjer med Python-kode, er også publisert i Full Disclosure-listen. Den ser ut til å være svært enkel å utnytte mot ethvert vBulletin-basert forum, noe som gjør at det er lite overraskende at kunder forteller at de har registrert faktiske angrep. I ett av tilfellene skal angriperne ha slettet hele MySQL-databasen til en forumleverandør.

Det er kun versjonene 5.0.0 til og med 5.5.4 som er sårbare. Siden den førstnevnte kom i 2012 og den sistnevnte er den hittil nyeste, er det trolig mange kunder som er berørt, selv om det fortsatt er mange som benytter eldre generasjoner av vBulletin.

Selskapet som står bak vBulletin, MH Sub I, tilbyr forumløsningen både som en nettskybasert tjeneste og som en programvarepakke som kundene kan installere og kjøre på egne servere. VBulletin er basert på PHP og MySQL. Foreløpig finnes det ingen offisiell sikkerhetsfiks, men koden som er oppgitt i denne tvitringen skal kunne fjerne sårbarheten. Hvilke andre konsekvenser det har å ta den i bruk, er ukjent.

Taust

Foreløpig ser det ikke ut til at MH Sub I har kommet med noen uttalelse om sårbarheten.

Én manns frivillige innsats skal ha reddet dagen ved å oppdaget en subtil bakdør i Linux. Bildet viser operasjonssentralen til Nasjonalt cybersikkerhetssenter
Les også

Utvikler oppdaget Linux-bakdør: – Ville vært en global katastrofe

I motsetning til mye annen programvare som driver weben, er ikke vBulletin gratis. Det skal likevel være titusenvis av nettsteder som bruker programvaren. Ifølge ZDNet er Steam, EA, Zynga, Nasa og Sony blant de mest kjente kundene.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Skatteetaten
Dette er kjerneplattformen som sørger for at skattesystemet fungerer

Med søketjenesten Shodan har digi.no greid å finne sju nettsteder som benytter vBulletin. Ingen av disse er særlig kjente, flere ser ikke ut til å ha særlig aktivitet, og bare to benytter versjon 5.x. De øvrige benytter eldre utgaver som ikke har denne sårbarheten.

Les mer om:
SÅRBARHETERSIKKERHETVBULLETIN
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Direktoratet for høyere utdanning og kompetanse
Seniorrådgiver
Direktoratet for høyere utdanning og kompetanse
Bergen
15. mai
    En tjeneste fra