vBulletin修复了容易利用的零日RCE错误

v公告

vBulletin论坛软件中发布了一个简单的单线漏洞利用,用于零日预身份验证远程代码执行(RCE)漏洞。

vBulletin是一个非常流行的在线论坛软件,被艺电,Zynga,索尼,Pearl Jam,NASA,Steam等大型品牌使用。

在2019年9月,一位不知名的安全研究人员披露了 vBulletin 5.0至5.4版本的零日RCE漏洞,其追踪为CVE-2019-16759

使用此漏洞,攻击者可以远程登录vBulletin的PHP模块中的漏洞以在远程服务器上执行任何PHP命令,而无需登录论坛。

由于此漏洞易于使用并且能够在易受攻击的vBulletin服务器上远程执行命令,因此其严重等级为9.8 / 10。

昨天,安全研究员Amir Etemadieh(Zenofex)披露了一种新的零日vBulletin攻击,该漏洞绕过了2019年针对原始CVE-2019-16759漏洞发布的补丁。

该漏洞利用非常容易使用,并且允许任何人使用一个单行命令远程执行命令,该命令将POST请求发送到vBulletin服务器,如下图所示。

vBulletin零时差的PoC
vBulletin零时差的PoC
来源:  
h4x0r_dz

在与BleepingComputer的对话中,Etemadieh表示他公开披露了该漏洞,因为vBulletin未能在第一时间对其进行正确修补,并且他能够提供缓解措施作为此披露的一部分。

“我感觉到它已经是一个关键漏洞,一年前他们未能修补。释放全面披露是最佳途径。”

“我还通过公开内容提供了一个修复程序,以使任何客户都能快速采取一种方法,立即阻止攻击者访问易受攻击的代码。”

“公司需要认真对待安全性,研究人员无法不断提供免费的劳动力来识别漏洞。”

Etemadieh告诉BleepingComputer:“我一直想向公众指出的是,我没有在代码中创建漏洞,我只提供了暴露这些漏洞的自由劳动。”

攻击立即开始

零日发布后不久,vBulletin网站已经受到攻击。

根据Jeff Moss(又名The Dark Tangent)以及Black Hat和Defcon安全会议的创建者的说法,defcon.org论坛在此漏洞被披露三小时后遭到攻击。

鸣叫2

vBulletin的论坛也于今天早些时候下线,因为他们大概正在应用补丁程序来修复此漏洞。

鸣叫1

vBulletin发布了零日漏洞的快速修复

由于此漏洞的易用性和严重性,BleepingComputer决定暂缓报告此漏洞,直到有可用补丁为止。

截至今天下午,vBulletin已发布了一个补丁程序,该补丁程序禁用了vBulletin中的PHP模块以缓解此漏洞。 

“所有的旧版本应该被视为脆弱的网站运行旧版本的vBulletin需要尽快升级到5.6.2 vBulletin欲了解更多有关升级,请参阅。  快速查看:升级vBulletin连接  的支持论坛,” vBulletin的咨询笔记

vBulletin声明此模块将在版本5.6.4中完全删除。

对于正在运行生产服务器的用户,您还可以通过执行以下步骤来缓解漏洞:

  1. 将站点置于调试模式
  2. 登录到AdminCP。
  3. 转到样式->样式管理器。
  4. 打开MASTER样式的模板列表。
  5. 滚动到显示模块模板的底部。
  6. 突出显示widget_php模块。
  7. 单击还原按钮。
  8. 这将从您的站点中完全删除该模板,并使PHP模块不起作用。

所有vBulletin用户都应立即安装补丁或应用上述缓解措施。

*编译:Domino
*来自:bleepingcomputer