В актуальной версии vBulletin обнаружена критическая 0-day

Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей.

Публикация 0-day vBulletin без предупреждения

Информация об эксплойте появилась на ресурсе Full Discolure, где нередко публикуются баги, оставшиеся незакрытыми по истечении периода молчания. По распространенной в индустрии практике этот срок составляет три месяца с того момента, как исследователь сообщает разработчикам о проблеме. На этот раз, однако, все указывает на то, что неизвестный эксперт предпочел сразу опубликовать свою находку.

Таким образом он поставил под угрозу сотни тысяч ресурсов, которые работают на vBulletin, включая сайты Steam, EA, Zynga, NASA, Sony и других крупных организаций. Точное число определить трудно, поскольку уязвимость актуальна только для последней, пятой версии движка.

Угрозу усугубляет и тот факт, что по своей специфике форумы хранят значительный объем персональных данных: электронные адреса, пароли и другую информацию, которая может содержаться в профилях. Поэтому, хотя доля сайтов на базе vBulletin не превышает 0,1%, будущие кибератаки на основе раскрытой уязвимости угрожают по меньшей мере сотням миллионов пользователей. При этом злоумышленники могут подбирать цели через Google, используя команды расширенного поиска, которые также указаны на Full Disclosure.

Поиск защитных мер для уязвимости vBulletin

Угроза связана с тем, что внутренний виджет vBulletin отправляет полученные извне конфигурационные данные на сервер без проверки безопасности. В результате злоумышленники могут внедрить свой код в URL-запрос и выполнить его в контексте уязвимой системы.

Согласно спецификации CVSS 3.1, баг может получить оценку, близкую к максимальной. Это связано с тем, что его можно использовать удаленно и без предварительной аутентификации на сайте, а круг потенциальных жертв включает всех пользователей атакованной площадки.

На момент публикации разработчики vBulletin не делали заявлений по обнаруженной уязвимости. Технические эксперты самостоятельно разобрали эксплойт и предложили код для защиты. Авторы заплатки не гарантируют работоспособность сайта, однако предлагают администраторам пожертвовать функциональностью ради безопасности. В то же время на официальном форуме vBulletin уже появляются посты об использовании эксплойта в дикой природе.

Стоит отметить, что в последние годы vBulletin редко попадал в сводки ИБ-новостей, в отличие от CMS Magento и WordPress.

До этого о серьезных уязвимостях движка сообщалось в конце 2017 года, когда исследователи обнаружили в нем возможность выполнения стороннего кода или удаления файлов с веб-сервера. Как показывает опыт, разработчики vBulletin устраняют угрозу в течение нескольких дней.

Источник: https://threatpost.ru/vbulletin-0day-pops-out-without-a-warning/34238/