Novi zero-day mogao bi izazvati novo hakiranje foruma diljem interneta.
techrepublic varalica
- Kako postati programer: plaće, vještine i najbolji jezici za učenje
Anonimni sigurnosni istraživač objavio je detalje o zero-day in vBulletin, najpopularniji internetski forum današnjice.
Zbog postupaka ove osobe, stručnjaci za sigurnost sada su zabrinuti da bi objavljivanje detalja o ovoj nezakrpanoj ranjivosti moglo pokrenuti val hakiranja foruma diljem interneta, s hakerima koji preuzimaju instalacije foruma i masovno kradu korisničke podatke, kao proizlaziti.
Detalji nultog dana
Prema analizi objavljenog koda, zero-day napadaču omogućuje izvršavanje naredbi ljuske na poslužitelju koji pokreće vBulletin instalaciju. Napadač ne mora imati račun na ciljanom forumu.
U žargonu infoseca, ovo je ono što stručnjaci za sigurnost nazivaju ranjivost "daljinskog izvršavanja koda prije autentifikacije", jedan od najgorih tipova sigurnosnih nedostataka koji mogu utjecati na web platformu.
ZDNet potvrdio da ovaj zero-day radi kako je oglašeno s dva različita izvora.
lol vBulletin 5.x RCE 0dan. Testirano i radi. https://t.co/NWH0AXIDD9pic.twitter.com/fgwe7fZ3by
— uɐpʇou@ ✸ (@notdan) 24. rujna 2019
Nije jasno radi li se o sabotaži ili neuspješnom otkrivanju
Pojedinosti o ovom nultom danu su objavljene objavljeno na Full Disclosure, javna lista za slanje e-pošte.
Nije neuobičajeno da istraživači sigurnosti objave pojedinosti o nezakrpanim sigurnosnim nedostacima kada dobavljači ne uspiju zakrpati ranjivost koja je privatno prijavljena.
Međutim, u vrijeme pisanja nije jasno je li anonimni istraživač prijavio ranjivost vBulletin-u tim ili ako vBulletin tim nije uspio riješiti ovaj problem na vrijeme, što je navelo istraživača da javno izađe kao proizlaziti.
MH Sub I, LLC, tvrtka koja komercijalizira softver foruma vBulletin, nije vratila zahtjev za komentar.
Osim toga, ovo bi također mogao biti čin namjerne zlobe ili sabotaže, pri čemu anonimni istraživač odustaje od nultog dana samo kako bi naštetio ugledu tvrtke i izložio svoje kupce riziku.
Istraživač je objavio detalje o ovom nultom danu s anonimne usluge e-pošte, ne otkrivajući njihovu stvarnu adresu e-pošte, pa ZDNet nije bio u mogućnosti doći do dodatnih pojedinosti.
Deseci tisuća ranjivih foruma
Unatoč tome što je komercijalni proizvod, vBulletin je danas najpopularniji softverski paket za web forume, s veći tržišni udio od rješenja otvorenog koda kao što su phpBB, XenForo, Simple Machines Forum, MyBB i drugi.
Prema W3Techsu, oko 0,1% svih internetskih stranica vodi vBulletin forum. Postotak izgleda mali, ali zapravo utječe na milijarde korisnika interneta.
To je zato što su forumi po svojoj prirodi osmišljeni za prikupljanje korisničkih podataka o registriranim korisnicima. Dok milijarde internetskih stranica ne pohranjuju nikakve podatke o korisnicima, nekolicina internetskih foruma vrlo lako može pohraniti podatke o većini korisnika interneta. Stoga je tržišni udio od 0,1% zapravo prilično značajan, kada uračunamo koliko bi korisnika moglo biti registrirano na tim forumima.
Googleovi glupani otkrivaju da na internetu postoje deseci tisuća vBulletin foruma, npr samostalne instalacije, ili trčanje na vBulletinovoj hosting infrastrukturi. Na svojoj web stranici vBulletin navodi neka prilično velika imena kao kupce, kao što su Steam, EA, Zynga, NASA, Sony, BodyBuilding.com, Houston Texans i Denver Broncos.
Jedina dobra vijest je da ovaj zero-day radi samo protiv verzija foruma vBulletin 5.x. Forumi sa starijim verzijama sigurni su ako koriste ažurirane sigurnosne zakrpe.
Ako ne testirate svaku pojedinu tvrtku @Hacker0x01 i @Bugcrowd za ovaj vBulletin 0day RCE, propuštate besplatan novac.
— uɐpʇou@ ✸ (@notdan) 24. rujna 2019
*provjerite je li u opsegu tho
Zerodium, tvrtka koja kupuje exploite u web softveru za preprodaju agencijama za provođenje zakona, navodi ranjivosti vBulletin daljinskog izvršavanja koda u svom programu za preuzimanje exploita.
To je zato što mnogi mračni web forumi, poput onih koji prodaju kriminalne usluge, zlonamjerni softver ili slike zlostavljanja djece, često pokrenuti na vBulletin forumima -- i ove vrste iskorištavanja mogu agencijama za provođenje zakona omogućiti pristup ovim ilegalnim forumi.
Prema cjenovniku tvrtke, ova vrsta RCE-a prije autorizacije mogla je anonimnom istraživaču donijeti do 10.000 USD u novčanoj nagradi, ako je samo bi kontaktirao tvrtku umjesto objavljivanja iskorištavanja na internetu i stavljanja svačijih podataka na forumu rizik.
Ažurirano 25. rujna, 04:00 ujutro ET, kako bi se dodalo da su od objave ovog članka sigurnosni istraživači objavili neslužbena zakrpa, a skripta za otkrivanje ranjivih vBulletin poslužitelja preko interneta i više dubinska analiza ranjivosti.
Ažurirano 25. rujna u 19:15 ET, da dodamo to vBulletin tim je objavio zakrpu za ovu ranjivost, koja se sada prati pod CVE-2019-16759. ZDNet je također potvrdio s Bad Packets, BinaryEdge i GeryNoise da hakeri sada aktivno koriste ovu ranjivost za napad na ranjive forume.
Započelo je oportunističko masovno iskorištavanje CVE-2019-16759. Uključuje koordiniranu botnet aktivnost i razne aktere prijetnji koji provjeravaju hostove koji su ranjivi RCE. https://t.co/CdXepcO4sI
— Izvješće o lošim paketima (@bad_packets) 25. rujna 2019
GreyNoise promatra oportunističko iskorištavanje nedavnog vBulletin 5.x daljinskog izvršavanja koda ranjivost (CVE-2019-16759), počevši prije tri sata s nekoliko stotina uređaja diljem Internet. Oznake dostupne sada.
— GreyNoise Intelligence (@GreyNoiseIO) 25. rujna 2019
oznake:"vBulletin 5.x RCE"https://t.co/tBMaCdimRIpic.twitter.com/3JLNNxA0qG
Top 20 HackerOneovih javnih programa za dodjelu grešaka
Developer
- To je kraj programiranja kakvog poznajemo -- opet
- Programeri se osjećaju sigurnima u svom poslu, ali još uvijek razmišljaju o davanju otkaza
- Budućnost weba trebat će drugačiju vrstu programera
- Najbolja Linux prijenosna računala za korisnike i programere