Anonimni heker je nedavno javno razkril podrobnosti in podal dokaz (PoC) o izkoriščanju kode za nenadzorovano kritično ranljivost oddaljenega izvajanja kode s t. i. ‘0-day’ ranljivostjo v programskem paketu vBulletin – najpopularnejši programski opremi namenjeni internetnim forumom.

 

Eden od razlogov, da je treba ‘0-day’ ranljivost v vBulletin obravnavati kot zelo resno grožnjo ni samo ta, da jo lahko napadalec izkoristi na daljavo, ampak da ne potrebuje avtentikacije oz. uporabniškega računa na ciljnem forumu. Gre za eno izmed najhujših varnostnih napak na spletni platformi.

 

VBulletin, napisan v programskem jeziku PHP, je široko uporabljan programski paket za internetne forume, ki poganja več kot 100.000 spletnih mest, vključno s spletnimi mesti in forumi kot so Fortune 500 in Alexa Top 1 milijon podjetij.

Ogroženih na milijone uporabnikov

Heker trdi, da je odkril ranljivost izvajanja oddaljene kode, za katero se zdi, da vpliva na različice vBulletin 5.0.0 do najnovejše 5.5.4.

 

Ranljivost je prisotna v načinu, kako datoteka t. i. ‘widget file’ programskega paketa foruma sprejme konfiguracijo preko parametrov URL in jih nato razčleni na strežniku brez ustreznih varnostnih mehanizmov. To napadalcu omogoči, da injicjira ukaze in na tako na daljavo izvrši zlonamerno kodo v sistemu.

 

 

Heker je kot dokaz (PoC) na osnovi programskega jezika Pyton izdal tudi ‘exploit’, ki bi lahko olajšal izkoriščanje ‘0-day’ ranljivosti.

Hekerji ‘0-day’ ranljivost v vBulletin že s pridom izkoriščajo

Priporočam, da spremljate dogajanje na spletnih platformah, ki uporabljajo programski paket vBulletin, imate ustrezno nastavljene dnevniške zapise, ki naj bodo usmerjeni na SIEM (Security Information and Event Management) ter izvedete posodobitev. O razkriti ranljivosti so bili obveščeni tudi vzdrževalci projekta vBulletin – popravek za ranljivost je že na voljo, in sicer pod številko CVE-2019-16759.

 

Pomemben del zagotavljanja varnosti spletnih aplikacij (pa naj gre za splete strani, forume…) je njihovo testiranje v obliki varnostnega pregleda. Četudi se velikokrat na prvi pogled zdi, da je nepotreben, praksa pokaže, da je ravno izvedba varnostnega pregleda tista prelomna točka, kjer se stvari pričnejo urejati. Priporočamo, da si preberete tudi belo knjigo 10 zapovedi za varne spletne aplikacije. Če želite preveriti, kakšno je stanje v vašem sistemu IT, nas kontaktirajte.

 

Prispevek je pripravil Janez Peršin.