Lỗ hổng 0-Day và lỗi khai thác vBulletin RCE được công khai bởi một nhà nghiên cứu bảo mật vào đầu ngày hôm nay chưa được vá cực kỳ nghiêm trọng, ảnh hưởng đến phần mềm diễn đàn internet được sử dụng rộng rãi vBulletin.
vBulletin là gói phần mềm diễn đàn Internet độc quyền được sử dụng rộng rãi dựa trên ngôn ngữ PHP và MySQL, được dùng cho hơn 100.000 trang web trên Internet, bao gồm cả Fortune 500 và Alexa Top 1 triệu trang web và diễn đàn.
Vào tháng 9 năm ngoái, một nhà nghiên cứu bảo mật ẩn danh riêng biệt đã tiết lộ công khai lỗ hổng RCE-zero-day trong vBulletin, được xác định là CVE-2019-16759 và nhận được mức đánh giá mức độ nghiêm trọng là 9.8, cho phép kẻ tấn công thực hiện các lệnh độc hại trên máy chủ từ xa. mà không yêu cầu bất kỳ xác thực nào để đăng nhập vào diễn đàn.
Một ngày sau khi CVE-2019-16759 được tiết lộ, nhóm vBulletin đã phát hành các bản vá bảo mật giải quyết vấn đề, nhưng hóa ra bản vá không đủ để ngăn chặn việc khai thác lỗ hổng cực kỳ nghiêm trọng này.
Bybass bản vá CVE-2019-16759 vBulletin RCE Flaw
Lỗ hổng Zero-day vBulletin RCE, được phát hiện và công bố công khai bởi nhà nghiên cứu bảo mật Amir Etemadieh (Zenofex), là một phiên bản bybass cho CVE-2019-16759. Lỗ hổng không nhận được bất kỳ số nhận dạng CVE nào tại thời điểm bài này được xuất bản.
Lỗ hổng zero-day vBulletin RCE mới nhất được coi là một vấn đề nghiêm trọng vì nó có thể khai thác từ xa và không yêu cầu xác thực. Nó có thể dễ dàng bị khai thác bằng cách sử dụng mã khai thác của một lệnh một dòng duy nhất có thể dẫn đến việc thực thi mã từ xa trong phần mềm vBulletin mới nhất.
Theo nhà nghiên cứu, bản vá cho CVE-2019-16759 không giải quyết được các vấn đề có trong template “widget_tabbedcontainer_tab_panel”, tức là khả năng load template con do người dùng kiểm soát và để load template con, nó nhận giá trị từ một giá trị được đặt tên riêng và đặt nó vào một biến có tên “widgetConfig”, cho phép nhà nghiên cứu vượt qua bản vá cho CVE-2019-16759 một cách dễ dàng.
Nhà nghiên cứu cũng đã xuất bản ba bằng chứng về lỗi bảo mật khai thác được viết bằng nhiều ngôn ngữ, bao gồm Bash, Python và Ruby.
Tin tặc bắt đầu khai thác lỗ hổng zero-day vBulletin RCE
Ngay sau khi công bố lỗi khai thác PoC, tin tặc bắt đầu khai thác zero-day để nhắm mục tiêu các trang web dùng vBulletin.
Theo Jeff Moss, người sáng lập hội nghị bảo mật DefCon và Black Hat, diễn đàn DefCon cũng bị tấn công bằng cách khai thác chỉ 3 giờ sau khi lỗ hổng được tiết lộ.
“Lỗi Zero Day của VBulletin được @Zenofex công bố ngày hôm qua, tiết lộ rằng bản vá CVE-2019-16759 chưa hoàn thiện – trong vòng ba giờ website forum.defcon.org đã bị tấn công, nhưng chúng tôi đã sẵn sàng cho việc đó. Tắt tính năng PHP để bảo vệ diễn đàn của bạn cho đến khi lỗ hổng được vá! “, Moss nói.
Bản vá chính thức từ VBulletin
Nhóm vBulletin đã phản hồi lại lỗ hổng zero-day được phát hành công khai ngay lập tức và phát hành bản vá bảo mật mới để vô hiệu hóa mô-đun PHP trong vBulletin nhằm giải quyết vấn đề trên, đảm bảo với người dùng rằng nó sẽ bị xóa hoàn toàn trong bản phát hành vBulletin 5.6.4 trong tương lai.
Những người bảo trì diễn đàn khuyên các nhà phát triển nên xem xét tất cả các phiên bản cũ hơn của vBulletin dễ bị tấn công và nâng cấp trang web của họ để chạy vBulletin 5.6.2 càng sớm càng tốt. Các nhà phát triển có thể kiểm tra Quick Overview: Upgrading vBulletin Connect trong diễn đàn hỗ trợ để biết thêm thông tin về việc nâng cấp.
Người dùng và nhà phát triển nên nâng cấp diễn đàn của họ lên phiên bản vBulletin mới, nhưng những người không thể cập nhật ngay lập tức có thể giảm thiểu zero-day mới bằng cách tắt các tiện ích PHP trong diễn đàn của bạn, để làm điều này:
Đi tới bảng điều khiển quản trị viên vBulletin và nhấp vào “Settings” trong menu bên trái, sau đó là “Options” trong menu thả xuống.
Chọn “General Setting” và sau đó nhấp vào “Edit Settings”.
Tìm kiếm “Disable PHP, Static HTML, and Ad Module rendering,”, đặt thành “Yes”.
Nhấp “Save”
Lưu ý rằng những thay đổi này có thể phá vỡ một số chức năng nhưng sẽ giảm thiểu sự cố cho đến khi bạn cập nhật các bản vá bảo mật chính thức từ vBulletin
Theo The Hacker News
