Амир Этемади, эксперт по информационной безопасности, опубликовал подробные сведения и проверочный код эксплойта для уязвимости нулевого дня в популярном форумном движке vBulletin. Новая уязвимость обходит исправление предыдущей 0-day уязвимости, которая была устранена около года назад.
0-day уязвимость, которая была обнаружена специалистами в сентябре 2019 г., позволяла киберпреступникам использовать ошибку в системе шаблонов vBulletin, чтобы успешно запускать вредоносный код, захватывать контроль над форумом без необходимости аутентификации на сайтах жертвы (ошибка типа «RCE до авторизации»). Эта проблема была обнаружена 24 сентября 2019 г. и исправлена спустя день.
Амир Этемади, исследователь безопасности из Остина, в своем блоге опубликовал вчера сообщение, что патч для обнаруженной в прошлом сентябре уязвимости CVE-2019-16759, «неадекватен и не позволяет заблокировать возможность эксплуатации проблемы киберпреступниками». Эксперт отметил, что обнаружил простой способ обхода патча для продолжения использования той же уязвимости CVE-2019-16759.
Специалист опубликовал три доказательства своих слов на Ruby, Python, Bash. Также он отметил, что не связывался с разработчиками vBulletin перед публикацией своей информации. Издание ZDNet направило соответствующий запрос в компанию MH Sub I LLC, которой принадлежат права на движок vBulletin, но никакого ответа не получила.
На данный момент новый код уязвимости нулевого дня получил широкое распространение в социальных сетях и на специализированных площадках (Twitter, Reddit и на многих других), на хакерских форумах, в каналах Discord):
Стоит напомнить, что обнаружение уязвимости нулевого дня в сентябре 2019 г. спровоцировало массовую волну взломов vBulletin, в результате чего многие компании обнаруживали нарушения безопасности своих сайтов в течение нескольких последующих месяцев. На данный момент известно, что хакеры успели взломать один из крупных форумов (сразу после публикации информации Амиром Этемади):
В отличие от большинства других систем управления контентом (WordPress, Joomla, Drupal и т. д.), онлайн-форумы на vBulletin создаются с единственной целью – управление онлайн-сообществами, поэтому включают в себя обычно огромные объемы личной конфиденциальной информации. Поэтому киберпреступники крайне заинтересованы во взломе подобных веб-ресурсов, потому что проведенная атака в дальнейшем может привести к получению серьезной прибыли.