Нови версии на vBulletin адресират критична уязвимост

Екипите по сигурност, грижещи се за защитата на популярния форум софтуер vBulletin издадоха извънредно обновление, адресиращо критична уязвимост. Действията им бяха провокирани от регистрирани атаки към неизвестен за тях досега проблем.

На 23-ти неизвестен хакер публикува в интернет PoC (proof-of-concept) код, валидиращ наличието на CVE-2019-16759 и начина ѝ на експлоатиране. Става дума за неразрешено изпълнение на команди по отдалечен път и засяга версии 5.x.x до 5.5.4. Уязвимостта позволява на неавторизирала се страна да изпълни PHP код и шел команди по дистанционен път към сървъра чрез изпращането на специално изготвени HTTP POST заявки. Проблемът е разрешен във версии vBulletin 5.5.4 Patch Level 1, 5.5.3 Patch Level 1 и 5.5.2 Patch Level 1. Тези, които използват версия по-стара от 5.5.2 биват посъветвани да преминат към по-нова версия възможно по-скоро. Ползващите vBulletin Cloud получават обновлението автоматично.

Съобщава се също така че основните доставчици на решения за мрежова сигурност вече са включили в базовите дефиниции на продуктите си дефиниции за експлойта за уязвимостта.

Няколко са организациите, докладвали за опити за атака към CVE-2019-16759. Любопитен случай е атака, при която хакерите използват уязвимостта, за да превземат уеб ресурс, след което са направили нужните промени, така че да не може друг да използва CVE-2019-16759 в повторно атака към сайта. Няколко компании за защита алармират, че експлойт за уязвимостта вече е включен в ботнети и са регистрирани първите масови опити за експлоатиране.

Макар и запушена сега, уязвимостта, според Zerodium, компания, купуваща и продаваща неоткирити уязвимости, заявява, че експлойти за CVE-2019-16759 биват продавани от години, като клиентите на компанията знаят за нея от поне три години.