Наскоро ви предадохме за открита и запушена дупка в популярния форумен софтуер vBulletin. CVE-2019-16759 е критична уязвимост, чието експлоатиране позволява на атакуващата страна изпълнението на произволен код към сървъра по отдалечен път.
Едно от неприятните неща в случая беше, че според Zerodium, компания, занимаваща се в трупането и продажбата на уязвимости, въпросната дупка им е била известна от години, за което свидетелстват и техни клиенти. Досега обаче, даже и да е била използвана в атаки, тя е останала неизвестна за специалистите по информационна сигурност. Другата неприятна новина тук е, че още на 23-ти миналия месец е публикуван PoC (proof-of-concept) код в Интернет (vBulletin издават нова версия на софтуера два дена по-късно) и опитите за експлоатирането ѝ не закъсняха. Една от жертвите, паднали в последвалите атаки, се оказва, че е станала компания за сигурност.
В понеделник Comodo алармираха на страниците на своя форум, че е била осъществена успешна атака към forums.comodo.com. Оказва се, че макар и главния форум на Comodo да е изграден на основата на Simple Machines Forum, а не на vBulletin, то ITarian форума на компанията, посветен на платформата за управление ITarian, който се хоства на forums.comodo.com е изграден, именно на vBulletin. Изглежда, че, както посочва и потребител на форума на Comodo, веднъж достигнали страниците на ITarian секцията (хостван на forum.comodo.com – без „s“ – б.а.), хакерите са получили достъп до базата с данни на оригиналния форум на Comodo.
„Неизвестна атакуваща страна е експлоатирала наскоро открита уязвимост във vBulletin и е възможно да е получила достъп до базата данни на форумите. Разследването за установяване на това каква информация, ако е била въобще, достигната, продължава. Потребителските акаунти във форумите съдържат информация, като потребителски и истински имена, имейл адреси, последните IP адреси, от които е влизано във форума, и в някои ограничени случаи, потребителски имена от социалните мрежи. Всички пароли в базата данни се пазят криптирани. Към настоящия момент форумите на Comodo имат 245 000 регистрирани потребителя“, съобщиха в понеделник Comodo.
Самите хакери изглежда не си губят времето и вчера Bleeping Computer съобщиха за публикувано в даркуеб сайт съобщение за продажбата на архив от Simple Machines Forum форума на Comodo, съдържащ информацията на 173 198 потребителя. Паролите в записите са защитени с MD5 алгоритъм, който, както посочват от Bleeping е уязвим и лесен за разбиване.
„BleepingComputer получи част от базата данни и удостоверява, че информацията е истинска. Повечето от потребителите са вече неактивни членове на форумите на Comodo, но един от тях е настоящ и потвърди, че имейл адреса, посочен тук е техен и използван във форума, както и други данни, свързани с акаунта му“, пише медията.
Bleeping предават, че в получената от тях открадната информация се съдържат идентификационни номера, реални имена, държава, IP адрес от последното влизане, „осолена“ парола, дата на раждане, допълнителен въпрос за вход и хеширан отговор, дата на регистрация, време на престой във форума и потребителско име.
Comodo препоръчва на своите потребители, като предпазна мярка да променят своята парола за вход.
