白帽駭客資安網-網站安全的靠山,提供漏洞修補,網站被駭入侵,網站資訊安全服務

vBulletin商業論壇軟體-緊急修補零時差的漏洞

論壇軟體vBulletin本周被無預警公開的重大漏洞,影響5.0.0到5.5.4的版本,已有針對性攻擊現身,
但有專門收購攻擊程式的資安業者宣稱,他們3年前就已掌握到這項漏洞的攻擊程式,vBulletin官方目前完成5.5.2、5.5.3及5.5.4版修補,建議5.5.2以前版本的用戶儘快升級
網路公佈了商業論壇軟體vBulletin的零時差漏洞,以及只有18行的概念性驗證攻擊程式,且傳出已有駭客針對該漏洞展開攻擊,vBulletin團隊則在週四(9/26)緊急修補了該漏洞。
vBulletin為一提供討論區、內容管理系統及部落格等功能的付費軟體,宣稱全球已有超過10萬個網站採用。
本周被公佈的安全性漏洞編號為CVE-2019-16759,駭客無需具備論壇帳號,只要傳送一個特製的HTTP POST請求至vBulletin就能執行命令,可執行的命令型態則視vBulletin服務所使用的用戶帳號權限而定,可能允許駭客掌控整個系統。
資安專家認為這是個既嚴重又容易開採的高危險漏洞,預期它很快就會吸引眾多駭客,而來自於Bad Packets的Troy Mursch已經察覺首波的攻擊,駭客不但藉由公開的攻擊程式開採了該漏洞,還變更了系統配置,以讓未來要傳送命令都得輸入密碼,防堵其它駭客的開採行動,收編這些vBulletin伺服器成為自己的殭屍網路。大多數的攻擊流量來自巴西、越南與印度。
CVE-2019-16759影響vBulletin 5.0.0到5.5.4的版本,漏洞的嚴重性也讓vBulletin團隊緊急釋出安全更新,修補了vBulletin 5.5.2、5.5.3及5.5.4,並建議5.5.2以前版本的用戶儘快升級。
不過,專門收購零時差漏洞與攻擊程式的Zerodium執行長Chaouki Bekrar指出,先前就有許多研究人員對外銷售CVE-2019-16759的攻擊程式,Zerodium客戶至少在3年前便知道此一漏洞的存在。
 
 
分享: