Анонимный исследователь обнародовал в открытом доступе детали опасной уязвимости нулевого дня в форумном движке vBulletin. Теперь ИБ-специалисты опасаются, что публикация детальной информации о проблеме и Python-эксплоита для нее могут спровоцировать массовую волну взломов форумов.

Подробности о 0–day баге можно найти на страницах рассылки Full Disclosure. Сообщается, что данная RCE-уязвимость позволяет злоумышленнику выполнять shell-команды на сервере с vBulletin. Причем атакующему достаточно использовать простой HTTP POST-запрос и не нужно иметь учетную запись на целевом форуме, то есть проблема относится к неприятному классу pre-authentication уязвимостей.

Издание ZDNet ссылается на ряд собственных источников и подтверждает, что уязвимость работает именно так, как описывает анонимный специалист. Пожалуй, единственная хорошая новость в данной ситуации заключается в том, что 0-day работает только с версиями форума vBulletin 5.x (вплоть до новейшей 5.5.4), а более ранние версии багу не подвержены.

Пока неясно, пытался ли аноним сообщить о найденной проблеме разработчикам vBulletin (и ее не сумели исправить), или же сразу обнародовал информацию о баге в открытом доступе. Разработчики пока никак не прокомментировали ситуацию, и некоторые даже полагают, что публикация данных об уязвимости могла быть спланированным актом саботажа.

Хотя vBulletin является коммерческим продуктом, на сегодняшний день это самый популярный форумный движок, имеющий большую долю рынка, чем решения с открытым исходным кодом, такие как phpBB, XenForo, Simple Machines Forum, MyBB и другие. По данным W3Techs , порядка 0,1% всех сайтов используют форумы vBulletin. Хотя это значение кажется небольшим, на самом деле это означает, что с vBulletin работают миллиарды интернет-пользователей.

Интересно, что информация об этой проблеме могла принести исследователю немалые деньги. К примеру, компания Zerodium готова заплатить за подобные RCE-уязвимости в vBulletin до 10 000 долларов США.

1 комментарий

  1. Аватар

    Diflyrest

    25.09.2019 at 11:39

Оставить мнение