Для 0-day бага в vBulletin появился патч, но уязвимость эксплуатировали годами

Вчера стало известно, что некий анонимный исследователь обнародовал в открытом доступе детали опасной уязвимости нулевого дня в форумном движке vBulletin, а также эксплоит для нее. Баг позволяет злоумышленнику выполнять shell-команды на уязвимом сервере. Причем атакующему достаточно использовать простой HTTP POST-запрос и не нужно иметь учетную запись на целевом форуме, то есть проблема относится к неприятному классу pre-authentication уязвимостей.

Теперь на GitHub появилось более детальное описание проблемы, а также в сети был опубликован скрипт для поиска уязвимых серверов. Пользователи vBulletin, в свою очередь, уже начали сообщать об атаках на свои форумы. Некоторые даже жалуются на полное удаление БД при помощи данного бага.

Интересно, что после публикации данных об уязвимости глава компании Zerodium Чауки Бекрар заявил в Twitter, что его компании и клиентам было известно об этой проблеме на протяжении трех лет, а эксплоиты для нее давно продают на черном рынке.

Так как разработчики vBulletin хранили молчание, неофициальный патч для этого RCE-бага был оперативно подготовлен ИБ-экспертом Ником Кано (Nick Cano). Для его применения достаточно отредактировать includes/vb5/frontend/controller/bbcode.php соответствующим образом.

Наконец, вечером 25 сентября по московскому времени разработчики vBulletin прервали свое молчание и сообщили о выходе патча для vBulletin версий 5.5.X. Выяснилось, что уязвимости был присвоен идентификатор CVE-2019-16759.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.