14. 10. 2013

Jedná se o rozšířený systém pro správu obsahu na webových stránkách a diskuzních fórech (Content Management Systems).

Charakteristika zranitelnosti

vBulettin nezveřejnil příčinu zranitelnosti, ale pouze metodu, kterou útočník při hackování systému využívá. Zjištěná chyba v zabezpečení umožňuje útočníkovi získat kontrolu nad správou účtů a následně vytvořit sekundární účet správce. Vlivem toho získá plnou kontrolu nad systémem. Útočník opakovaně posílá požadavky „GET“ na „/install/upgrade.php“. Úspěšné nastavení je útočníkovi indikováno návratovým kódem „200“. Následně se útočníkovi doposud neznámým způsobem podařilo nahrát určitý php kód, který umožní vytvoření administrátorského účtu.

Postižené systémy

  • vBulletin verze 4.x,
  • vBulletin verze 5.x.

Dopad zranitelnosti

Umožní útočníkovi vytvořit sekundární účet správce a převzít plnou kontrolu nad systémem.

Řešení

Řešením je odstranit adresáře „/install“ a „/core/install directories“ ve zmíněných verzích. Pokud toho není správce z nějakého důvodu schopen, je doporučeno zablokovat přístup nebo přesměrovat požadavky, které míří na „upgrade.php“. To lze nastavit buďto prostřednictvím WAF, nebo prostřednictvím konfiguraci přístupu na web serveru.

Odkazy

http://www.net-security.org/secworld.php?id=15743
http://www.infosecurity-magazine.com/view/34992/vbulletin-exploit-makes-the-cms-rounds/
http://blog.imperva.com/2013/10/threat-advisory-a-vbulletin-exploit-administrator-injection.html