Một nhà nghiên cứu bảo mật vào đầu ngày hôm nay đã tiết lộ công khai chi tiết và mã khai thác bằng chứng cho một lỗ hổng thực thi mã từ xa zero-day nghiêm trọng chưa được vá, ảnh hưởng đến phần mềm diễn đàn internet được sử dụng rộng rãi vBulletin nó đã được khai thác tích cực trong tự nhiên.
vBulletin là gói phần mềm diễn đàn Internet độc quyền được sử dụng rộng rãi dựa trên máy chủ cơ sở dữ liệu PHP và MySQL, cung cấp năng lượng cho hơn 100.000 trang web trên Internet, bao gồm cả Fortune 500 và Alexa Top 1 triệu trang web và diễn đàn.
Vào tháng 9 năm ngoái, một nhà nghiên cứu bảo mật ẩn danh riêng biệt đã công khai một ngày Lỗ hổng RCE trong vBulletin, được xác định là CVE-2019-16759và nhận được xếp hạng mức độ nghiêm trọng quan trọng là 9,8, cho phép những kẻ tấn công thực hiện các lệnh độc hại trên máy chủ từ xa mà không yêu cầu bất kỳ xác thực nào để đăng nhập vào diễn đàn.
Một ngày sau khi tiết lộ CVE-2019-16759, nhóm vBulletin đã phát hành bản vá bảo mật đã giải quyết được vấn đề, nhưng hóa ra bản vá không đủ khả năng ngăn chặn việc khai thác lỗ hổng.
Bỏ qua bản vá cho CVE-2019-16759 RCE Flaw
Zero-day mới được phát hành, được phát hiện và xuất bản công khai của nhà nghiên cứu bảo mật Amir Etemadieh (Zenofex), là một giải pháp bỏ qua cho CVE-2019-16759. Lỗ hổng không nhận được bất kỳ số nhận dạng CVE nào tại thời điểm bài đăng blog này được xuất bản.
Ngày 0 gần nhất sự dễ bị tổn thương nên được xem là một vấn đề nghiêm trọng vì có thể khai thác từ xa và không yêu cầu xác thực. Nó có thể dễ dàng bị khai thác bằng cách sử dụng mã khai thác của một lệnh một dòng duy nhất có thể dẫn đến việc thực thi mã từ xa trong phần mềm vBulletin mới nhất.
Theo nhà nghiên cứu, bản vá cho CVE-2019-16759 không giải quyết được các vấn đề có trong mẫu “widget_tabbedcontainer_tab_panel”, tức là khả năng tải mẫu con do người dùng kiểm soát và để tải mẫu con, nó nhận giá trị từ một giá trị được đặt tên riêng và đặt nó vào một biến có tên “widgetConfig”, cho phép nhà nghiên cứu bỏ qua bản vá cho CVE-2019-16759 một cách hiệu quả.
Nhà nghiên cứu cũng đã xuất bản ba tải trọng khai thác chứng minh khái niệm được viết bằng nhiều ngôn ngữ, bao gồm Bash, Python và Ruby.
Tin tặc tích cực khai thác vBulletin Zero-Day
Ngay sau khi phát hành mã khai thác PoC, tin tặc bắt đầu khai thác zero-day để nhắm mục tiêu các trang web vBulletin.
Theo Jeff Moss, người sáng lập hội nghị bảo mật DefCon và Black Hat, diễn đàn DefCon cũng bị tấn công bằng cách khai thác chỉ 3 giờ sau khi lỗ hổng được tiết lộ.
“Ngày hôm qua VBulletin Zero Day mới bị @Zenofex cho biết bản vá CVE-2019-16759 chưa hoàn thiện – trong vòng ba giờ https://forum.defcon.org đã bị tấn công, nhưng chúng tôi đã sẵn sàng. Hãy tắt kết xuất PHP để bảo vệ bản thân cho đến khi được vá! ” Rêu.
VBulletin Patch và Mitigations chính thức
Nhóm vBulletin đã phản hồi lại lỗ hổng zero-day được phát hành công khai ngay lập tức và phát hành một bản vá bảo mật mới vô hiệu hóa mô-đun PHP trong phần mềm vBulletin để giải quyết vấn đề, đảm bảo với người dùng rằng nó sẽ được gỡ bỏ hoàn toàn trong bản phát hành vBulletin 5.6.4 trong tương lai .
Những người duy trì diễn đàn khuyên các nhà phát triển nên xem xét tất cả các phiên bản cũ của vBulletin dễ bị tấn công và nâng cấp trang web của họ để chạy vBulletin 5.6.2 càng sớm càng tốt. Các nhà phát triển có thể kiểm tra Tổng quan nhanh: Nâng cấp vBulletin Connect trong các diễn đàn hỗ trợ để biết thêm thông tin về việc nâng cấp.
Mặc dù The Hacker News thực sự khuyên người dùng và nhà phát triển nâng cấp diễn đàn của họ lên phiên bản vBulletin mới, những người không thể cập nhật ngay lập tức có thể giảm thiểu zero-day mới bằng cách tắt các tiện ích PHP trong diễn đàn của bạn, để làm điều này:
Đi tới bảng điều khiển quản trị viên vBulletin và nhấp vào “Cài đặt” trong menu bên trái, sau đó “Tùy chọn” trong trình đơn thả xuống.
Chọn “Cài đặt chung” và sau đó nhấp vào “Chỉnh sửa cài đặt”.
Tìm kiếm “Tắt hiển thị PHP, HTML tĩnh và Mô-đun quảng cáo”, đặt thành “Có”.
Nhấp vào để lưu”
Lưu ý rằng những thay đổi này có thể phá vỡ một số chức năng nhưng sẽ giảm thiểu vấn đề cho đến khi bạn định áp dụng các bản vá bảo mật chính thức.
