The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Неисправленная критическая уязвимость в движке для создания web-форумов vBulletin (дополнено)

25.09.2019 08:28

Раскрыта информация о неисправленной (0-day) критической уязвимости (CVE-2019-16759) в проприетарном движке для создания web-форумов vBulletin, позволяющей выполнить код на сервере через отправку специально оформленного POST-запроса. Для проблемы доступен рабочий эксплоит. vBulletin используется многими открытыми проектами, в том числе на базе данного движка работают форумы Ubuntu, openSUSE, BSD-систем и Slackware.

Уязвимость присутствует в обработчике "ajax/render/widget_php", который допускает передачу произвольного shell-кода через параметр "widgetConfig[code]" (просто передаётся код для запуска, даже не нужно ничего экранировать). Для атаки не требуется аутентификация в форуме. Проблема подтверждена во всех выпусках актуальной ветки vBulletin 5.x (развивается с 2012 года), включая самый свежий выпуск 5.5.4. Обновление с исправлением пока не подготовлено.

Дополнение 1: Для версий 5.5.2, 5.5.3 и 5.5.4 выпущены патчи. Обладателям более старых выпусков 5.x для устранения уязвимости рекомендовано вначале обновить свои системы до актуальных поддерживаемых версий, но в качестве обходного способа защиты можно закомментировать вызов "eval($code)" в коде функции evalCode из файла includes/vb5/frontend/controller/bbcode.php.

Дополнение 2: Уязвимость уже активно применяется для атак, рассылки спама и оставления бэкдоров. Следы атаки можно наблюдать в логах http-сервера по присутствию запросах строки "ajax/render/widget_php".

Дополнение 3: Всплыли следы использования обсуждаемой проблемы в старых атаках, судя по всему, уязвимость уже эксплуатируется около трёх лет. Кроме того, опубликован скрипт, который можно использовать для совершения массовых автоматизированных атак с поиском уязвимых систем через сервис Shodan.

  1. Главная ссылка к новости (https://seclists.org/fulldiscl...)
  2. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  3. OpenNews: Взломан официальный форум проекта Ubuntu
  4. OpenNews: Зафиксированы атаки на форумы vBulletin с использованием 0-day уязвимости
  5. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  6. OpenNews: В форуме vBulletin обнаружена серьезная уязвимость
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: vbulletin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 09:02, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Так а чего они её так рано раскрыли?
    Или там vbulletin не реагирует на проиходящее пока его не клюнет в одно место?
     
     
  • 2.25, Нанобот (ok), 13:12, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    "они" и не раскрывали. какой-то добрый человек отправил эксплоит в список рассылки с анонимного почтового ящика. врядли мы когда-то узнаем, зачем он это сделал
     
     
  • 3.28, пох. (?), 13:33, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > "они" и не раскрывали. какой-то добрый человек отправил эксплоит в список рассылки
    > с анонимного почтового ящика. врядли мы когда-то узнаем, зачем он это
    > сделал

    скучно стало. А за попытки делать жизнь интереснее - его всюду банят ;-)

     

  • 1.4, Аноним (4), 09:36, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Потому что почему бы и не исполнить данные, пришедшие извне. Действительно.
     
     
  • 2.5, Аноним (5), 09:40, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Ну так компьютеры для того и изобрели, чтобы выполнять код, который им дадут люди. Считаю, что не уязвимость, а удобная фича.
     

  • 1.6, заминированный тапок (?), 09:40, 25/09/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.8, neon1ks (ok), 09:52, 25/09/2019 Скрыто модератором
  • –1 +/
     
     
  • 3.10, заминированный тапок (?), 10:06, 25/09/2019 Скрыто модератором
  • +5 +/
     
     
  • 4.18, Ordu (ok), 11:44, 25/09/2019 Скрыто модератором
  • –7 +/
     
     
  • 5.22, Аноним (22), 12:16, 25/09/2019 Скрыто модератором
  • +6 +/
     
     
  • 6.24, Ordu (ok), 12:21, 25/09/2019 Скрыто модератором
  • –1 +/
     
     
  • 7.43, Аноним (43), 19:33, 25/09/2019 Скрыто модератором
  • +1 +/
     
  • 4.26, neon1ks (ok), 13:28, 25/09/2019 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (7)

  • 1.7, Аноним (7), 09:45, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    eval === backdoor
     
  • 1.9, Аноним (9), 09:55, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Поэтому профессионалы используют TOMOYO Linux как mandatory access control. Очевидно же, что любой сетевой софт содержит неограниченное количество уязвимостей.
     
     
  • 2.14, null (??), 10:44, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    SELinux же
     
     
  • 3.34, биба (?), 15:18, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    НИКТО НИКОГДА НЕ НАСТРАИВАЕТ СЕЛИНУКС, кроме шляпников, которые, собственно пишут конфиги, и юзеров, которые этот селинукс отключают.
     
     
  • 4.35, СеменСеменыч777 (?), 16:08, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > НИКТО НИКОГДА НЕ НАСТРАИВАЕТ СЕЛИНУКС

    еще АНБшники настраивают (если ничего на замену не придумали).

     
  • 4.36, pda (?), 16:19, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На android мобилках сейчас ещё используют.
     
  • 2.17, Hex (??), 11:20, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    смысл защищаться на уровне операционки, если имея уязвимость уровня приложения я могу вытащить пароли из бд?
     
     
  • 3.29, биба (?), 13:47, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >уязвимость уровня приложения

    - Можно предотвратить этим эксплуатацию уязвимости.

    - Не вытащишь пароли.

    - если вытащишь, то тролько из разрешенной таблицы

    - не сможешь отправить эти пароли на произвольн сервер


    Можно так обтянуть приложуху, что вообще всё по белому списку будет, каждая операция с каждым файлом и все сетевые запросы по типу порта, направлению трафика и тд

     
  • 3.44, Аноним84701 (ok), 20:40, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > смысл защищаться на уровне операционки, если имея уязвимость уровня приложения я могу вытащить пароли из бд?

    Вообще-то это свидетельство кривости дизайна приложения (ну или  старое доброе наследие ограничений дешевых шаред-хостингов).
    Потому что фиксится даже классическими методами, без всяких молодежных SE-наворотов -- БД-файл с правами 0600 лежит под другим пользователем.
    Доступ есть только через демон-прокси-авторизатор (по модномолодежному: микросервис, благо БДшки позволяют иметь больше одного пользователя) , принимающий пару пароль/логин и возвращающий "да/нет".
    Удачи вытащить пароли из БД через уязвимость в приложении.

     
     
  • 4.54, Аноним (54), 14:58, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > БД-файл с правами 0600 лежит под другим пользователем.

    /* шутка про админа локалхоста */

     
     
  • 5.56, Аноним84701 (ok), 15:17, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> БД-файл с правами 0600 лежит под другим пользователем.
    > /* шутка про админа локалхоста */

    /* шутка про привычки и best-practice вендузоидов и веб-макакинг */

     

  • 1.11, Аноним (11), 10:33, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    похапе как обычно
     
     
  • 2.12, пох. (?), 10:37, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    давай, переписывай на хрусте - а мы пока попкорном похрустим

     
     
  • 3.23, Аноним (22), 12:20, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В твоей секте Сатьи Наделлы все веб-ресурсы должны быть на благословленной им .NET и ни на чем другом.
     
     
  • 4.27, пох. (?), 13:32, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В твоей секте Сатьи Наделлы все веб-ресурсы должны быть на благословленной им
    > .NET и ни на чем другом.

    ну вот что-то халявных bulletin board'ов на ем не видно - может, молимся плохо, или постимся недостаточно? На asp были, кстати.

    давайте на хрусте - вон, мазила точно правильно молится!


     

  • 1.13, Аноним (13), 10:43, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > на базе данного движка работают форумы Ubuntu

    Вот и найдена причина неадекватных ответов на форуме Ubuntu.

     
     
  • 2.20, пох. (?), 11:52, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    твой единственный шанс понапихать им туда - адекватных, пока дыра открыта, действуй!

     
     
  • 3.45, Аноним (45), 20:57, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А им надо это - отличаться от других ИТ форумов?
     
  • 2.66, Аноним (66), 17:48, 28/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    по сравнению с лором там благодать
     

  • 1.15, Аноним (15), 10:46, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А это точно открытое ПО?
     
     
  • 2.19, Blind Vic (ok), 11:44, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Открытая уязвимость
     
  • 2.49, Kuromi (ok), 06:28, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Vbulletin, она же Вобла? Проприетарщина, причем злобно-копирастическая. Раньше, когда форумы были популярнее обходили ботом форумы и тем чьи домены не были в списке легальных покупателей (лицензия на домен дается) автоматом слали предупреждения "гони деньги, сноси форум или абузу хостеру".
     
     
     
    Часть нити удалена модератором

  • 4.59, Kuromi (ok), 16:40, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а не воровать-то чужой труд - любители шва6одки не пробовали?

    На тот момент когда форумы былирелаьно популярны vB был реально одним из лучших. Сравниться с ним мог только Invision (тоже платный), и были холивары на тему что лучше. Бесплатные движки вроде phpBB не подходили по провдинутости даже близко.
    С появление SMF, однако, раскладка сил слегка поменялась, т.к. бесплатный, есть моды, есть штатный установщик и обновлятор модов (никаких ручных правок кода) и SMF в общем несколько оттянул на себя пользователей. А потмо пришли социалочки и сейчас движуха вся там.

     
     
  • 5.64, пох. (?), 22:40, 27/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > На тот момент когда форумы былирелаьно популярны vB был реально одним из лучших

    ну и чо - не воровать-то - никак? прям душа горела, рвалась к лучшим решениям, но (сколько там, кстати было - $100? Сейчас-то подорожала, аж 250 надо отвалить) - денег не было, приходилось держаться?

    А потом плакаться про злобных копирастов, которые унижают и требуют удалить нахрен.

    Хотя, казалось бы, вот тебе опенсорсный phpBB - бери и пили (мы ж за шва6оду, а не за халяву? Вот и допиливали бы потихоньку до нужного уровня фичастости)

    Собственно, по моему опыту - что одно неюзабельное гуано, что другое - ну вот пиратскими торрентами обмениваться кое-как сойдет, а для общения - непригодно в принципе. Поэтому рыночек их всех и порешил, в пользу соцсеточек, где пользователю хотя бы не надо лихорадочно тыкать в миллион мелких кнопочек для каких-то совершенно тривиальных действий и по пол-часа ждать загрузки.

    А более-менее работающие были только те, которые либо выпилены вручную, либо хотя бы сильно допилены владельцами - некоторые вон и до сих пор живы.

    Хотя после каждого вынужденного лазанья по 4pda я очень, очень мечтаю чтобы авторы invision были мертвы, желательно максимально мучительным способом.

     

  • 1.16, Аноним (16), 11:02, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без eval и жить скучно.
     
  • 1.21, Аноним (21), 12:07, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это было по дизайну, бэкдоры от проприетарного ПО.
     
  • 1.30, robot228 (?), 14:04, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    php дырка. на работе всех заставил пилить всё на ruby/python.
     
     
  • 2.31, Аноним (31), 14:39, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Бэкдоры и криптомайнеры в GEM используете на машинах разрабов и в проде?
     
  • 2.42, Аноним (43), 19:32, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эффективный менеджер на марше? Питон еще куда ни шло, но руби вы серьёзно? В 2019 году? Он может быть оправдан только жестким легаси, надеюсь у вас это так.
     
     
  • 3.58, Аноним (54), 15:35, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чё, хайп уже прошёл? Фигасе время летит. Как же питон тогда до сих пор трепыхается?
     
     
  • 4.62, dotgggff (?), 21:03, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а че ему будет датамайнинг, неронка, тесты итд можошь сам(сама) дальше подолжить а что у руби?
    за руби вроде не чего такого не наблюдалось
     
  • 3.61, Аноним (61), 18:08, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты забыл аргументировать.
     
  • 2.63, KonstantinB (ok), 18:32, 27/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    если программист без мозгов и пишет eval-ы где попало, это, конечно, сильно поможет
     

  • 1.32, Аноним (32), 14:49, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вполне возможно что все эти 7 лет и использовалась, тут просто кому-то уже надоело и он решил показать, чего стоит эта софтина и её авторы.
     
     
  • 2.33, пох. (?), 14:54, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    может просто им начали пользоваться, а сам он осилить - не сшмог.

    А поскольку копия была краденая, другого способа обратиться в техподдержку не нашел.

     

  • 1.38, Аноним (38), 17:48, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это же фича - удалённое управление. Веб-макаки знают что нужно пользователю.
     
  • 1.39, iLex (ok), 17:55, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    vBulletin в переводе на русский означает "хрен тебе, незарегистрированный пользователь, а не картинки". Ничто так не бесит при попытке нагуглить диаграмму или скриншот, как форум на vBulletin, где нужное изображение приаттачено к посту.
     
     
  • 2.40, robot228 (?), 18:15, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > vBulletin в переводе на русский означает "хрен тебе, незарегистрированный пользователь,
    > а не картинки". Ничто так не бесит при попытке нагуглить диаграмму
    > или скриншот, как форум на vBulletin, где нужное изображение приаттачено к
    > посту.

    Та забей. Щас есть только 2 адекватных (советую погуглить значение слова) движка. Ну мб 3. Остальное дичь полнейшная.

     
     
  • 3.41, anonymous (??), 19:02, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > погуглить значение слова

    Вэб-макаки такие предсказуемые...

     
  • 3.46, anonimous (?), 21:20, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > есть только 2 адекватных (советую погуглить значение слова)

    адекватных чему? Сам-то погуглил слово?

     
  • 2.47, пох. (?), 21:57, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > vBulletin в переводе на русский означает "хрен тебе, незарегистрированный пользователь,
    > а не картинки". Ничто так не бесит при попытке нагуглить диаграмму

    вообще-то это настраивается в админке.

    > или скриншот, как форум на vBulletin, где нужное изображение приаттачено к
    > посту.

    эммм, твоя "диаграмма", походу, заканчивается на .torrent, а скриншот называется "crack.exe" ?
    Вообще-то это и есть целевая аудитория данной фичи, как и всего vB в целом ;-)

     

  • 1.48, Tifereth (ok), 05:25, 26/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Патч уже выпущен, можно обновить текст новости:
    https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announceme

    Для версий младше 5.5.2 единственный предлагаемый вариант - вначале обновиться до минимальной поддерживаемой патчем версии.

     
     
  • 2.50, Kuromi (ok), 06:32, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Стандартный "привет" от воблы пиратским установкам. Они никогда не стремились упрощать жизнь пользователям.
    Кстати, приколы у них обоюдоострые, т.к. обновление Воблы - это та еще головная боль, т.к. все устанавливают моды, а моды часто заброшены и не совместимы с поздними версиями движка, да и при обновлении все моды придется чинить руками, автоматизации как минимум раньше не было.
     
     
  • 3.52, Аноним84701 (ok), 12:07, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Стандартный "привет" от воблы пиратским установкам.

    ЕМНИП, апдейты c v3 на v4 вполне бодро продавали еще в ~2016.
    А основательно забили на обновления безопасности для четвертой ветки еще в середине прошлого года.

     
     
  • 4.60, Kuromi (ok), 16:50, 26/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Стандартный "привет" от воблы пиратским установкам.
    > ЕМНИП, апдейты c v3 на v4 вполне бодро продавали еще в ~2016.
    > А основательно забили на обновления безопасности для четвертой ветки еще в середине
    > прошлого года.

    А что вы хотите, разрабы Воблы ничего кроме Воблы не производили. С приходом социалочек их рынок резко сократился. Все кому нужны форумы, скажем разработчки\производители для связи с поьзователями либо используют глубоко кастомизированные версии\самописные движки под свои нужды либо держат вяло просматриваемвый форум на бесплатном движке. А массовый клиент ушел, все.
    Не удивлюсь если компания потихоньку распускает персонал и там просто некому особо что-то чинить.

     

  • 1.51, Аноним (51), 10:36, 26/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ещё в нулевых эксплуатировал детские SQL-инъекции в vBulletin. Похоже, с тех пор ничего не поменялось.
     
  • 1.65, Онаним (?), 22:57, 27/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    --- допускает передачу произвольного shell-кода через параметр "widgetConfig[code]" (просто передаётся код для запуска, даже не нужно ничего экранировать)

    --- eval($code)

    Это, простите, не "уязвимость". Это чистый и 100% бэкдор.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру