DEF CON论坛在释放后数小时内受到攻击
一个零日Vbulletin论坛软件中的漏洞已被披露,可以利用该软件来启动远程代码执行(RCE)攻击。
Internet Brands的Vbulletin是论坛和社区软件,在其客户中计算NASA,EA,Steam和Zynga等组织。
Exploite.RS创始人Amir Etemadieh,他在手柄之下@zenofex,披露了周日的零日错误。
在一个脆弱性的技术文章,利用开发人员解释说,该问题是由失败的安全修复所引起的CVE-2019-16759。
关键旁路
影响Vbulletin 5.0至5.4并发出9.8的CVSS得分,关键漏洞允许对通过THE VBULLETIN论坛进行实体验证预验证攻击widget_rendering模板代码。
2019年9月25日发布了一个补丁程序,增加了功能以删除未允许的“注册变量”。
在Vbulletin 5.5.5中,添加了其他代码以创建冗余层,包括防止用户修改模板以错误地调用可能触发利用的功能。
但是,Etemadieh说,Vbulletin模板系统的结构允许修复程序绕过。
模板不是用PHP编写的,而是由模板引擎处理并渲染到PHP代码中,并且模板也可以嵌套在其他模板中。
当使用用户控制的子模板时,以前的补丁会遇到问题widget_tabbedContainer_tab_panel- 有能力加载子模板 - 可以绕过所有过滤设置以解决CVE-2019-16759。
总而言之,仅需一行命令行代码即可启动RCE攻击。
def con攻击
Vbulletin官方论坛是离线周一(8月10日),显示一条为“维护”道歉的消息。
杰夫·莫斯(Jeff Moss)在Twitter上说在Vbulletin漏洞披露的三个小时内,DEF CON论坛受到攻击。但是,活动团队“准备好了”。
python开发除了Bash和Ruby exploits外,还作为Vbulletin披露的一部分出版。
一个拉请求还已提交给Metasploit-Framework项目的Metasploit模块。
阅读更多剥离器警报:Stuxnet后十年,Windows打印机组件仍然是零日的操场
此外,编码员达伦·马丁(Darren Martyn)出版了vbulletin漏洞,称为vbulldozer,在github上。
Vbulldozer被描述为具有“零隐身”的“大声,不洁”的利用,是一个Python脚本,它递归地尝试将Webshells放入每个目录中以执行任意PHP代码。beplay体育能用吗
“释放我的Vbulletin研究的最好的部分是能够从中继续前进,” Etemadieh在Twitter上说。
“如果有人正在寻找更多的VB错误,我敢肯定,您可以为另一个Vbulletin RCE 0天摇动“模板树”。”
讲话每日swbeplay2018官网igEtemadieh说,他没有在披露之前警告供应商。
他说:“我觉得这是一个关键的脆弱性,他们一年前未能修补,并且我有能力发布临时修复程序,这是我最好的全面披露路线,这是最适合vbulletin的客户。”
短期缓解
作为短期修复,敦促论坛网站管理员禁用PHP小部件并通过beplay体育能用吗Vbulletin管理员控制面板渲染。
为此,用户必须转到“设置”并将“禁用PHP,静态HTML和AD模块渲染”设置为“是”。
开发人员评论说:“ [这]可能会破坏一些功能,但会使您免受攻击的安全性,直到Vbulletin释放补丁为止。”
星期一晚上和论坛访问后,vbulletin恢复了vbulletin发布一个补丁对于Vbulletin Connect版本5.6.x.
预先发行的5.6.3 Beta版本无法使用修复程序,但是计划下一个稳定版本的补丁程序。
Vbulletin团队说:“所有旧版本都应被认为是脆弱的。”“运行较旧版本的Vbulletin版本的网站需要尽快升级为Vbulletin 5.6.2。”
每日swbeplay2018官网ig已通过其他查询与Vbulletin联系,并在我们听到回来时会进行更新。
