Die Schwachstelle erlaubt eine Remotecodeausführung ohne vorherige Authentifizierung. Ein Angreifer kann Shell-Befehle auf einem Server ausführen. Ein unbekannter Sicherheitsforscher macht alle Details der Sicherheitslücke anonym auf einer Mailing-Liste öffentlich.

Ein anonymer Sicherheitsforscher hat auf Full Disclosure alle Details zu einer Sicherheitslücke in der Foren-Software vBulletin veröffentlicht. Ein Angreifer ist unter Umständen in der Lage, Shell-Befehle auf dem Server auszuführen, auf dem die vBulletin-Software läuft. Sicherheitsexperten befürchten nun, dass die Preisgabe der Schwachstelle eine Welle von Hackerangriffen auf Internet-Foren nach sich ziehen könnte.

Einer Analyse des veröffentlichten Proof-of-Concept-Codes zufolge benötigt ein Angreifer kein Konto für das von ihm ausgewählte Forum. Die Remotecodeausführung erfolgt also vor einer möglichen Authentifizierung, was als besonders kritisch eingestuft wird.

Unklar ist derzeit noch, ob der anonyme Forscher zuvor den Herausgeber von vBulletin kontaktiert hat oder nicht. Üblicherweise geben Forscher den Anbietern von Software mehrere Woche oder auch Monate Zeit, einen Fix bereitzustellen, bevor sie eine Schwachstelle beispielsweise auf Full Disclosure öffentlich machen. Da der Forscher für seinen Eintrag in der Mailing-Liste einen anonymen E-Mail-Dienst nutze, ist es auch nicht möglich, ihn zu kontaktieren.

vBulletin ist die wohl beliebteste Software zum Betreiben von Internetforen. W3Techs schätzt, dass rund 0,1 Prozent aller Websites über eine vBulletin-Forum verfügen. Insgesamt könnten somit Zehntausende Websites anfällig sein. vBulletin selbst nennt unter anderem Steam, EA, Zynga, Sony oder Sportmannschaften wie die Houstan Texans und die Denver Broncos als Kunden.

Allerdings wird die Zahl der Betroffenen dadurch eingeschränkt, dass der Fehler nur in der Version 5.x von vBulletin steckt. Ältere Versionen sollten also, vorausgesetzt es wurden alle verfügbaren Patches installiert, sicher sein.

Das auf den Ankauf von Sicherheitslücken spezialisierte Unternehmen Zerodium ist übrigens auch an Schwachstellen in vBulletin informiert. Für einen Bug wie die vorliegende Zero-Day-Lücke hätte der anonyme Forscher von Zerodium bis zu 10.000 Dollar erhalten. Da auch Untergrundforen im Dark Web vBulletin nutzen, haben vor allem Strafverfolgungsbehörden ein Interesse an Lücken in der Forensoftware.

Quelle: Zero-Day-Lücke in vBulletin betrifft Zehntausende Internet-Foren | ZDNet.de

Forensoftware vBulletin: Patch schließt kritische Zero-Day-Lücke

Die Entwickler von vBulletin haben Patches bereitgestellt, die eine als kritisch eingestufte Sicherheitslücke schließen. Forenbetreiber sollten jetzt handeln.

Nachdem ein Sicherheitsforscher Anfang vergangener Woche auf eine Zero-Day-Lücke in der Foren-Software vBulletin hinwies, hat das Entwicklerteam nun Patches veröffentlicht. Wer ein Forum auf vBulletin-Basis (Versionsstrang 5.5.x) betreibt, sollte zügig updaten.

In einem Post im vBulletin-Forum teilten die Entwickler mit, dass Patches für die Versionen 5.5.2, 5.5.3 und 5.5.4 bereitstehen. Wer eine 5.5.x-er Version vor 5.5.2 nutze, solle mindestens auf 5.5.2 (inkl. aktuellem Patch) upgraden. Die Patches stehen in vBulletins" Member's Area" zum Download bereit. Die vBulletin-Cloud- Sites wurden laut den Entwicklern bereits ausnahmslos gepatcht.

Angriffe in freier Wildbahn
Als heise Security am gestrigen Mittwoch über die Sicherheitslücke berichtete, war ihr noch keine CVE-Nummer zugeordnet. Mittlerweile trägt sie die Kennung CVE-2019-16759; ihr CVSS-v3-Score beträgt 9.8 ("Critical").

Über Exploits in freier Wildbahn war zunächst nichts bekannt. Die IT-News-Website Bleeping Computer wies allerdings zwischenzeitlich in einer Meldung darauf hin, dass vBulletin-Nutzer im (nicht-öffentlichen) vBulletin-Forum von – teils erfolgreichen – Angriffen auf die Software berichteten. Umso wichtiger ist es, diese so zeitnah wie möglich zu aktualisieren.

Quelle: Forensoftware vBulletin: Patch schließt kritische Zero-Day-Lücke | heise online

Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht

Auf Patch-Level 1 folgte zügig Patch-Level 2 für die Foren-Software. Angesichts jüngst erfolgter Angriffe auf vBulletin-Foren sollte man zügig updaten.

Nachdem die Entwickler der Forensoftware vBulletin erst kürzlich eine gefährliche Zero-Day-Lücke schlossen, haben sie nun noch einmal nachgebessert: Neue Patches beseitigen (je nach bisher verwendeter Version) diverse weitere Sicherheitslücken, von denen mehrere aus der Ferne ausnutzbar sind.

Wie einem Beitrag der Entwickler im vBulletin-Forum zu entnehmen ist, heben die Aktualisierungen die vBulletin-Versionen 5.5.2, 5.5.3 und 5.5.4 jeweils auf den Patch-Level 2. Nutzer einer Software-Version vor 5.5.2 sollten laut der Entwickler zunächst schnellstmöglich mindestens auf 5.5.2 upgraden. Für den aktuellen Patch-Download verweisen sie auf die "Member's Area" der vBulletin-Website.

Proof-of-Concept-Code öffentlich verfügbar
Welche und wie viele Sicherheitslücken das neue Patch-Level 2 konkret beseitigt, ist dem Forenbeitrag nicht zu entnehmen. Das CERT-Bund verweist aber in einer aktuellen Kurzinfo auf die Lücken CVE-2019-17130, CVE-2019-17131 und CVE-2019-17132.

Erstere betraf offenbar die Behandlung externer URLs aus bestimmten Verzeichnissen heraus; das Patch-Level 2 beziehungsweise die (bislang nur als Alpha verfügbare) Version 5.5.5 bessern hier nach. Die zweite Lücke ermöglichte so genanntes "Clickjacking" – allerdings wohl nur in vBulletin-Versionen vor 5.4.4.

Deutlich mehr Informationen, inklusive Proof-of-Concept (PoC)-Code, gibt es zu CVE-2019-17132. Die Lücke ist remote ausnutzbar, betrifft alle vBulletin-Versionen (vor Patch-Level 2) gleichermaßen und ermöglicht Angreifern unter bestimmten Voraussetzungen das Injizieren und Ausführen beliebigen PHP-Codes im Kontext der Foren-Software. Ihr Entdecker hat darüber hinaus auch PoC-Code für eine weitere Lücke (CVE-2019-17271) veröffentlicht, die ihm selbst zufolge ebenfalls mit dem neuen vBulletin-Patch gefixt wurde.

Unbedingt zeitnah updaten
Mit dem Patch-Level 1 hatten die Forensoftware-Entwickler erst Ende vergangenen Monats eine als kritisch eingestufte Lücke geschlossen. Sie wurde aktiv ausgenutzt: Unter anderem gelang es einem Hacker, mehrere Foren des Sicherheitssoftware-Herstellers Comodo zu kapern und Daten von mindestens 170.000 Nutzern zu kopieren.

Angesichts des veröffentlichten PoC-Codes für die neuen Lücken und vBulletins wenig transparenter Patch-Politik sollten Forenbetreiber nun erst recht zügig handeln.

Quelle: Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht | heise online

Sicherheitsforscher veröffentlicht Zero-Day-Lücke in vBulletin

Er liefert zudem Beispielcode für einen Exploit. Der umgeht einen bereits im September veröffentlichten Patch für eine kritische Sicherheitslücke, die eine Remotecodeausführung erlaubt. Inzwischen steht ein neuer Patch zum Download bereit.

Der US-Sicherheitsforscher Amir Etemadieh hat eine Zero-Day-Lücke in der Forensoftware vBulletin veröffentlicht. In einem Blogeintrag stellt er zudem Beispielcode für einen Exploit zur Verfügung. Ein Angreifer kann unter Umständen ohne Authentifizierung die vollständige Kontrolle über ein VBulletin-Forum übernehmen.

Genau genommen gelang es Etemadieh, einen Patch für eine bereits im September 2019 bekannt gewordene Schwachstelle in der Forensoftware zu umgehen. CVE-2019-16759 wurde zwar innerhalb eines Tages von den vBulletin-Entwicklern beseitigt, aber offenbar nicht vollständig.

Der eigentliche Fehler steckt im Template-System von vBulletin. Er erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne. Laut Etemadieh blockiert der im letzten Jahr entwickelte Patch die Remotecodeausführung nur unzureichend. Er habe einen sehr einfachen Weg gefunden, dieselbe Schwachstelle weiterhin auszunutzen. Seine Behauptung stützt er mit Beispielcode für einen Exploit in Bash, Python und Ruby.

Gegenüber ZDNet USA erklärte der Forscher zudem, er habe vor der Veröffentlichung seines Blogeintrags das vBulletin-Team nicht informiert. Der kommerzielle Anbieter der Forensoftware, MH Sub, stand für eine Stellungnahme nicht zur Verfügung.

Schon im vergangenen Jahr hatte die Veröffentlichung der Schwachstelle trotz der prompten Reaktion der Entwickler eine Welle von Hackerangriffen auf vBulletin-Foren ausgelöst. Foren sind aufgrund der oftmals großen Mengen an Nutzerdaten ein beliebtes Ziel von Hackern.

Etemadieh nennt in seinem Blogeintrag auch einen Workaround, mit dem sich Forenbetreiber vor neuen Attacken schützen können. In den allgemeinen Einstellungen muss demnach der Punkt „PHP, statisches HTML und Ad Module Rendering deaktivieren“ ausgewählt werden.

Inzwischen steht allerdings auch ein Patch zur Verfügung. Er steht für die Version 5.60, 5.6.1 und 5.6.2 zur Verfügung. Ältere Versionen müssen laut vBulletin-Team als angreifbar angesehen werden und sollten auf die Version 5.6.2 aktualisiert werden.

Quelle: Sicherheitsforscher veröffentlicht Zero-Day-Lücke in vBulletin | ZDNet.de