Zero-Day-Lücke in vBulletin betrifft Zehntausende Internet-Foren

  • TIPP

  • mad.de
  • 86 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Zero-Day-Lücke in vBulletin betrifft Zehntausende Internet-Foren

    Die Schwachstelle erlaubt eine Remotecodeausführung ohne vorherige Authentifizierung. Ein Angreifer kann Shell-Befehle auf einem Server ausführen. Ein unbekannter Sicherheitsforscher macht alle Details der Sicherheitslücke anonym auf einer Mailing-Liste öffentlich.

    Ein anonymer Sicherheitsforscher hat auf Full Disclosure alle Details zu einer Sicherheitslücke in der Foren-Software vBulletin veröffentlicht. Ein Angreifer ist unter Umständen in der Lage, Shell-Befehle auf dem Server auszuführen, auf dem die vBulletin-Software läuft. Sicherheitsexperten befürchten nun, dass die Preisgabe der Schwachstelle eine Welle von Hackerangriffen auf Internet-Foren nach sich ziehen könnte.

    Einer Analyse des veröffentlichten Proof-of-Concept-Codes zufolge benötigt ein Angreifer kein Konto für das von ihm ausgewählte Forum. Die Remotecodeausführung erfolgt also vor einer möglichen Authentifizierung, was als besonders kritisch eingestuft wird.

    Unklar ist derzeit noch, ob der anonyme Forscher zuvor den Herausgeber von vBulletin kontaktiert hat oder nicht. Üblicherweise geben Forscher den Anbietern von Software mehrere Woche oder auch Monate Zeit, einen Fix bereitzustellen, bevor sie eine Schwachstelle beispielsweise auf Full Disclosure öffentlich machen. Da der Forscher für seinen Eintrag in der Mailing-Liste einen anonymen E-Mail-Dienst nutze, ist es auch nicht möglich, ihn zu kontaktieren.

    vBulletin ist die wohl beliebteste Software zum Betreiben von Internetforen. W3Techs schätzt, dass rund 0,1 Prozent aller Websites über eine vBulletin-Forum verfügen. Insgesamt könnten somit Zehntausende Websites anfällig sein. vBulletin selbst nennt unter anderem Steam, EA, Zynga, Sony oder Sportmannschaften wie die Houstan Texans und die Denver Broncos als Kunden.

    Allerdings wird die Zahl der Betroffenen dadurch eingeschränkt, dass der Fehler nur in der Version 5.x von vBulletin steckt. Ältere Versionen sollten also, vorausgesetzt es wurden alle verfügbaren Patches installiert, sicher sein.

    Das auf den Ankauf von Sicherheitslücken spezialisierte Unternehmen Zerodium ist übrigens auch an Schwachstellen in vBulletin informiert. Für einen Bug wie die vorliegende Zero-Day-Lücke hätte der anonyme Forscher von Zerodium bis zu 10.000 Dollar erhalten. Da auch Untergrundforen im Dark Web vBulletin nutzen, haben vor allem Strafverfolgungsbehörden ein Interesse an Lücken in der Forensoftware.

    Quelle: Zero-Day-Lücke in vBulletin betrifft Zehntausende Internet-Foren | ZDNet.de
  • Forensoftware vBulletin: Patch schließt kritische Zero-Day-Lücke

    Die Entwickler von vBulletin haben Patches bereitgestellt, die eine als kritisch eingestufte Sicherheitslücke schließen. Forenbetreiber sollten jetzt handeln.

    Nachdem ein Sicherheitsforscher Anfang vergangener Woche auf eine Zero-Day-Lücke in der Foren-Software vBulletin hinwies, hat das Entwicklerteam nun Patches veröffentlicht. Wer ein Forum auf vBulletin-Basis (Versionsstrang 5.5.x) betreibt, sollte zügig updaten.

    In einem Post im vBulletin-Forum teilten die Entwickler mit, dass Patches für die Versionen 5.5.2, 5.5.3 und 5.5.4 bereitstehen. Wer eine 5.5.x-er Version vor 5.5.2 nutze, solle mindestens auf 5.5.2 (inkl. aktuellem Patch) upgraden. Die Patches stehen in vBulletins" Member's Area" zum Download bereit. Die vBulletin-Cloud- Sites wurden laut den Entwicklern bereits ausnahmslos gepatcht.

    Angriffe in freier Wildbahn
    Als heise Security am gestrigen Mittwoch über die Sicherheitslücke berichtete, war ihr noch keine CVE-Nummer zugeordnet. Mittlerweile trägt sie die Kennung CVE-2019-16759; ihr CVSS-v3-Score beträgt 9.8 ("Critical").

    Über Exploits in freier Wildbahn war zunächst nichts bekannt. Die IT-News-Website Bleeping Computer wies allerdings zwischenzeitlich in einer Meldung darauf hin, dass vBulletin-Nutzer im (nicht-öffentlichen) vBulletin-Forum von – teils erfolgreichen – Angriffen auf die Software berichteten. Umso wichtiger ist es, diese so zeitnah wie möglich zu aktualisieren.

    Quelle: Forensoftware vBulletin: Patch schließt kritische Zero-Day-Lücke | heise online
  • Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht

    Auf Patch-Level 1 folgte zügig Patch-Level 2 für die Foren-Software. Angesichts jüngst erfolgter Angriffe auf vBulletin-Foren sollte man zügig updaten.

    Nachdem die Entwickler der Forensoftware vBulletin erst kürzlich eine gefährliche Zero-Day-Lücke schlossen, haben sie nun noch einmal nachgebessert: Neue Patches beseitigen (je nach bisher verwendeter Version) diverse weitere Sicherheitslücken, von denen mehrere aus der Ferne ausnutzbar sind.

    Wie einem Beitrag der Entwickler im vBulletin-Forum zu entnehmen ist, heben die Aktualisierungen die vBulletin-Versionen 5.5.2, 5.5.3 und 5.5.4 jeweils auf den Patch-Level 2. Nutzer einer Software-Version vor 5.5.2 sollten laut der Entwickler zunächst schnellstmöglich mindestens auf 5.5.2 upgraden. Für den aktuellen Patch-Download verweisen sie auf die "Member's Area" der vBulletin-Website.

    Proof-of-Concept-Code öffentlich verfügbar
    Welche und wie viele Sicherheitslücken das neue Patch-Level 2 konkret beseitigt, ist dem Forenbeitrag nicht zu entnehmen. Das CERT-Bund verweist aber in einer aktuellen Kurzinfo auf die Lücken CVE-2019-17130, CVE-2019-17131 und CVE-2019-17132.

    Erstere betraf offenbar die Behandlung externer URLs aus bestimmten Verzeichnissen heraus; das Patch-Level 2 beziehungsweise die (bislang nur als Alpha verfügbare) Version 5.5.5 bessern hier nach. Die zweite Lücke ermöglichte so genanntes "Clickjacking" – allerdings wohl nur in vBulletin-Versionen vor 5.4.4.

    Deutlich mehr Informationen, inklusive Proof-of-Concept (PoC)-Code, gibt es zu CVE-2019-17132. Die Lücke ist remote ausnutzbar, betrifft alle vBulletin-Versionen (vor Patch-Level 2) gleichermaßen und ermöglicht Angreifern unter bestimmten Voraussetzungen das Injizieren und Ausführen beliebigen PHP-Codes im Kontext der Foren-Software. Ihr Entdecker hat darüber hinaus auch PoC-Code für eine weitere Lücke (CVE-2019-17271) veröffentlicht, die ihm selbst zufolge ebenfalls mit dem neuen vBulletin-Patch gefixt wurde.

    Unbedingt zeitnah updaten
    Mit dem Patch-Level 1 hatten die Forensoftware-Entwickler erst Ende vergangenen Monats eine als kritisch eingestufte Lücke geschlossen. Sie wurde aktiv ausgenutzt: Unter anderem gelang es einem Hacker, mehrere Foren des Sicherheitssoftware-Herstellers Comodo zu kapern und Daten von mindestens 170.000 Nutzern zu kopieren.

    Angesichts des veröffentlichten PoC-Codes für die neuen Lücken und vBulletins wenig transparenter Patch-Politik sollten Forenbetreiber nun erst recht zügig handeln.

    Quelle: Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht | heise online