Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Kritická zraniteľnosť v aplikácii vBulletin umožňuje vzdialené vykonávanie kódu bez autentifikácie

28.08.2020
Zraniteľnosť v aplikácii vBulletin je spôsobená nedostatočnou kontrolou používateľských vstupov a viaže sa na nedostatočnú záplatu staršej zraniteľnosti. Na zneužitie je potrebné poslať príkaz na renderovanie vlastnej šablóny s PHP konfiguračným kódom ktorý sa vykoná. Aplikácia vykoná príkaz aj bez autentifikácie.

 

Dôsledky

  • Vykonávanie ľubovoľného kódu

Opis činnosti
CVE-2019-16759

vBulletin je aplikácia, ktorá umožňuje spravovať fóra. vBulletin používa viac ako 100 000 stránok vrátane spoločností Fortune 500. V septembri minulého roku bola v tejto aplikácii zverejnená zraniteľnosť ktorá umožňovala vzdialene vykonať PHP príkazy na serveroch vBulletin bez prihlásenia. Táto zraniteľnosť bola spôsobená nedostatočnou kontrolou vstupu a bolo možné ju využiť poslaním kódu ako parametru pre komponent widgetConfig. Zraniteľnosť bola krátko na to opravená.

Bezpečnostný špecialista Amir Etemadieh objavil spôsob, ktorým je možné záplatu tejto zraniteľnosti obísť. vBulletin používa šablóny ktoré nie sú vytvorené v jazyku PHP ale v inom jazyku, ktorý sa najprv spracuje, vytvorí sa PHP výstup a ten sa vykoná počas fázy renderovania. Záplata umožňovala vykonanie kódu len PHP widget šablóne.

Amir použil volanie na renderovanie šablóny widget_tabbedcontainer_tab_panel ktorá dovoľuje načítanie používateľovej šablóny ako svojej detskej šablóny a jej uloženie do premennej widgetConfig. Šablóny môžu obsahovať aj podmienky pre vykonanie v poli subWidgets. V tomto prípade okrem detskej šablóny pridal Amir aj konfiguračný kód pre ňu. Tento kód sa pri renderovaní rodičovskej legitímnej šablóny vykoná.

Amir Etemadieh zverejnil zraniteľnosť bez toho, že by informoval vývojárov vBulletin. Krátko po zverejnení začali útoky. Útočilo sa aj na fórum bezpečnostnej konferencie Defcon. Tím vBulletin zverejnil rýchlu opravu, ktorá vypína PHP modul.

Zraniteľné systémy
vBulletin Connect vo všetkých verziách. Zraniteľnosť sa netýka vBulletin Cloud.

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

Rýchla záplata vyšla len pre verzie 5.6.0, 5.6.1. a 5.6.2. Staršie verzie záplatu nedostanú a preto je v ich prípade potrebná aktualizácia na vyššiu verziu. Návod na inštaláciu záplaty je na tejto adrese.

Plná záplata bude v nasledujúcej verzii 5.6.3 a vo verzii 5.6.4 sa už PHP modul nebude používať. PHP modul je možné vypnúť aj manuálne nasledujúcimi krokmi:

  1. Zapnutie debug módu
  2. Prihlásenie sa do AdminCP
  3. Zapnutie Styles Manager
  4. Otvorenie zoznamu šablón pre MASTER štýl
  5. Navigácia k Module Templates -> widget_php module
  6. Kliknutie na tlačidlo Revert

Odkazy
https://thehackernews.com/2020/08/vBulletin-vulnerability-exploit.html
https://www.bleepingcomputer.com/news/security/vbulletin-fixes-ridiculously-easy-to-exploit-zero-day-rce-bug/
https://latesthackingnews.com/2020/08/13/vbulletin-zero-day-surfaces-online-following-patch-bypass/



<< zoznam oznámení