esenfrdeitptru

Error en el módulo PHP de vBulletin se corrige, para evitar ejecución de código remoto

AS-08-2020

Fecha: 11/Agosto /2020

Autor: Lawrence Abrams

Resumen:

Se publicó un exploit de una vulnerabilidad de día cero de código de ejecución remota del software popular de foros en línea, vBulletin, el cual es utilizado por grandes marcas como Electronic Arts, Zynga, Sony, Pearl Jam, NASA, Steam, entre otras, la vulnerabilidad fue registrada como CVE-2019-16759.

Usando esta vulnerabilidad, los atacantes podrían explotar remotamente un error en el módulo PHP de vBulletin que permite ejecutar cualquier comando PHP en el servidor remoto sin iniciar sesión en el foro.

Este exploit es fácil de usar y permite a cualquier persona ejecutar comandos de forma remota utilizando un solo comando de una línea que envía una solicitud POST a un servidor vBulletin.

Solución.

Los ataques comenzaron inmediatamente luego de que el exploit fuera publicado. El parche para la vulnerabilidad CVE-2019-16759 estaba incompleto, dentro de la siguientes tres horas el sitio https://forum.defcon.org fue atacado, la solución inicial es deshabilitar el renderizado PHP, hasta que se aplique los parches correctos.

Referencias:

https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/

https://www.bleepingcomputer.com/news/security/vbulletin-fixes-ridiculously-easy-to-exploit-zero-day-rce-bug/

https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/

https://www.zdnet.com/article/security-researcher-publishes-details-and-exploit-code-for-a-vbulletin-zero-day/