vBulletin to Patch Disclosed Code Execution, File Deletion Flaws

พบช่องโหว่ร้ายแรง 2 ช่องโหว่ใน vBulletin เวอร์ชัน 5 ถูกเปิดเผยโดยนักวิจัยด้าน Security จาก TRUEL IT ประเทศอิตาลี และผู้เชี่ยวชาญที่ไม่เอ่ยนาม จาก SecuriTeam

ช่องโหว่แรก(vBulletin routestring Unauthenticated Remote Code Execution) เป็นช่องโหว่ของ Local File Inclusion สามารถอ่านไฟล์ใดๆ ในระบบได้ และนำไปสู่การโจมตีแบบ Remote Code Execution สามารถสั่งรันคำสั่งที่เป็นอันตรายได้ ผ่านการส่งคำสั่ง GET โดยมีผลกระทบกับเว็บเซิฟเวอร์ที่ติดตั้ง vBulletin บน Windows เท่านั้น

ช่องโหว่ที่สอง(vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion) ได้รับรหัส CVE-2017-17672 เป็นปัญหา Deserialization ทำให้ผู้โจมตีที่ไม่ได้ทำการยืนยันตัวตน สามารถลบไฟล์และสั่งรันโค้ดได้

มีการรายงานช่องโหว่ให้นักพัฒนาซอฟต์แวร์ vBulletin ตั้งแต่วันที่ 21 พฤศจิกายน 2017 ที่ผ่านมาแต่ก็ยังไม่ได้รับคำตอบใด ๆ และยังไม่มี Patch ใดๆออกมา โดยทางบริษัท I-SECURE ได้ทำการ Custom Signature ขึ้นมาเองสำหรับป้องกันการโจมตีนี้ และได้ Apply ให้กับเว็บไซต์ที่อยู่ภายใต้ Cloud WAF ของ I-SECURE เรียบร้อยแล้ว

ที่มา: securityweek
ที่มา: thehackernews