นักวิจัยด้านความปลอดภัย Amir Etemadieh จาก Austin-based ได้ทำการเผยแพร่รายละเอียดทางเทคนิคและโค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ Zero-day การเรียกใช้รหัสระยะไกลใน vBulletin
ช่องโหว่ที่ได้รับการเปิดเผยนี้เป็นช่องโหว่ใหม่ใช้สำหรับทำการ Bypass เเพตซ์ความปลอดภัยช่องโหว่ CVE-2019-16759 ที่ได้รับการเปิดเผยมาแล้วในเดือนกันยายน 2019 ซึ่งช่องโหว่ CVE-2019-16759 จะอนุญาตให้ผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในระบบเทมเพลตของ vBulletin เพื่อเรียกใช้โค้ดที่เป็นอันตรายและเข้ายึดฟอรั่มโดยไม่จำเป็นต้องตรวจสอบสิทธิ์และได้รับการเเพตซ์เเก้ไขช่องโหว่ไปแล้ว
Etemadieh อธิบายว่าช่องโหว่ที่เขาได้ทำการเผยเเพร่ต่อสาธารณะนี้เกิดจากการล้มเหลวและการเเก้ไขช่องโหว่ไม่ถูกจุดของ vBulletin และใช้เวลาในการเเก้ไขช่องโหว่นี้นานกว่าหนึ่งปี สิ่งนี้จึงทำให้เขารู้สึกการเปิดเผยข้อมูลทั้งหมดเป็นทางออกที่ดีเพื่อจะช่วยให้เร่งสู่การเเก้ไข ซึ่ง PoC ที่ได้รับเปิดเผยนี้จะกระทบกับ vBulletin เวอร์ชั่นก่อน 5.6.2
ทีมงาน vBulletin ได้เเนะนำให้ผู้ใช้งานและผู้ดูแลระบบควรรีบทำการอัปเกรด vBulletin เป็นเวอร์ชั่น 5.6.2 โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จาก PoC ที่ถูกเปิดเผยทำการโจมตีระบบ ส่วนสำหรับผู้ดูแลที่ไม่สามารถทำการอัปเกรด vBulletin ได้ในขณะนี้ให้ทำการบรรเทาการใช้ช่องโหว่โดยการตั้งค่าดังนี้
- ไปที่ vBulletin administrator control panel
- คลิก "Setting" ในเมนูทางด้านซ้ายจากนั้นคลิก "Option" ในเมนู Drop down
- จากนั้นเลือก “General Setting” จากนั้นคลิก “Edit Setting”
- จากนั้นมองหา “Disable PHP, Static HTML และ Ad Module rendering” ให้ทำการเซตเป็น “Yes”
- กด “Save”
ที่มา: