นักวิจัยด้านความปลอดภัย Amir Etemadieh จาก Austin-based ได้ทำการเผยแพร่รายละเอียดทางเทคนิคและโค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ Zero-day การเรียกใช้รหัสระยะไกลใน vBulletin

ช่องโหว่ที่ได้รับการเปิดเผยนี้เป็นช่องโหว่ใหม่ใช้สำหรับทำการ Bypass เเพตซ์ความปลอดภัยช่องโหว่ CVE-2019-16759 ที่ได้รับการเปิดเผยมาแล้วในเดือนกันยายน 2019 ซึ่งช่องโหว่ CVE-2019-16759 จะอนุญาตให้ผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในระบบเทมเพลตของ vBulletin เพื่อเรียกใช้โค้ดที่เป็นอันตรายและเข้ายึดฟอรั่มโดยไม่จำเป็นต้องตรวจสอบสิทธิ์และได้รับการเเพตซ์เเก้ไขช่องโหว่ไปแล้ว

Etemadieh อธิบายว่าช่องโหว่ที่เขาได้ทำการเผยเเพร่ต่อสาธารณะนี้เกิดจากการล้มเหลวและการเเก้ไขช่องโหว่ไม่ถูกจุดของ vBulletin และใช้เวลาในการเเก้ไขช่องโหว่นี้นานกว่าหนึ่งปี สิ่งนี้จึงทำให้เขารู้สึกการเปิดเผยข้อมูลทั้งหมดเป็นทางออกที่ดีเพื่อจะช่วยให้เร่งสู่การเเก้ไข ซึ่ง PoC ที่ได้รับเปิดเผยนี้จะกระทบกับ vBulletin เวอร์ชั่นก่อน 5.6.2

ทีมงาน vBulletin ได้เเนะนำให้ผู้ใช้งานและผู้ดูแลระบบควรรีบทำการอัปเกรด vBulletin เป็นเวอร์ชั่น 5.6.2 โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จาก PoC ที่ถูกเปิดเผยทำการโจมตีระบบ ส่วนสำหรับผู้ดูแลที่ไม่สามารถทำการอัปเกรด vBulletin ได้ในขณะนี้ให้ทำการบรรเทาการใช้ช่องโหว่โดยการตั้งค่าดังนี้

ไปที่ vBulletin administrator control panel
คลิก "Setting" ในเมนูทางด้านซ้ายจากนั้นคลิก "Option" ในเมนู Drop down
จากนั้นเลือก “General Setting” จากนั้นคลิก “Edit Setting”
จากนั้นมองหา “Disable PHP, Static HTML และ Ad Module rendering” ให้ทำการเซตเป็น “Yes”
กด “Save”

ที่มา:

bleepingcomputer.

พบช่องโหว่ vBulletin Forum ที่มีความรุนเเรงระดับ "Critical" ผู้ใช้ควรอัพเดตด่วน

โครงการ vBulletin ได้ออกประกาศแพทช์การเเก้ไขช่องโหว่ที่มีระดับความรุนเเรง "Critical" ใน vBulletin ช่องโหว่ได้รับการรายงานโดย Charles Fol วิศวกรด้านความปลอดภัยของ Ambionics Security ซึ่ง Charles จะแชร์รายละเอียดเกี่ยวกับช่องโหว่นี้ในการประชุม SSTIC infosec ที่จะจัดต้นเดือนมิถุนายนที่จะถึงนี้

ช่องโหว่ถูกติดตามและระบุเป็น CVE-2020-12720 เป็นช่องโหว่ที่เกิดจากข้อบกพร่องในการควบคุมการเข้าถึงที่ไม่ถูกต้อง ซึ่งจะส่งผลกระทบกับ vBulletin เวอร์ชันก่อน 5.5.6pl1, 5.6.0 เวอร์ชันก่อน 5.6.0pl1 และ 5.6.1 เวอร์ชันก่อน 5.6.1pl1 ทั้งนี้ผู้ใช้งาน vBulletin 5 Connect เวอร์ชันก่อนหน้า 5.5.2 ควรจะทำการอัพเดตแพตซ์เร็วที่สุด

สำหรับผู้ดูแลระบบให้ทำการดาวน์โหลดและติดตั้งแพตช์ดังนี้

vBulletin เวอร์ชันก่อน 5.5.6pl1 ให้ทำการอัพเดตแพทช์ 5.5.6 แพทช์ 1
vBulletin เวอร์ชันก่อน 5.6.0pl1 ให้ทำการอัพเดตแพทช์ 5.6.0 แพทช์ 1
vBulletin เวอร์ชันก่อน 5.6.1pl1 ให้ทำการอัพเดตแพทช์ 5.6.1 แพทช์ 1

ที่มา: thehackernews

vBulletin เปิดตัว Patch สำหรับแก้ไขช่องโหว่ RCE (การเรียกใช้ Code จากระยะไกล) CVE-2019-17132 ซึ่งมีผลกระทบต่อ vBulletin 5.5.4 และเวอร์ชั่นก่อนหน้านี้ รวมทั้งช่องโหว่ SQLi CVE-2019-17271 เป็นการเข้าถึงฐานข้อมูลของผู้ดูแลระบบที่ปกติไม่มีสิทธิ์ในการเข้าถึง

RCE เป็นช่องโหว่ในส่วนที่ใช้จัดการการร้องขอเพื่อเปลี่ยนรูปแสดงตัวตนใน Forum (avatar) แต่การโจมตีช่องโหว่จะเกิดขึ้นได้เมื่อมีการเปิดใช้งาน "Save Avatars as Files" ส่งผลให้ผู่ไม่หวังดีสามารถสั่งรัน PHP Code ที่เป็นอันตรายได้จากระยะไกล และได้มีการปล่อยชุดคำสั่งสำหรับทดสอบช่องโหว่ (PoC Exploit Code) ดังกล่าวออกมาแล้ว

SQLi เป็นสองช่องโหว่ที่เกิดจากการทำ SQL Injection ส่งผลให้ผู้ดูแลระบบที่ไม่มีสิทธิ์ในการเข้าถึงฐานข้อมูล สามารถเข้าไปดูข้อมูลสำคัญได้ อย่างไรก็ตามการโจมตีผ่านช่องโหว่นี้จำเป็นจะต้องได้รับสิทธิ์บางอย่างเพิ่มเติมก่อน ดังนั้นจึงไม่ใช่ช่องโหว่ที่จะสามารถถูกโจมตีได้อย่างง่ายดาย

มีการออกแพทช์เพื่อแก้ไขช่องโหว่ไปเมื่อวันที่ 30 กันยาที่ผ่านมา โดยมีการอัพเดตเป็นเวอร์ชั่นใหม่ ดังนี้
vBulletin 5.5.4 Patch Level 2
vBulletin 5.5.3 Patch Level 2
vBulletin 5.5.2 Patch Level 2
แนะนำให้ผู้ดูแลระบบทำการอัพเดตเพื่อป้องกันไม่ให้ข้อมูลผู้ใช้งานของตนเอง ตกไปอยู่ในมือผู้ไม่หวังดี

ที่มา: thehackernews.

 

พบการปล่อยโค้ดสำหรับโจมตีช่องโหว่ Zero-day แบบรันคำสั่งจากระยะไกล หรือ remote code execution (RCE) ช่องโหว่นี้เป็นช่องโหว่ในซอฟต์แวร์ vBulletin ซึ่งเป็นซอฟต์แวร์สำหรับทำเว็บบอร์ดที่ใช้กันอย่างแพร่หลาย กระทบ vBulletin รุ่น 5.0.0 ถึงรุ่นล่าสุด 5.5.4 แต่ไม่กระทบรุ่นที่เก่ากว่า ได้รับ CVE-2019-16759

นักวิจัยด้านความปลอดภัยหลายคนได้ทำการพิสูจน์โค้ดการโจมตีดังกล่าวแล้วพบว่าสามารถโจมตีได้จริง และยังไม่พบวิธีป้องกันความเสี่ยงอย่างเป็นทางการ ผู้ดูแลเว็บไซต์ที่ใช้ vBulletin ควรเฝ้าระวังความเสี่ยงจากการโจมตีดังกล่าว

ที่มา : thehackernews และ nist

พบช่องโหว่ร้ายแรง 2 ช่องโหว่ใน vBulletin เวอร์ชัน 5 ถูกเปิดเผยโดยนักวิจัยด้าน Security จาก TRUEL IT ประเทศอิตาลี และผู้เชี่ยวชาญที่ไม่เอ่ยนาม จาก SecuriTeam

ช่องโหว่แรก(vBulletin routestring Unauthenticated Remote Code Execution) เป็นช่องโหว่ของ Local File Inclusion สามารถอ่านไฟล์ใดๆ ในระบบได้ และนำไปสู่การโจมตีแบบ Remote Code Execution สามารถสั่งรันคำสั่งที่เป็นอันตรายได้ ผ่านการส่งคำสั่ง GET โดยมีผลกระทบกับเว็บเซิฟเวอร์ที่ติดตั้ง vBulletin บน Windows เท่านั้น

ช่องโหว่ที่สอง(vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion) ได้รับรหัส CVE-2017-17672 เป็นปัญหา Deserialization ทำให้ผู้โจมตีที่ไม่ได้ทำการยืนยันตัวตน สามารถลบไฟล์และสั่งรันโค้ดได้

มีการรายงานช่องโหว่ให้นักพัฒนาซอฟต์แวร์ vBulletin ตั้งแต่วันที่ 21 พฤศจิกายน 2017 ที่ผ่านมาแต่ก็ยังไม่ได้รับคำตอบใด ๆ และยังไม่มี Patch ใดๆออกมา โดยทางบริษัท I-SECURE ได้ทำการ Custom Signature ขึ้นมาเองสำหรับป้องกันการโจมตีนี้ และได้ Apply ให้กับเว็บไซต์ที่อยู่ภายใต้ Cloud WAF ของ I-SECURE เรียบร้อยแล้ว

ที่มา: securityweek
ที่มา: thehackernews

เมื่อวันอาทิตย์ที่ผ่านมา (01/11/2015) เว็บไซต์ vBulletin.com ถูกแฮกเกอร์ใช้นามแฝง Coldzer0 โจมตีด้วย 0day และเปลี่ยนหน้าเว็บไซต์เป็นคำว่า Hacked by Coldzer0

หลังจากนั้นไม่นานทางเว็บไซต์ vBulletin.