An Undisclosed Critical Vulnerability Affect vBulletin Forums — Patch Now

พบช่องโหว่ vBulletin Forum ที่มีความรุนเเรงระดับ "Critical" ผู้ใช้ควรอัพเดตด่วน

โครงการ vBulletin ได้ออกประกาศแพทช์การเเก้ไขช่องโหว่ที่มีระดับความรุนเเรง "Critical" ใน vBulletin ช่องโหว่ได้รับการรายงานโดย Charles Fol วิศวกรด้านความปลอดภัยของ Ambionics Security ซึ่ง Charles จะแชร์รายละเอียดเกี่ยวกับช่องโหว่นี้ในการประชุม SSTIC infosec ที่จะจัดต้นเดือนมิถุนายนที่จะถึงนี้

ช่องโหว่ถูกติดตามและระบุเป็น CVE-2020-12720 เป็นช่องโหว่ที่เกิดจากข้อบกพร่องในการควบคุมการเข้าถึงที่ไม่ถูกต้อง ซึ่งจะส่งผลกระทบกับ vBulletin เวอร์ชันก่อน 5.5.6pl1, 5.6.0 เวอร์ชันก่อน 5.6.0pl1 และ 5.6.1 เวอร์ชันก่อน 5.6.1pl1 ทั้งนี้ผู้ใช้งาน vBulletin 5 Connect เวอร์ชันก่อนหน้า 5.5.2 ควรจะทำการอัพเดตแพตซ์เร็วที่สุด

สำหรับผู้ดูแลระบบให้ทำการดาวน์โหลดและติดตั้งแพตช์ดังนี้

vBulletin เวอร์ชันก่อน 5.5.6pl1 ให้ทำการอัพเดตแพทช์ 5.5.6 แพทช์ 1
vBulletin เวอร์ชันก่อน 5.6.0pl1 ให้ทำการอัพเดตแพทช์ 5.6.0 แพทช์ 1
vBulletin เวอร์ชันก่อน 5.6.1pl1 ให้ทำการอัพเดตแพทช์ 5.6.1 แพทช์ 1

ที่มา: thehackernews

vBulletin Releases Patch Update for New RCE and SQLi Vulnerabilities

vBulletin เปิดตัว Patch สำหรับแก้ไขช่องโหว่ RCE (การเรียกใช้ Code จากระยะไกล) CVE-2019-17132 ซึ่งมีผลกระทบต่อ vBulletin 5.5.4 และเวอร์ชั่นก่อนหน้านี้ รวมทั้งช่องโหว่ SQLi CVE-2019-17271 เป็นการเข้าถึงฐานข้อมูลของผู้ดูแลระบบที่ปกติไม่มีสิทธิ์ในการเข้าถึง

RCE เป็นช่องโหว่ในส่วนที่ใช้จัดการการร้องขอเพื่อเปลี่ยนรูปแสดงตัวตนใน Forum (avatar) แต่การโจมตีช่องโหว่จะเกิดขึ้นได้เมื่อมีการเปิดใช้งาน "Save Avatars as Files" ส่งผลให้ผู่ไม่หวังดีสามารถสั่งรัน PHP Code ที่เป็นอันตรายได้จากระยะไกล และได้มีการปล่อยชุดคำสั่งสำหรับทดสอบช่องโหว่ (PoC Exploit Code) ดังกล่าวออกมาแล้ว

SQLi เป็นสองช่องโหว่ที่เกิดจากการทำ SQL Injection ส่งผลให้ผู้ดูแลระบบที่ไม่มีสิทธิ์ในการเข้าถึงฐานข้อมูล สามารถเข้าไปดูข้อมูลสำคัญได้ อย่างไรก็ตามการโจมตีผ่านช่องโหว่นี้จำเป็นจะต้องได้รับสิทธิ์บางอย่างเพิ่มเติมก่อน ดังนั้นจึงไม่ใช่ช่องโหว่ที่จะสามารถถูกโจมตีได้อย่างง่ายดาย

มีการออกแพทช์เพื่อแก้ไขช่องโหว่ไปเมื่อวันที่ 30 กันยาที่ผ่านมา โดยมีการอัพเดตเป็นเวอร์ชั่นใหม่ ดังนี้
vBulletin 5.5.4 Patch Level 2
vBulletin 5.5.3 Patch Level 2
vBulletin 5.5.2 Patch Level 2
แนะนำให้ผู้ดูแลระบบทำการอัพเดตเพื่อป้องกันไม่ให้ข้อมูลผู้ใช้งานของตนเอง ตกไปอยู่ในมือผู้ไม่หวังดี

ที่มา: thehackernews.

ระวัง! มีคนปล่อยโค้ดโจมตีช่องโหว่ RCE ใน vBulletin ยังไม่มีแพตช์

 

พบการปล่อยโค้ดสำหรับโจมตีช่องโหว่ Zero-day แบบรันคำสั่งจากระยะไกล หรือ remote code execution (RCE) ช่องโหว่นี้เป็นช่องโหว่ในซอฟต์แวร์ vBulletin ซึ่งเป็นซอฟต์แวร์สำหรับทำเว็บบอร์ดที่ใช้กันอย่างแพร่หลาย กระทบ vBulletin รุ่น 5.0.0 ถึงรุ่นล่าสุด 5.5.4 แต่ไม่กระทบรุ่นที่เก่ากว่า ได้รับ CVE-2019-16759

นักวิจัยด้านความปลอดภัยหลายคนได้ทำการพิสูจน์โค้ดการโจมตีดังกล่าวแล้วพบว่าสามารถโจมตีได้จริง และยังไม่พบวิธีป้องกันความเสี่ยงอย่างเป็นทางการ ผู้ดูแลเว็บไซต์ที่ใช้ vBulletin ควรเฝ้าระวังความเสี่ยงจากการโจมตีดังกล่าว

ที่มา : thehackernews และ nist

vBulletin to Patch Disclosed Code Execution, File Deletion Flaws

พบช่องโหว่ร้ายแรง 2 ช่องโหว่ใน vBulletin เวอร์ชัน 5 ถูกเปิดเผยโดยนักวิจัยด้าน Security จาก TRUEL IT ประเทศอิตาลี และผู้เชี่ยวชาญที่ไม่เอ่ยนาม จาก SecuriTeam

ช่องโหว่แรก(vBulletin routestring Unauthenticated Remote Code Execution) เป็นช่องโหว่ของ Local File Inclusion สามารถอ่านไฟล์ใดๆ ในระบบได้ และนำไปสู่การโจมตีแบบ Remote Code Execution สามารถสั่งรันคำสั่งที่เป็นอันตรายได้ ผ่านการส่งคำสั่ง GET โดยมีผลกระทบกับเว็บเซิฟเวอร์ที่ติดตั้ง vBulletin บน Windows เท่านั้น

ช่องโหว่ที่สอง(vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion) ได้รับรหัส CVE-2017-17672 เป็นปัญหา Deserialization ทำให้ผู้โจมตีที่ไม่ได้ทำการยืนยันตัวตน สามารถลบไฟล์และสั่งรันโค้ดได้

มีการรายงานช่องโหว่ให้นักพัฒนาซอฟต์แวร์ vBulletin ตั้งแต่วันที่ 21 พฤศจิกายน 2017 ที่ผ่านมาแต่ก็ยังไม่ได้รับคำตอบใด ๆ และยังไม่มี Patch ใดๆออกมา โดยทางบริษัท I-SECURE ได้ทำการ Custom Signature ขึ้นมาเองสำหรับป้องกันการโจมตีนี้ และได้ Apply ให้กับเว็บไซต์ที่อยู่ภายใต้ Cloud WAF ของ I-SECURE เรียบร้อยแล้ว

ที่มา: securityweek
ที่มา: thehackernews

The official website of the popular vBulletin forum has been hacked

เมื่อวันอาทิตย์ที่ผ่านมา (01/11/2015) เว็บไซต์ vBulletin.com ถูกแฮกเกอร์ใช้นามแฝง Coldzer0 โจมตีด้วย 0day และเปลี่ยนหน้าเว็บไซต์เป็นคำว่า Hacked by Coldzer0

หลังจากนั้นไม่นานทางเว็บไซต์ vBulletin.