Un investigador de seguridad reveló hoy públicamente detalles y código de explotación de prueba de concepto para una vulnerabilidad crítica de ejecución remota de código de día cero sin parches que afecta al ampliamente utilizado software de foros de Internet vBulletin que ya está bajo explotación activa en la naturaleza.
vBulletin es un paquete de software de foro de Internet patentado ampliamente utilizado basado en el servidor de base de datos PHP y MySQL que funciona con más de 100.000 sitios web en Internet, incluidos los sitios web y foros de empresas Fortune 500 y Alexa Top 1 millón.
En septiembre del año pasado, un investigador de seguridad anónimo separado reveló públicamente una vulnerabilidad de RCE de día cero en vBulletin , identificada como CVE-2019-16759, y recibió una calificación de gravedad crítica de 9,8, lo que permite a los atacantes ejecutar comandos maliciosos en el servidor remoto sin necesidad de autenticación para iniciar sesión en el foro.
Un día después de la divulgación de CVE-2019-16759, el equipo de vBulletin lanzó parches de seguridad que resolvieron el problema, pero resulta que el parche fue insuficiente para bloquear la explotación de la falla.
Omitir el parche para la falla CVE-2019-16759 RCE
El nuevo día cero, descubierto y publicado públicamente por el investigador de seguridad Amir Etemadieh (Zenofex), es un bypass para CVE-2019-16759. La falla no recibió ningún identificador CVE en el momento en que se publicó esta publicación de blog.
La última vulnerabilidad de día cero debe considerarse un problema grave porque se puede explotar de forma remota y no requiere autenticación. Se puede explotar fácilmente utilizando un código de explotación de un solo comando de una línea que puede resultar en la ejecución remota de código en el último software vBulletin.
Según el investigador, el parche para CVE-2019-16759 no resolvió los problemas presentes en la plantilla «widget_tabbedcontainer_tab_panel», es decir, su capacidad para cargar una plantilla secundaria controlada por el usuario y cargar la plantilla secundaria, toma un valor de un valor nombrado por separado y lo coloca en una variable llamada «widgetConfig», lo que efectivamente permite al investigador omitir el parche para CVE-2019-16759.
El investigador también publicó tres cargas útiles de exploits de prueba de concepto escritas en varios idiomas, incluidos Bash, Python y Ruby.
Los piratas informáticos explotan activamente vBulletin Zero-Day
Poco después del lanzamiento del código de explotación PoC, los piratas informáticos comenzaron a explotar el día cero para apuntar a los sitios vBulletin .
Según el creador de las conferencias de seguridad de DefCon y Black Hat, Jeff Moss, el foro de DefCon también fue atacado con el exploit solo 3 horas después de que se revelara la falla.
«Un nuevo VBulletin Zero Day fue lanzado ayer por @Zenofex que reveló que el parche CVE-2019-16759 estaba incompleto; en tres horas, https://forum.defcon.org fue atacado, pero estábamos listos para ello. Desactive la representación PHP para ¡protéjase hasta que lo remenden! «, dijo Moss .
Parche oficial de vBulletin y mitigaciones
El equipo de vBulletin respondió a la falla de día cero publicada públicamente de inmediato y lanzó un nuevo parche de seguridad que deshabilita el módulo PHP en el software vBulletin para abordar el problema, asegurando a sus usuarios que se eliminará por completo en la versión futura de vBulletin 5.6.4 .
Los mantenedores del foro aconsejaron a los desarrolladores que consideren vulnerables todas las versiones anteriores de vBulletin y actualicen sus sitios para ejecutar vBulletin 5.6.2 lo antes posible. Los desarrolladores pueden consultar Descripción general rápida: Actualización de vBulletin Connect en los foros de soporte para obtener más información sobre la actualización.
Aunque The Hacker News recomienda encarecidamente a los usuarios y desarrolladores que actualicen sus foros a la nueva versión de vBulletin, aquellos que no puedan actualizar inmediatamente pueden mitigar el nuevo día cero desactivando los widgets PHP dentro de sus foros, para hacer esto:
- Vaya al panel de control del administrador de vBulletin y haga clic en «Configuración» en el menú de la izquierda, luego en «Opciones» en el menú desplegable.
- Elija «Configuración general» y luego haga clic en «Editar configuración».
- Busque «Deshabilitar PHP, HTML estático y la representación del módulo de anuncios», establezca en «Sí».
- Clic en Guardar»
Tenga en cuenta que estos cambios podrían romper algunas funciones, pero mitigarán el problema hasta que planee aplicar los parches de seguridad oficiales.