L’allerta era stato lanciato a fine agosto scorso dagli sviluppatori di vBulletin, una piattaforma commerciale che consente di allestire rapidamente un forum e creare comunità online. “Nelle versioni 4.1+ e 5+ di vBulletin è stato scoperto un potenziale vettore d’attacco“, si leggeva in una nota ufficiale. “(…) Per evitare di correre rischi, suggeriamo di eliminare le directory d’installazione di vBulletin dai vostri server (/install/
e /core/install
a seconda della versione della piattaforma in uso, n.d.r.). “Le versioni di vBulletin 3.x e quelle antecedenti alla 4.1 non risultano affette dal problema di sicurezza. Come misura precauzionale, tuttavia, è possibile cancellare anche in questi casi le directory d’installazione“.
Molti webmaster non avrebbero seguito il consiglio di vBulletin ed i loro forum sarebbero stati attaccati proprio in queste ore. Gli esperti di Imperva parlano di un’aggressione su larga scala che sarebbe stata sferrata nei confronti di oltre 35.000 forum basati su vBulletin.
I tecnici di Imperva, dopo una breve indagine, sono subito riusciti ad individuare uno strumento automatizzato che consente ad un malintenzionato di aggredire qualunque forum vBulletin vulnerabile attivando un account dotato di diritti amministrativi: basta digitare l’URL della pagina da prendere di mira e l’ID del cliente vBulletin, facilmente reperibile.
Una semplice ricerca su Google mostra quali e quanti siti web sono già stati presi di mira nell’ambito dell'”attacco globale” (per precauzione, suggeriamo di non visitare le pagine proposte).
Secondo Imperva l’attacco sarebbe stato ben orchestrato: per essere condotto in porto in così breve tempo, gli aggressori devono aver utilizzato una batteria di computer istruiti allo scopo. L’attività di individuazione dei siti web vulnerabili, infatti, non può essere banalmente svolta in un periodo molto contenuto.
I malintenzionati devono quindi aver effettuato una ricerca dei possibili bersagli attraverso Google utilizzando però più macchine diverse e diversi indirizzi IP.