Scoperta una vulnerabilità in vBulletin sfruttata da almeno tre anni

Lunedì scorso un ricercatore anonimo ha pubblicato il codice exploit utilizzabile per aggredire le installazioni della nota piattaforma vBulletin (vedere questo intervento).
Il codice condiviso online può essere sfruttato per eseguire codice remoto lato server sui sistemi che utilizzano vBulletin nelle versioni comprese tra la 5.0.0 e la 5.5.4.

Ryan Seguin, ricercatore presso Tenable, ha confermato che si tratta di un’aggressione – peraltro semplicissima da porre in essere – che porta all’iniezione di codice arbitrario. vBulletin gestisce la richiesta non autorizzata e fornisce una risposta all’attaccante. Non solo. Se quest’ultimo inviasse un comando da eseguire a livello di shell Linux, vBulletin provvederà ad avviarlo indipendentemente dai permessi assegnati lato server alla piattaforma.

Secondo gli esperti, i criminali informatici starebbero facendo attivamente uso di botnet per gestire da remoto i vari server precedentemente aggrediti e infettati.

Gli sviluppatori di vBulletin si sono immediatamente attivati per rilasciare un aggiornamento correttivo ufficiale (vedere questa pagina) ma secondo Chaouki Bekrar, fondatore e CEO di Zerodium, la grave vulnerabilità presente in vBulletin era già conosciuta e sfruttata da almeno 3 anni.

The recent vBulletin pre-auth RCE 0day disclosed by a researcher on full-disclosure looks like a bugdoor, a perfect candidate for @PwnieAwards 2020. Easy to spot and exploit.

Many researchers were selling this exploit for years. @Zerodium customers were aware of it since 3 years

— Chaouki Bekrar (@cBekrar) September 25, 2019

Su GitHub è stato addirittura pubblicato uno script che, facendo uso del motore Shodan (Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti), trova le istanze di vBulletin vulnerabili.