vBulletin corrige una vulnerabilidad 0day de ejecución remota de código

En los últimos días vBulletin ha lanzado un parche de seguridad que corrige un fallo de seguridad crítico, que permite a un atacante ejecutar código remotamente en el servidor.

La vulnerabilidad de seguridad encontrada en el popular software de foros permitía a un atacante ejecutar código en el servidor con un exploit de una sola linea. La facilidad de la explotación es una de los principales motivos por los que la empresa se ha visto obligada a lanzar un parche de seguridad en tan poco tiempo.

El pasado día 9 de agosto, el investigador de seguridad Amir Etemadieh, hizo público el fallo de seguridad en su blog, exponiendo a ataques a todos los usuarios de vBulletin.

En realidad no se trata de un fallo de seguridad nuevo, sino que se trata de un ‘bypass’ a un parche para la vulnerabilidad CVE-2019-16759, que fue detectada y publicada por un investigador desconocido hace ya casi un año, en septiembre de 2019.

El problema de seguridad se encuentra en una de las peticiones para configurar widgets en el foro, de forma que en el parámetro subWidgets es posible incluir una propiedad ‘code‘ que acepta código PHP. Este código será ejecutado, permitiendo a un atacante ejecutar código en el sistema.

PoC of vBulletin zero-day
Explotación de la vulnerabilidad (Imagen: h4x0r_dz)

Como podemos observar en la imagen, la ejecución de código PHP es directa, sin necesidad de realizar ningún tipo de operación a nuestra entrada para saltar medidas de seguridad. La ejecución se produce con una sola petición, y lo más importante, sin necesidad de autenticarse, por lo que cualquier usuario, sin necesidad de estar registrado, puede explotarla.

Etemadieh, en un intento por justificar la publicación de la vulnerabilidad sin reportarla primero, ha afirmado que junto a la vulnerabilidad también indicó en su post posibles mitigaciones para esta, de forma que los usuarios pudiesen proteger sus foros.

La solución propuesta por Etemadieh consiste en desactivar el renderizado PHP en la configuración de vBulletin, evitando de esta forma que el código PHP inyectado acabe ejecutando. Aunque en este momento ya existe un parche que debería solventar el problema, puede ser buena idea desactivar esta opción por el momento.

Poco después de que se hiciese público el fallo comenzaron los ataques a foros de todo el mundo, incluyendo los foros más conocidos. Jeff Moss, creador de las conferencias de seguridad Defcon y Black Hat, ha confirmado en twitter que el foro oficial de la Defcon sufrió intentos de ataque a través de este exploit tres horas después de hacerse público.

A new VBulletin Zero Day got dropped yesterday by @Zenofex that revealed the CVE-2019-16759 patch was incomplete – within three hours https://t.co/LwbPuEoL5b was attacked, but we were ready for it. Disable PHP rendering to protect yourself until patched! https://t.co/7JtmEzcTFG pic.twitter.com/R4AcCoZt1B

— Jeff Moss (@thedarktangent) August 10, 2020

Si tienes un foro vBulletin con una versión anterior a la versión 5.6.2 es recomendable que actualices cuanto antes, ya que tu foro, si no ha sido atacado aún, lo será pronto. Si no es posible actualizar, te recomendamos desactivar el renderizado PHP para evitar la explotación, o directamente elimines la plantilla del módulo ‘widget_php’.

Más información:

Fuente: https://www.bleepingcomputer.com/news/security/vbulletin-fixes-ridiculously-easy-to-exploit-zero-day-rce-bug/

Post de la vulnerabilidad: https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/

Comparte en tus redes: