1187 Letture
Scoperta una vulnerabilità in vBulletin sfruttata da almeno tre anni

Scoperta una vulnerabilità in vBulletin sfruttata da almeno tre anni

Migliaia le installazioni di vBulletin prese di mira dai criminali informatici. Lunedì è stato pubblicato il codice exploit ma gli esperti sostengono che il problema era già attivamente sfruttato da tempo.

Lunedì scorso un ricercatore anonimo ha pubblicato il codice exploit utilizzabile per aggredire le installazioni della nota piattaforma vBulletin (vedere questo intervento).
Il codice condiviso online può essere sfruttato per eseguire codice remoto lato server sui sistemi che utilizzano vBulletin nelle versioni comprese tra la 5.0.0 e la 5.5.4.

Ryan Seguin, ricercatore presso Tenable, ha confermato che si tratta di un'aggressione - peraltro semplicissima da porre in essere - che porta all'iniezione di codice arbitrario. vBulletin gestisce la richiesta non autorizzata e fornisce una risposta all'attaccante. Non solo. Se quest'ultimo inviasse un comando da eseguire a livello di shell Linux, vBulletin provvederà ad avviarlo indipendentemente dai permessi assegnati lato server alla piattaforma.

Secondo gli esperti, i criminali informatici starebbero facendo attivamente uso di botnet per gestire da remoto i vari server precedentemente aggrediti e infettati.


Gli sviluppatori di vBulletin si sono immediatamente attivati per rilasciare un aggiornamento correttivo ufficiale (vedere questa pagina) ma secondo Chaouki Bekrar, fondatore e CEO di Zerodium, la grave vulnerabilità presente in vBulletin era già conosciuta e sfruttata da almeno 3 anni.




Su GitHub è stato addirittura pubblicato uno script che, facendo uso del motore Shodan (Shodan, cos'è e come permette di scovare webcam, router, NAS e altri dispositivi remoti), trova le istanze di vBulletin vulnerabili.

Scoperta una vulnerabilità in vBulletin sfruttata da almeno tre anni