В популярном форумном движке vBulletin обнаружены две серьезные уязвимости. Их подробности были вместе с PoC-кодами опубликованы на прошлой неделе. Соответствующий патч, как заявили Security Week разработчики, уже готов и будет выпущен после тестирования.

Отчеты о новых неприятных находках в vBulletin были поданы через платформу Secure Disclosure компании Beyond Security. Инициаторы этой программы, по их словам, не раз пытались связаться с разработчиком, начиная с 21 ноября, и за отсутствием отклика решились на публикацию.

Обе выявленные уязвимости присутствуют в версии 5 программного пакета разработки vBulletin Solutions. Одна из них относится к типу file inclusion и позволяет удаленному злоумышленнику без аутентификации исполнить произвольный код PHP на Windows-сервере. Для этого нужно лишь отправить особый запрос GET на index.php. Если сервер уязвим, можно внедрить вредоносный php-код в любой файл — к примеру, в access.log — и подключить этот файл, манипулируя параметром routestring= в запросе.

Другая уязвимость (CVE-2017-17672) вызвана небезопасным выполнением десериализации данных, вводимых пользователем. Эксплойт в данном случае позволяет неаутентифицированному автору атаки удалить любой файл с уязвимого сервера, а при определенных условиях даже выполнить произвольный код.

По данным Beyond Security, в настоящее время на движке vBulletin работают более 100 тыс. сайтов, в том числе ресурсы компаний из списка Fortune 500, а также крупнейшие по версии Alexa социальные сервисы и форумы. Ссылаясь на статистику W3Techs1, эксперты Beyond Security отметили, что на версию 4 приходится 55% современного рынка vBulletin, остальную часть делят версии 3 и 5.

Уязвимости в движке vBulletin — не редкость, и разработчик их исправно устраняет. К сожалению, пользователи этого продукта зачастую забывают или ленятся поддерживать его в актуальном состоянии, что повышает шансы злоумышленников. Так, летом прошлого года хакерам удалось украсть данные форумчан Ubuntu, Dota2, Epic Games и GTAGaming; во всех этих случаях взломщики использовали незакрытые уязвимости в устаревших vBulletin. В январе стало известно об аналогичной утечке данных поклонников игр, создаваемых Supercell для мобильных платформ. Как оказалось, этот взлом тоже произошел в 2016 году; по оценке компании, злоумышленникам удалось совокупно скомпрометировать 1,1 млн. аккаунтов участников игрового сообщества.

Update. 20 декабря на форуме vBulletin.com появилось объявление о выпуске патчей для vBulletin 5.3.2, 5.3.3 и 5.3.4. Представитель службы техподдержки компании-разработчика также отметил, что форумы, размещенные на vBulletin Cloud, уже пропатчены автоматически.

Категории: Уязвимости