Серьезная уязвимость, позволявшая атакующим сканировать сервера и в некоторых случаях исполнять произвольный код, была устранена в форумном движке vBulletin.

Исследователь Давид Голюнский (Dawid Golunski) из Legal Hackers, обнаруживший уязвимость, в частном порядке сообщил о ней разработчикам форумной платформы. Баг был закрыт 5 августа в версиях vBulletin 3.8.9 (и 3.8.10 beta), 4.2.3 (и 4.2.4 beta) и 5.2.3. Кроме того он поделился с разработчиками кодом разработанного им PoC-эксплойта.
Голюнский заявил, что уязвимость подделки запросов на стороне сервера (SSRF), которую он обнаружил, могла позволить атакующим получить удаленный доступ к ряду служб платформы, таких как почтовые сервера или система кэширования памяти memcached, либо к службам, находящимся в той же локальной сети, например Zabbix Agent.

«Эксплойт обнаруженной мною SSRF-уязвимости в vBulletin может быть с легкостью осуществлен неаутентифицированным атакующим, — заявил эксперт в комментарии Threatpost. — Представляемая ей угроза зависит от того, какие службы используются самой платформой или же находятся в той же сети».

Представленный исследователем PoC-эксплойт выполняет сканирование внутренних служб и приводит к раскрытию информации. ПО vBulletin используют более 40 тыс. различных веб-сообществ.

«Уязвимость может быть использована для проведения сканирования портов внутренних служб, что приведет к раскрытию информации, но может быть чревато и более критическими последствиями, если на целевом сервере используются некорректно настроенные службы вроде Zabbix Agent, при помощи которых можно осуществить исполнение команд и заполучить неавторизованный удаленный доступ к серверу», — заявил Голюнский.

Эксперт заявил, что атакующие могут воспользоваться функцией, позволяющей пользователям загружать на форум файлы.

«Некоторые страницы позволяют пользователю указывать URL-путь до медиафайла, который затем будет скачан платформой vBulletin, — отмечает он. — Эти ссылки подлежат проверке, так что пользователи могут давать ссылки только на ресурсы, использующие протоколы HTTP/HTTPS, также невозможно дать ссылку на localhost».

Помимо этого движок блокирует попытки произвести HTTP-редирект, однако, как заявил исследователь, он обнаружил, что в некоторых случаях редирект возможен: такая возможность сокрыта в коде, используемом для загрузки медиафайлов, и позволяет осуществить редирект с «сервера, указанного в ссылке, предоставленной пользователем».

«Например, указав ссылку на вредоносный сервер, возвращающий код HTTP 301 и перенаправляющий пользователя на http://localhost:3306, атакующий может с легкостью обойти указанные мною выше ограничения и создать соединение с mysql/3306 на localhost, — пишет эксперт в информационном бюллетене. — Это и служит первопричиной SSRF-уязвимости».

Он также добавил, что, поскольку для соединения с удаленными ресурсами используется curl, удаленный атакующий может воспользоваться рядом протоколов для осуществления атак на локальные службы.

«Например, создав редирект на gopher://localhost:11211/datahere, атакующий получает возможность направлять произвольный трафик службе, использующей порт 11211, — пишет Голюнский. — Помимо этого в зависимости от используемой форумом временной директории атакующий может иметь возможность просматривать ответы от сервера, поскольку функция загрузки файлов сохраняет эти ответы во временные файлы, доступ к которым как раз таки можно получить, если директория доступна извне».

Программное обеспечение vBulletin уже не первый раз становится целью хакерских атак. В 2013 году атакующие воспользовались 0-day-уязвимостью в форумном движке веб-сайта MacRumors, украв более 860 тыс. зашифрованных паролей.

Категории: Уязвимости