Seorang peneliti keamanan telah menerbitkan detail dan kode eksploitasi untuk kerentanan kritis dalam vBulletin, salah satu perangkat lunak forum paling populer saat ini, yang mana sudah digunakan oleh berbagai merek ternama seperti Electronic Arts, Zynga, Sony, Pearl Jam, NASA, Steam, dan banyak lagi.
Pada September 2019, seorang peneliti keamanan yang tidak dikenal mengungkapkan kerentanan remote-code-execution di vBulletin versi 5.0 hingga 5.4, yang dilacak sebagai CVE-2019-16759.
Kerentanan yang sebelumnya diungkap tersebut memungkinkan penyerang mengeksploitasi kelemahan di sistem template vBulletin untuk menjalankan kode berbahaya dan mengambil alih forum tanpa perlu melakukan otentikasi di situs target (pre-auth remote-code-execution).
Namun, dalam sebuah posting blog yang diterbitkan baru-baru ini, peneliti keamanan yang berbasis di Austin, Amir Etemadieh mengatakan bahwa perbaikan CVE-2019-16759 yang ada tidaklah memadai dalam memblokir eksploitasi.
Dia mengatakan bahwa menemukan cara sederhana untuk melewati perbaikan dan mengeksploitasi kerentanan CVE-2019-16759 yang sama, dan menerbitkan tiga proof-of-concept Bash, Python, dan Ruby, untuk membuktikan statement-nya.
Kode eksploitasi tersebut sudah menyebar secara luas di situs media sosial seperti Reddit dan Twitter, dan di dalam komunitas peretasan yang dihosting di forum pribadi juga saluran Discord.
0day RCE exploit on vBulletin 5xx
dork ; intext:"Powered by vBulletin"
POC
curl -s http://SITE/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=echo%20shell_exec("id"); exit;'#bugbounty #bugbountytips pic.twitter.com/DfqLivsskG— h4x0r-dz (@h4x0r_dz) August 10, 2020
Segera setelah kode eksploitasi dipublikasikan, hal itu memicu gelombang peretasan terhadap situs yang menggunakan vBulletin, bahkan situs vBulletin itu sendiri.
Looks like the @vBulletin forums are currently down while they patch from the RCE vulnerability release. Hopefully that means customers will also see a working patch soon. pic.twitter.com/PTQetEkCJu
— Amir Etemadieh (@Zenofex) August 10, 2020
Menurut Jeff Moss alias The Dark Tangent, pendiri konferensi keamanan Black Hat dan Defcon, forum defcon.org diserang dengan eksploitasi ini tiga jam setelah pengungkapannya.
A new VBulletin Zero Day got dropped yesterday by @Zenofex that revealed the CVE-2019-16759 patch was incomplete – within three hours https://t.co/LwbPuEoL5b was attacked, but we were ready for it. Disable PHP rendering to protect yourself until patched! https://t.co/7JtmEzcTFG pic.twitter.com/R4AcCoZt1B
— Jeff Moss (@thedarktangent) August 10, 2020
Baca Juga: “Kerentanan Kritis Baru Ditemukan Dalam Software Forum vBulletin“
Pada siang hari ini, vBulletin telah merilis perbaikan yang menonaktifkan modul PHP di vBulletin untuk mengurangi kerentanan.
“Semua versi lama harus dianggap rentan. Situs yang menjalankan versi lama vBulletin perlu diperbarui ke vBulletin 5.6.2 sesegera mungkin. Untuk informasi lebih lanjut tentang pembaruan, lihat ikhtisar di forum dukungan,” saran vBulletin.
vBulletin menyatakan bahwa modul ini akan dihapus seluruhnya pada versi 5.6.4.
Untuk pengguna yang menjalankan server produksi dapat mengurangi kerentanan dengan melakukan langkah-langkah berikut:
- Alihkan situs ke mode debug.
- Masuk ke AdminCP.
- Pergi ke Styles -> Style Manager.
- Buka daftar template untuk gaya MASTER.
- Gulir ke bawah ke bagian yang bertuliskan Module Templates.
- Cari modul widget_php.
- Klik Revert Button.
- Ini benar-benar akan menghapus template dari situs dan membuat Modul PHP tidak berfungsi.
Semua pengguna vBulletin harus segera menerapkan perbaikan atau menerapkan langkah-langkah mitigasi di atas agar bisa mencegah hal yang tidak diinginkan.
