神祕人士將vBulletin零時差漏洞公佈於網上

本周有匿名人士在網路社群Full Disclosure中公佈，知名網路論壇平台軟體vBulletin 的一個尚未修補的零時差攻擊漏洞，使網路上數百萬論壇陷於遭劫持的風險中。

vBulletin是最受歡迎的網路論壇軟體之一，根據W3CTech統計，全球有0.1%的網站跑在vBulletin上，超過同類型軟體，如phpBB、XenForo、Simple Machines Forum、MyBB等。vBulletin列出的知名客戶包括 Steam、EA、 Zynga、NASA、Sony及丹佛野馬美式足球隊等。

媒體分析神祕人士張貼的攻擊程式碼，這項漏洞為「驗證前遠端程式碼執行」（pre-auth RCE）漏洞，這是影響Web 平台最嚴重的類型。攻擊者無需具備帳號，只要發出一個HTTP POST呼叫，就可以在vBulletin伺服器上執行指令，即可劫持跑論壇的網頁伺服器、竊取或刪改資料，或是對其他系統發動攻擊等。The Register指出，這可能只需要20行的Python程式即可。

張貼的文件並列出概念驗證攻擊程式，表示可在vBulletin 5.0.0 到 5.5.4執行。有人測試後發現證實此事。

不過這名神祕人士究竟是惡搞vBulletin，還是因為vBulletin團隊先前接獲研究人員通報卻沒有回應，使研究人員憤而公布則不得而知。vBulletin團隊也尚未對媒體說明此事。

2015年也曾有人公佈vBulletin 5.1.x版的Pre-Auth RCE漏洞及概念驗證攻擊程式，並以此竄改vBulletin官網。當時的漏洞被派發編號CVE-2015-7808，vBulletin於11月修補完成。

由於最新公佈的漏洞目前還未修補完成，使用vBulletin的網站管理員要是無法暫時把網站下線，唯一能做的就是留心是否有程式開採漏洞。