本周有匿名人士在網路社群Full Disclosure中公佈,知名網路論壇平台軟體vBulletin 的一個尚未修補的零時差攻擊漏洞,使網路上數百萬論壇陷於遭劫持的風險中。

vBulletin是最受歡迎的網路論壇軟體之一,根據W3CTech統計,全球有0.1%的網站跑在vBulletin上,超過同類型軟體,如phpBB、XenForo、Simple Machines Forum、MyBB等。vBulletin列出的知名客戶包括 Steam、EA、 Zynga、NASA、Sony及丹佛野馬美式足球隊等。

媒體分析神祕人士張貼的攻擊程式碼,這項漏洞為「驗證前遠端程式碼執行」(pre-auth RCE)漏洞,這是影響Web 平台最嚴重的類型。攻擊者無需具備帳號,只要發出一個HTTP POST呼叫,就可以在vBulletin伺服器上執行指令,即可劫持跑論壇的網頁伺服器、竊取或刪改資料,或是對其他系統發動攻擊等。The Register指出,這可能只需要20行的Python程式即可。

張貼的文件並列出概念驗證攻擊程式,表示可在vBulletin 5.0.0 到 5.5.4執行。有人測試後發現證實此事

不過這名神祕人士究竟是惡搞vBulletin,還是因為vBulletin團隊先前接獲研究人員通報卻沒有回應,使研究人員憤而公布則不得而知。vBulletin團隊也尚未對媒體說明此事。

2015年也曾有人公佈vBulletin 5.1.x版的Pre-Auth RCE漏洞及概念驗證攻擊程式,並以此竄改vBulletin官網。當時的漏洞被派發編號CVE-2015-7808,vBulletin於11月修補完成。

由於最新公佈的漏洞目前還未修補完成,使用vBulletin的網站管理員要是無法暫時把網站下線,唯一能做的就是留心是否有程式開採漏洞。


Advertisement

更多 iThome相關內容