本周有匿名人士在网络社群Full Disclosure中公布,知名网络论坛平台软件vBulletin的一个尚未修补的零时差攻击漏洞,使网络上数百万论坛陷于遭劫持的风险中。
vBulletin是最受欢迎的网络论坛软件之一,根据W3CTech统计,全球有0.1%的网站跑在vBulletin上,超过同类型软件,如phpBB、XenForo、Simple Machines Forum、MyBB等。vBulletin列出的知名客户包括Steam、EA、Zynga、NASA、Sony及丹佛野马美式足球队等。
媒体分析神秘人士发布的攻击程序代码,这项漏洞为“验证前远程程序代码执行”(pre-auth RCE)漏洞,这是影响Web平台最严重的类型。攻击者无需具备账号,只要发出一个HTTP POST调用,就可以在vBulletin服务器上执行指令,即可劫持跑论坛的网页服务器、窃取或删改数据,或是对其他系统发动攻击等。The Register指出,这可能只需要20行的Python程序即可。
发布的文件并列出概念验证攻击程序,表示可在vBulletin 5.0.0到5.5.4执行。有人测试后发现证实此事。
不过这名神秘人士究竟是恶搞vBulletin,还是因为vBulletin团队先前接获研究人员通报却没有回应,使研究人员愤而公布则不得而知。vBulletin团队也尚未对媒体说明此事。
2015年也曾有人公布vBulletin 5.1.x版的Pre-Auth RCE漏洞及概念验证攻击程序,并以此篡改vBulletin官网。当时的漏洞被派发编号CVE-2015-7808,vBulletin于11月修补完成。
由于最新公布的漏洞目前还未修补完成,使用vBulletin的网站管理员要是无法暂时把网站下线,唯一能做的就是留心是否有程序开采漏洞。