本周有匿名人士在网络公布了商业论坛软件vBulletin的零时差漏洞,以及只有18行的概念性验证攻击程序,且传出已有黑客针对该漏洞展开攻击,vBulletin团队则在周四(9/26)紧急修补了该漏洞。
vBulletin为一提供讨论区、内容管理系统及博客等功能的付费软件,宣称全球已有超过10万个网站采用。
本周被公布的安全漏洞编号为CVE-2019-16759,黑客无需具备论坛账号,只要发送一个特定的HTTP POST请求至vBulletin就能执行命令,可执行的命令形态则视vBulletin服务所使用的用户账号权限而定,可能允许黑客掌控整个系统。
安全专家认为这是个既严重又容易开采的高危险漏洞,预期它很快就会吸引众多黑客,而来自于Bad Packets的Troy Mursch已经发现首波的攻击,黑客不但借由公开的攻击程序开采了该漏洞,还变更了系统配置,以让未来要发送命令都得输入密码,防堵其它黑客的开采行动,收编这些vBulletin服务器成为自己的僵尸网络。大多数的攻击流量来自巴西、越南与印度。
CVE-2019-16759影响vBulletin 5.0.0到5.5.4的版本,漏洞的严重性也让vBulletin团队紧急发布安全更新,修补了vBulletin 5.5.2、5.5.3及5.5 .4,并建议5.5.2以前版本的用户尽快升级。
不过,专门收购零时差漏洞与攻击程序的Zerodium首席执行官Chaouki Bekrar指出,先前就有许多研究人员对外销售CVE-2019-16759的攻击程序,Zerodium客户至少在3年前便知道该漏洞的存在。