Alert!

Forensoftware vBulletin: Neue Angriffstechnik hebelt alten Security-Patch aus

vBulletin-Forenbetreiber sollten jetzt handeln: Angreifer nutzen frischen Exploit-Code gegen eine Sicherheitslücke, die 2019 (nicht richtig) gefixt wurde.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: AFANASEV IVAN/Shutterstock.com)

Von
  • Olivia von Westernhagen

Im September vergangenen Jahres haben die Entwickler der Forensoftware vBulletin eine kritische Sicherheitslücke geschlossen, die entfernten Angreifern ohne vorherige Authentifizierung das Ausführen beliebiger Befehle – und damit die vollständige Kompromittierung verwundbarer Foren – ermöglichte. Über die Lücke mit der CVE-Nummer CVE-2019-16759 haben wir damals berichtet:

Lesen Sie auch

Nun hat ein Forscher Proof-of-Concept-Code in mehreren Programmiersprachen veröffentlicht, der den alten Patch aushebelt – und zwar so, dass auch die aktuelle stabile vBulletin-Version 5.6.2 angreifbar ist. Da im Falle von CVE-2019-16759 als verwundbare Versionen 5.0 bis 5.4 angegeben waren, dürften nun also alle Versionen seit 5.0 attackierbar sein.

Der Forscher hat offenbar darauf verzichtet, abzuwarten, bis das vBulletin-Team einen Patch veröffentlicht. Informiert beziehungsweise alarmiert sein dürfte dieses mittlerweile allerdings in jedem Fall: Jeff Moss, Gründer der IT-Sicherheitskonferenzen Black Hat und Def Con, teilte via Twitter mit, dass das Def Con-Forum bereits drei Stunden nach Veröffentlichung des PoC-Codes im Blogeintrag des Forschers angegriffen worden sei.

Wenigstens nennt der Forscher im Blogeintrag einen Workaround, der Attacken mittels wiederbelebter CVE-2019-16759 wirkungslos machen soll – und auf den vermutlich auch das Def Con-Team zurückgriff. Demnach soll man

  • sich am Admin-Control-Panel von vBulletin anmelden,
  • im Dropdown-Menü links auf "Settings --> Options" wechseln,
  • dort "General Settings" und dann "Edit Settings" auswählen und schließlich
  • die Option "Disable PHP, Static HTML, and Ad Module rendering” auf "Yes" setzen.

Sobald ein Update verfügbar ist, sollte man dies selbstverständlich, völlig unabhängig vom Workaround, zügig einspielen.

(ovw)