Im September vergangenen Jahres haben die Entwickler der Forensoftware vBulletin eine kritische Sicherheitslücke geschlossen, die entfernten Angreifern ohne vorherige Authentifizierung das Ausführen beliebiger Befehle – und damit die vollständige Kompromittierung verwundbarer Foren – ermöglichte. Über die Lücke mit der CVE-Nummer CVE-2019-16759 haben wir damals berichtet:

Nun hat ein Forscher Proof-of-Concept-Code in mehreren Programmiersprachen veröffentlicht, der den alten Patch aushebelt – und zwar so, dass auch die aktuelle stabile vBulletin-Version 5.6.2 angreifbar ist. Da im Falle von CVE-2019-16759 als verwundbare Versionen 5.0 bis 5.4 angegeben waren, dürften nun also alle Versionen seit 5.0 attackierbar sein.

Aktive Angriffe gesichtet

Der Forscher hat offenbar darauf verzichtet, abzuwarten, bis das vBulletin-Team einen Patch veröffentlicht. Informiert beziehungsweise alarmiert sein dürfte dieses mittlerweile allerdings in jedem Fall: Jeff Moss, Gründer der IT-Sicherheitskonferenzen Black Hat und Def Con, teilte via Twitter mit, dass das Def Con-Forum bereits drei Stunden nach Veröffentlichung des PoC-Codes im Blogeintrag des Forschers angegriffen worden sei.

Workaround

Wenigstens nennt der Forscher im Blogeintrag einen Workaround, der Attacken mittels wiederbelebter CVE-2019-16759 wirkungslos machen soll – und auf den vermutlich auch das Def Con-Team zurückgriff. Demnach soll man

sich am Admin-Control-Panel von vBulletin anmelden,

im Dropdown-Menü links auf "Settings --> Options" wechseln,

dort "General Settings" und dann "Edit Settings" auswählen und schließlich

die Option "Disable PHP, Static HTML, and Ad Module rendering” auf "Yes" setzen.

Sobald ein Update verfügbar ist, sollte man dies selbstverständlich, völlig unabhängig vom Workaround, zügig einspielen.

(ovw)