Menü
Alert!
Security

Angriffe auf verwundbare vBulletin-Versionen

Cyber-Kriminelle nutzen derzeit aktiv eine Sicherheitslücke in der Forensoftware vBulletin aus.

vorlesen Drucken Kommentare lesen 13 Beiträge
vBulletin Website

Nutzer von vBulletin in den Versionen 5.1.4 bis 5.1.9 sollten den aktuellen Patch (Log-in erforderlich) zügig einspielen, denn Symantec warnt aktuell vor Angriffen.

Den Sicherheitsforschern zufolge bauen Angreifer dafür auf einen Exploit, den eine unbekannte Person zum Verkauf angeboten hat. Die Lücke klaffe seit drei Jahren in der Forensoftware. Anfang dieses Monats soll es mehr als 2.500 Angriffsversuche pro Tag gegeben haben.

Um Server auf Verwundbarkeiten zu überprüfen, schicken Angreifer Symantec zufolge folgende Anfragen raus:

  • http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:6:"assert";}}s:12:"*recordset";s:20:"print_r(md5(233333))";}
  • http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:7:"phpinfo";}}s:12:"*recordset";i:1;}

Admins können ihre Log-Dateien nach diesen Einträgen durchsuchen, um Übergriffe festzustellen. Stoßen die Angreifer auf eine gefährdete vBulletin-Version, können sie etwa Dateien, Log-in-Daten von Admins und private SSH-Schlüssel abziehen. Das soll über ein bösartiges Skript geschehen, das Angreifer dem Server aufgrund der Sicherheitslücke unterjubeln können.

Zudem können gekaperte Webseiten als Malwareschleuder dienen und die Server für DDoS-Attacken missbraucht werden, warnen die Sicherheitsforscher. (des)