Geschreven door: Securityteam

In samenwerking met pentester Martin Knuijsting

De kwetsbaarheid van deze week gaat over een kwetsbaarheid die is gevonden in vBulletin. Deze kwetsbaarheid heeft betrekking op een internet software pakket dat meer dan 100.000 websites op het internet aanstuurt. Een anonieme hacker heeft publiekelijk de details en proof-of-concept exploit code onthuld. Dit betreft een kritische zero-day remote code execution kwetsbaarheid in vBulletin. Eén van de redenen waarom de kwetsbaarheid als een ernstig probleem moet worden gezien, is omdat het op afstand exploiteerbaar is en er ook geen authenticatie voor nodig is. 

De kwetsbaarheid

De kwetsbaarheid heeft betrekking op een intern widget bestand van het forum softwarepakket. Dit bestand accepteert configuraties via de URL-parameters en ontleedt deze vervolgens op de server, zonder de juiste veiligheidscontroles. Hierdoor kan een kwaadwillende commando’s injecteren en op afstand code op het systeem uitvoeren. De kwetsbaarheid heeft invloed op vBulletin versies 5.0.0 tot 5.5.4.

De publieke release van de exploit code heeft ertoe geleid dat bij bedrijven zoals Comodo het forum en onderliggende server zijn geïnfecteerd. De exploitatie kan worden gescript en geautomatiseerd. Dit betekent dat iedereen die een kwetsbare versie van vBulletin software draait, het risico loopt op een geïnfecteerde server .

Hieronder ziet u een voorbeeld van de RCE exploit.

Kwetsbaarheid al langer bekend

Volgens Chaouki Bekrar, CEO van de zero-day exploit markt Zerodium, is de exploit ruim drie jaar geleden verkocht. De exploitatie is waarschijnlijk door de jaren heen gebruikt, maar kreeg in de afgelopen maanden meer aandacht. Sinds de vBulletin-exploitatie is uitgebracht, zijn er veel kwaadwillenden die hem gebruiken om vBulletin-servers te hacken. De gehackte server kunnen zij toevoegen aan een botnet of gebruiken voor andere kwaadwillende doeleinden.

Detecteren RCE exploit

Dankzij Detectify Crowdsource hackers is het mogelijk om nu de CVE-2019-16759 RCE kwetsbaarheid in de vBulletin software te detecteren. Hiermee is meteen te zien of het systeem vatbaar is voor de exploit.

Bescherm uw servers met BitNinja WAF 2.0

Het goede nieuws is dat BitNinja gebruikers vanaf het eerste moment beschermd zijn tegen deze RCE kwetsbaarheden. De 933130 en 933150 WAF-regels houden de BitNinja-beveiligde servers veilig tegen de bovengenoemde bedreiging.

Er is een alternatief om deze kwetsbaarheid op te lossen. De webbeheerder kan het beste de versie van vBulletin updaten naar versie 5.5.2/3/4 Patch Level 1 of PHP, Static HTML en de Ad Module rendering instelling in het administratiepaneel uitschakelen.

Zorg dat u niet kwetsbaar bent

Dit geeft opnieuw aan hoe belangrijk het voor uw organisatie is om tijdig updates door te voeren. Met een kwetsbaarheid als deze kan uw organisatie grote financiële schade oplopen. Zorg dan ook voor een goed update beleid, waarbij frequent updates worden geïnstalleerd op kritische systemen. 

Om er zeker van te zijn dat uw netwerk zo min mogelijk kwetsbaarheden bevat, is het scannen van uw systemen noodzakelijk. Tijdens deze scan worden kwetsbaarheden blootgelegd en krijgt u handvatten hoe u uw netwerk beter te beveiligen tegen incidenten. Onze pentesters hebben de juiste kennis en kunde in huis om u hierbij van dienst te zijn. Zij zullen zorgvuldig uw netwerk scannen op kwetsbaarheden en u voorzien van een duidelijk advies waarmee u direct aan de slag kunt. 

Meer weten

Wil u meer informatie over onze pentesten of vulnerability scans? Kijk dan even op onze diensten pagina. Of bel direct met onze medewerkers via: 020 7881030, we zijn u graag van dienst.


Deel artikel via: