vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
Un intruso, apodado "ColdZer0", afirmó que se había
apropiado de un total de 480.000 cuentas de usuarios en un ataque combinado
sobre la propia vBulletin.com y sobre el foro de Foxit Software. Todo indica
que en ambas intrusiones se ha empleado la misma vulnerabilidad 0-day.
We take your security and privacy very seriously. Very recently, our security team discovered a sophisticated attack on our network. Our investigation indicates that the attacker may have accessed customer IDs and encrypted passwords on our systems. We have taken the precaution of resetting your account password. We apologize for any inconvenience this has caused but felt that it was necessary to help protect your account. To regain access to your account:
vBulletin ha publicado un aviso
en el que reconocen la intrusión y el reinicio de todas las contraseñas. De tal
forma, que todos los usuarios deben proceder como cuando se olvida la
contraseña y solicitar el envío de una nueva por correo.
La vulnerabilidad podría permitir
a un usuario malicioso realizar ataques de inyección SQL sobre la base de
datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer
toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer
todo el sistema.
Más información:
Password reset invoked after vBulletin.com
forum software site defaced
vBulletin.com Password Reset
vBulletin Zero-Day Used to Hack Official vBulletin Website and Foxit Software
Fuente:
No hay comentarios:
Publicar un comentario