Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Publican PoC de grave vulnerabilidad en foros vBulletin




Un investigador de seguridad publica detalles y código de explotación 0-day para el sistema de foros vBulletin.. El día cero es en realidad un bypass para un parche anterior de un día cero de vBulletin, con identificador, CVE-2019-16759, divulgado en septiembre de 2019 que aprovechaba una vulnerabilidad en las plantillas (templates). La vulnerabilidad del tipo RCE es ridículamente fácil de explotar. Basta una sola línea para ejecutar comandos remotos en un sistema remoto. La vulnerabilidad CVE ha recibido una puntuación (CVE score) de gravedad 9.8 sobre 10







Esta vulnerabilidad recibió una calificación de gravedad 'Crítica' de 9.8 / 10 debido a su facilidad de uso y su capacidad para ejecutar comandos de forma remota y sin autenticación previa en servidores vBulletin vulnerables.

bypass CVE-2019-16759 (patch, fix incompleto)




Un investigador de seguridad ha publicado detalles y código de explotación de prueba de concepto para una vulnerabilidad de día cero en vBulletin, uno de los programas de creación de foros más populares de la actualidad.


vBulletin es un software de foro en línea inmensamente popular utilizado por grandes marcas como Electronic Arts, Zynga, Sony, Pearl Jam, NASA, Steam y muchas más.

El día cero es un bypass para un parche de un día cero de vBulletin anterior, con identificador, CVE-2019-16759, divulgado en septiembre de 2019.

El día cero anterior permitía a los atacantes aprovechar un error en el sistema de plantilla vBulletin para ejecutar código malicioso y apoderarse de los foros sin necesidad de autenticarse en los sitios de las víctimas (un tipo de error llamado RCE previo a la autenticación).

Con esta vulnerabilidad, los atacantes podrían explotar de forma remota un error en el módulo PHP de vBulletin para ejecutar cualquier comando PHP en el servidor remoto sin iniciar sesión en el foro.

CVE-2019-16759 se reveló el 24 de septiembre de 2019 y se proporcionó un parche al día siguiente, el 25 de septiembre.

Nuevo parche de omisión de día cero 0-day CVE-2019-16759


Sin embargo, en una publicación de blog publicada el domingo por la noche, el investigador de seguridad con sede en Austin, Amir Etemadieh (@Zenofex en Twitter), dijo que el CVE-2019-16759 "era inadecuado para bloquear la explotación".


El investigador dijo que encontró una manera simple de evitar el parche y continuar explotando la misma vulnerabilidad CVE-2019-16759, y publicó tres pruebas de conceptos en Bash, Python y Ruby, para demostrar su punto. Y también módulo para MetasPloit:


Etemadieh no se comunicó ni notificó al equipo de vBulletin antes de hacer públicos sus hallazgos. MH Sub I, LLC, la compañía que comercializa el software del foro vBulletin, no ha devuelto una solicitud de comentarios.

"First processed by the template engine and then is output as a string of PHP code that is later ran through an eval() during the “rendering” process" 𝘦𝘷𝘢𝘭 What Can Go Wrong™

De cualquier manera, el nuevo código de día cero está en vivo y se ha compartido ampliamente en sitios de redes sociales como Reddit y Twitter, y dentro de comunidades de piratería alojadas en foros privados y canales de Discord.

La publicación del día cero de septiembre de 2019 desencadenó una ola masiva de ataques a vBulletin el año pasado, lo que provocó que muchas empresas revelaran violaciones de seguridad durante los meses siguientes.

Los foros, en general, son algunas de las tecnologías web más buscadas para hackear. La razón por la que los piratas informáticos ponen un manual en los foros tiene que ver con su propósito y los datos que pueden robar.

A diferencia de la mayoría de los sistemas de administración de contenido como WordPress, Drupal o Joomla, los foros en línea como vBulletin se crean con el único y principal propósito de administrar comunidades en línea y, como resultado, contienen grandes cantidades de datos personales.

Un sitio de WordPress se puede usar para ejecutar el sitio web de un planificador de bodas o de la oficina de un abogado, pero incluso los foros más humildes y sin importancia tienen miles de perfiles de usuarios registrados que contienen información confidencial del usuario, junto con publicaciones de usuarios, mensajes personales y, a veces, incluso información financiera, si los foros tienen funciones de pago por acceso.

Sin embargo, incluso si Etemadieh no dejó en claro si notificó al equipo de vBulletin sobre sus planes de revelar un día cero, el investigador dice que los propietarios de foros pueden evitar la explotación haciendo las siguientes modificaciones en la configuración de sus foros de discusión.

dork ; intext:"Powered by vBulletin"


PoC:
curl -s http://SITE/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=echo%20shell_exec("id"); exit;'

curl -s http://EXAMPLE.COM/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=phpinfo();'

Este exploit es ridículamente fácil de usar y permite que cualquiera ejecute comandos de forma remota usando un solo comando de una línea que envía una solicitud POST a un servidor vBulletin, como se ilustra en la imagen a continuación.



Mitigación
  • Ves al panel de control del administrador de vBulletin.
  • Haz clic en "Configuración" en el menú de la izquierda y luego en "Opciones" en el menú desplegable.
  • Elige "Configuración general" y luego haga clic en "Editar configuración"
  • Busque "Deshabilitar PHP, HTML estático y la representación del módulo de anuncios", establezca en "Sí".
  • Clic en Guardar"

Según Jeff Moss, también conocido como The Dark Tangent y creador de las conferencias de seguridad Black Hat y Defcon, el foro defcon.org fue atacado con este exploit tres horas después de su divulgación.


Se confirma que al menos un foro había sido objetivo del nuevo ataque, el foro de la conferencia de seguridad DEF CON, que acaba de concluir durante el fin de semana.

vBulletin publica una solución rápida para el error de día cero


Debido a la facilidad de uso y la gravedad de esta vulnerabilidad, algunos sitios decidieron postergar la presentación de informes hasta que hubiera un parche disponible.

A partir de esta tarde, vBulletin ha lanzado un parche que desactiva el módulo PHP en vBulletin para mitigar la vulnerabilidad.

"Todas las versiones anteriores deben considerarse vulnerables. Los sitios que ejecutan versiones anteriores de vBulletin deben actualizarse a vBulletin 5.6.2 lo antes posible. Para obtener más información sobre la actualización, consulte Descripción general rápida: Actualización de vBulletin Connect en los foros de soporte", el aviso de vBulletin notas.


vBulletin afirma que este módulo se eliminará por completo en la versión 5.6.4.

Para los usuarios que ejecutan servidores de producción, también puede mitigar la vulnerabilidad realizando los siguientes pasos:

  • Pon el sitio en modo de depuración.
  • Inicia sesión en AdminCP.
  • Ves a Estilos -> Administrador de estilos.
  • Abre la lista de plantillas para el estilo MASTER.
  • Desplázate hasta la parte inferior donde dice Plantillas de módulo.
  • Resalta el módulo widget_php.
  • Haz clic en el botón Revertir.
  • Esto eliminará completamente la plantilla de su sitio y hará que el módulo PHP no funcione.



0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.