Am 24. September veröffentlichte ein unbekannter auf Fulldisclosure einen Pre-Auth-Remote-Code-Execution - Exploit gegen das populäre Forum vBulletin.
Ein Patch ist seit dem 26.09. im vBulletin-Forum verfügbar
12h nach Erscheinen des Exploits wurde ein Massexploit-Tool inkl. Liste mit 2000 IPs veröffentlich, das kurz danach in-the-wild gesehen wurde.
24h später sind bereits alle öffentlich erreichbaren Installationen exploited und der Angrifsweg mit einem Passwort gesichert, sodass ein Eindringen nicht mehr möglich ist; ein Threat-Actor hat sich also alle Ressourcen gesichert.
Eine kurze Analyse des Bugs hat James Bercegay angefertigt
Mitigation
- vBulletin abschalten
Betroffene Versionen:
- 5.0 - 5.5.4
Fragen? Kontakt: info@zero.bs