Nueva Vulnerabilidad 0-Day de RCE y exploit público expuesto

Un investigador de seguridad el día de hoy reveló públicamente detalles y la prueba de concepto para explotar una vulnerabilidad crítica de ejecución de código remoto de día cero sin parches, que afecta al ampliamente utilizado software de foros en Internet vBulletin que ya está bajo explotación activa en la naturaleza.

vBulletin es un paquete de software de foro de Internet patentado ampliamente utilizado basado en PHP y servidor de base de datos MySQL que alimenta más de 100.000 sitios web en Internet, incluyendo Fortune 500 y Alexa Top 1 millón de empresas sitios web y foros.

En setiembre del año pasado, otro investigador de seguridad anónimo publicó otro zero-day de una vulnerabilidad de RCE (Remote Code Execution) en vBulletin, identificado como CVE-2019-16759, y recibió una criticidad de 9.8, esta vulnerabilidad permite al atacante ejecutar comandos maliciosos en el servidor remoto sin autenticación requerida por el foro.
Un día después de haberse expuesto esta vulnerabilidad, el equipo de vBulletin resolvió este problema, pero resultó insuficiente para bloquear la explotación de la falla.

Bypasseando el parche para la vulnerabilidad de RCE – CVE-2019-16759

El recientemente lanzado 0-day, descubierto y expuesto públicamente por el investigador de seguridad Amir Etemadieh (Zenofex), is un bypass para el CVE-2019-16759. En el momento en que se hizo público no se recibió un CVE.

La última vulnerabilida zero-day fue vista como caso severo porque era explotable remotamente y no requería autenticación. Se puede explotar fácilmente utilizando un código de explotación de un solo comando de una línea que puede resultar en la ejecución remota de código en el último software vBulletin.

Según el investigador, el parche para CVE-2019-16759 no resolvió los problemas presentes en la plantilla «widget_tabbedcontainer_tab_panel», es decir, su capacidad para cargar una plantilla secundaria controlada por el usuario y cargar la plantilla secundaria, toma un valor de un valor nombrado por separado y lo coloca en una variable llamada «widgetConfig», lo que permite al investigador omitir el parche de seguridad para el CVE-2019-16759.

El investigador también publicó 3 PoC exploits escritos en lenguajes como Bash, Python y Ruby.

Parche y Mitigación Oficial de vBulletin

El equipo de vBulletin respondió inmediatamente a la vulnerabilidad 0-day publicado públicamente y lanzó un nuevo parche de seguridad que desactiva el módulo PHP en el software vBulletin para abordar el problema, asegurando a sus usuarios que se eliminará por completo en la futura versión de vBulletin 5.6.4.

Los mantenedores del foro aconseja a los desarrolladores a considerar todas las versiones anteriores de vBulletin vulnerables y actualizar sus sitios para ejecutar vBulletin 5.6.2 tan pronto como sea posible. Los desarrolladores pueden comprobar la actualización en Quick Overview: Actualización de vBulletin Connect en los foros de soporte para obtener más información sobre la actualización.

En caso que no se pueda actualizar, también se recomienda deshabilitar los widgets de php que tengan habilitados en sus foros.

Fuente: TheHackerNews

Comments are closed.