vBulletin论坛程序中存在一个严重漏洞,攻击者可以利用其扫描服务器或者执行任意代码。安全研究员Dawid Golunski在发现漏洞之后,写了一个exp证明了这个漏洞的存在,并且已经将这一漏洞报告给了vBulletin相关负责人。
8月5日所发布的一系列vBulletin版本,如3.8.9 、3.8.10 beta、4.2.3、4.2.4beta以及5.2.3,已经修复了Dawid Golunski所发现的漏洞。
Golunski发现的这个服务端请求伪造(SSRF)漏洞可以使得攻击者远程入侵一些内部服务,例如邮件服务器,分布式的存储系统,甚至是本地网络上的服务,如Zabbix监控。
vBulletin中的SSRF 漏洞可很容易的被攻击者利用,攻击的严重性取决于目标服务器(以及所在局域网)的内部功能。Golunski写的POC扫面这些程序的内部服务后,发现了信息泄露的风险。VBulletin论坛程序已经被超过40000个在线社区使用,因此这一漏洞所带来的信息泄露的安全风险极其巨大。
该漏洞可以用于本地服务的端口扫描,这个可以导致信息泄露。如果目标服务器运行的是弱配置的服务,将会造成很大的影响,例如,Zabbix代理可以在目标系统上执行命令,并允许未经授权的攻击者远程访问服务器。
Golunski还表示,攻击者可能会滥用vBulletin的某个功能,允许用户自主上传文件。
“某些页面可允许用户指定一个URL共享媒体文件,但是用户提供的链接只有经过验证,确保用户只能通过HTTP/HTTPS协议访问资源,而不是通过本地主机。”
漏洞工作原理
这类论坛程序按理应同时能够阻止HTTP 重定向,但是Golunski发现软件中的一个功能区域并不能阻止这一行为的发生。具体来讲,这一区域就是在上文中所提到的使用正常用户所提供的媒体URL代码区域,这部分代码的功能就是让正常用户能够上传媒体文件。
Golunski举例讲解了这一漏洞的工作:通过将链接目标修改为一个恶意服务器,将301HTTP 重定向到如http://localhost:3306这样的网站,攻击者就能够跳过论坛程序阻止重定向的发生,并在本地服务器上建立一个mysql/3306 的监听,用以监听服务器的活动。上述过程所描述的就是服务端虚假请求漏洞。
同时需要补充说明的是,curl工具被广泛应用于远程获取资源,以至于远程攻击者可以利用多种协议来攻击本地服务。例如:通过发送一个重定向地址到gopher://localhost:1121/datahere(攻击者所使用的虚假地址),攻击者可以在11211端口建立一个链接分布式服务器的通道,这一通道可以实现攻击者的所有目的。
vBulletin一直都是黑客的攻击目标,例如在2013年,黑客们曾利用一个0day漏洞攻击了Macrumors论坛,导致860000多个加密密码被泄露。
还没有评论,来说两句吧...