本周有匿名人士在網路公布了商業論壇軟體vBulletin的零時差漏洞,以及只有18行的概念性驗證攻擊程式,且傳出已有駭客針對該漏洞展開攻擊,vBulletin團隊則在周四(9/26)緊急修補了該漏洞。
vBulletin為一提供討論區、內容管理系統及部落格等功能的付費軟體,宣稱全球已有超過10萬個網站採用。
本周被公布的安全漏洞編號為CVE-2019-16759,駭客無需具備論壇帳號,只要傳送一個特製的HTTP POST請求至vBulletin就能執行命令,可執行的命令型態則視vBulletin服務所使用的用戶帳號權限而定,可能允許駭客掌控整個系統。
資安專家認為這是個既嚴重又容易開採的高危險漏洞,預期它很快就會吸引眾多駭客,而來自於Bad Packets的Troy Mursch已經察覺首波的攻擊,駭客不但藉由公開的攻擊程式開採了該漏洞,還變更了系統配置,以讓未來要傳送命令都得輸入密碼,防堵其它駭客的開採行動,收編這些vBulletin伺服器成為自己的殭屍網路。大多數的攻擊流量來自巴西、越南與印度。
CVE-2019-16759影響vBulletin 5.0.0到5.5.4的版本,漏洞的嚴重性也讓vBulletin團隊緊急釋出安全更新,修補了vBulletin 5.5.2、5.5.3及5.5.4,並建議5.5.2以前版本的用戶儘快升級。
不過,專門收購零時差漏洞與攻擊程式的Zerodium執行長Chaouki Bekrar指出,先前就有許多研究人員對外銷售CVE-2019-16759的攻擊程式,Zerodium客戶至少在3年前便知道此一漏洞的存在。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19