Angriffe auf verwundbare vBulletin-Versionen

Nutzer von vBulletin in den Versionen 5.1.4 bis 5.1.9 sollten den aktuellen Patch (Log-in erforderlich) zügig einspielen, denn Symantec warnt aktuell vor Angriffen.

Den Sicherheitsforschern zufolge bauen Angreifer dafür auf einen Exploit, den eine unbekannte Person zum Verkauf angeboten hat. Die Lücke klaffe seit drei Jahren in der Forensoftware. Anfang dieses Monats soll es mehr als 2.500 Angriffsversuche pro Tag gegeben haben.

Um Server auf Verwundbarkeiten zu überprüfen, schicken Angreifer Symantec zufolge folgende Anfragen raus:

• http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:6:"assert";}}s:12:"*recordset";s:20:"print_r(md5(233333))";}
• http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:7:"phpinfo";}}s:12:"*recordset";i:1;}

Admins können ihre Log-Dateien nach diesen Einträgen durchsuchen, um Übergriffe festzustellen. Stoßen die Angreifer auf eine gefährdete vBulletin-Version, können sie etwa Dateien, Log-in-Daten von Admins und private SSH-Schlüssel abziehen. Das soll über ein bösartiges Skript geschehen, das Angreifer dem Server aufgrund der Sicherheitslücke unterjubeln können.

Zudem können gekaperte Webseiten als Malwareschleuder dienen und die Server für DDoS-Attacken missbraucht werden, warnen die Sicherheitsforscher. (des)