Angriffe auf verwundbare vBulletin-Versionen
Cyber-Kriminelle nutzen derzeit aktiv eine SicherheitslĂĽcke in der Forensoftware vBulletin aus.
Nutzer von vBulletin in den Versionen 5.1.4 bis 5.1.9 sollten den aktuellen Patch (Log-in erforderlich) zĂĽgig einspielen, denn Symantec warnt aktuell vor Angriffen.
Den Sicherheitsforschern zufolge bauen Angreifer dafĂĽr auf einen Exploit, den eine unbekannte Person zum Verkauf angeboten hat. Die LĂĽcke klaffe seit drei Jahren in der Forensoftware. Anfang dieses Monats soll es mehr als 2.500 Angriffsversuche pro Tag gegeben haben.
Um Server auf Verwundbarkeiten zu ĂĽberprĂĽfen, schicken Angreifer Symantec zufolge folgende Anfragen raus:
http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:6:"assert";}}s:12:"*recordset";s:20:"print_r(md5(233333))";}http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:7:"phpinfo";}}s:12:"*recordset";i:1;}
Admins können ihre Log-Dateien nach diesen Einträgen durchsuchen, um Übergriffe festzustellen. Stoßen die Angreifer auf eine gefährdete vBulletin-Version, können sie etwa Dateien, Log-in-Daten von Admins und private SSH-Schlüssel abziehen. Das soll über ein bösartiges Skript geschehen, das Angreifer dem Server aufgrund der Sicherheitslücke unterjubeln können.
Zudem können gekaperte Webseiten als Malwareschleuder dienen und die Server für DDoS-Attacken missbraucht werden, warnen die Sicherheitsforscher.
(des)
