Alert!

Forensoftware vBulletin: Neue Angriffstechnik hebelt alten Security-Patch aus

vBulletin-Forenbetreiber sollten jetzt handeln: Angreifer nutzen frischen Exploit-Code gegen eine Sicherheitslücke, die 2019 (nicht richtig) gefixt wurde.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Forensoftware vBulletin: Neue Angriffstechnik hebelt alten Security-Patch aus

(Bild: AFANASEV IVAN/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Olivia von Westernhagen

Im September vergangenen Jahres haben die Entwickler der Forensoftware vBulletin eine kritische Sicherheitslücke geschlossen, die entfernten Angreifern ohne vorherige Authentifizierung das Ausführen beliebiger Befehle – und damit die vollständige Kompromittierung verwundbarer Foren – ermöglichte. Über die Lücke mit der CVE-Nummer CVE-2019-16759 haben wir damals berichtet:

Nun hat ein Forscher Proof-of-Concept-Code in mehreren Programmiersprachen veröffentlicht, der den alten Patch aushebelt – und zwar so, dass auch die aktuelle stabile vBulletin-Version 5.6.2 angreifbar ist. Da im Falle von CVE-2019-16759 als verwundbare Versionen 5.0 bis 5.4 angegeben waren, dürften nun also alle Versionen seit 5.0 attackierbar sein.

Der Forscher hat offenbar darauf verzichtet, abzuwarten, bis das vBulletin-Team einen Patch veröffentlicht. Informiert beziehungsweise alarmiert sein dürfte dieses mittlerweile allerdings in jedem Fall: Jeff Moss, Gründer der IT-Sicherheitskonferenzen Black Hat und Def Con, teilte via Twitter mit, dass das Def Con-Forum bereits drei Stunden nach Veröffentlichung des PoC-Codes im Blogeintrag des Forschers angegriffen worden sei.

Wenigstens nennt der Forscher im Blogeintrag einen Workaround, der Attacken mittels wiederbelebter CVE-2019-16759 wirkungslos machen soll – und auf den vermutlich auch das Def Con-Team zurückgriff. Demnach soll man

  • sich am Admin-Control-Panel von vBulletin anmelden,
  • im Dropdown-Menü links auf "Settings --> Options" wechseln,
  • dort "General Settings" und dann "Edit Settings" auswählen und schließlich
  • die Option "Disable PHP, Static HTML, and Ad Module rendering” auf "Yes" setzen.

Sobald ein Update verfügbar ist, sollte man dies selbstverständlich, völlig unabhängig vom Workaround, zügig einspielen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(ovw)