Une faille zero-day fait surface sur vBulletin à cause d'un échec de patch

Certains articles de veille peuvent faire l'objet de traduction automatique.

Récemment, vBulletin a corrigé une vulnérabilité zero-day qui a été rapidement exploitée. Le bogue est apparu à la suite du contournement du correctif pour une vulnérabilité précédemment connue et corrigée.

vBulletin Zero-Day en raison d’un échec du correctif CVE-2019-16759

Selon certaines informations, en 2019, un chercheur en sécurité aurait découvert une vulnérabilité critique dans vBulletin 5.0 à 5.4. Comme révélé par le divulgation complète, le bogue pourrait permettre l’exécution de code PHP à distance lors de l’exploitation. Il a reçu l’ID CVE CVE-2019-16759 avec une cote de gravité critique et un score CVSS de 9,8.

Dans les trois jours suivant la divulgation, les fournisseurs ont déployé un correctif pour la faille.

Cependant, récemment, un autre chercheur en sécurité Amir Etemadieh a découvert que le correctif avait un problème de sécurité et pouvait trouver un moyen de contourner le correctif et d’exploiter la faille. Il a même partagé les PoC pour cela dans Bash, Python et Ruby.

Aujourd’hui, j’ai publié mes recherches sur vBulletin5, y compris un nouvel exploit pré-auth 0day RCEhttps://t.co/m7pd527lCr

POC: curl -s http: // SITE / ajax / render / widget_tabbedcontainer_tab_panel -d ‘subWidgets[0][template]= widget_php & subWidgets[0][config][code]= echo% 20shell_exec (« id »); sortie;’ pic.twitter.com/JjThUBVTmc

– Amir Etemadieh (@Zenofex) 9 août 2020

Partager les détails dans un article de blog, le chercheur a révélé que les problèmes existaient dans la structure du modèle vBulletin. Comme indiqué,

Plus précisément, les modèles ne sont pas réellement écrits en PHP, mais sont écrits dans un langage qui est d’abord traité par le moteur de modèles, puis est généré sous forme de chaîne de code PHP qui est ensuite exécutée via eval () pendant le processus de «rendu» .

De plus, les modèles peuvent avoir de nombreux modèles enfants après avoir été imbriqués. Cette structure a déclenché de nombreux bogues de sécurité. Un bogue dans un modèle pourrait également exposer un autre code, y compris le modèle parent.

Ainsi, le chercheur pouvait contourner le correctif en exploitant le modèle «widget_tabbedcontainer_tab_panel» qui avait deux fonctionnalités.

1. La capacité des modèles à charger un modèle enfant contrôlé par l’utilisateur.
2. Le modèle charge le modèle enfant en prenant une valeur à partir d’une valeur nommée séparément et en la plaçant dans une variable nommée «widgetConfig».

Il a également partagé un présentation pour quiconque de tester l’exploit.

vBulletin a publié un autre patch

Après avoir découvert la faille, le chercheur n’a pas divulgué la vulnérabilité en privé aux fournisseurs et a plutôt divulgué les détails en ligne.

Peu de temps après la divulgation, les attaquants ont exploité la vulnérabilité pour pirater le forum DEFCON.

vBulletin a récemment publié un correctif pour cette faille. Comme annoncé, ils ont corrigé le bogue avec la sortie des versions 5.6.2, 5.6.1 et 5.6.0 de vBulletin Connect. Alors que cela n’a pas affecté les sites vBulletin Cloud.

Faites-nous part de vos réflexions dans les commentaires.