Неисправленная критическая уязвимость в движке для создания web-форумов vBulletin (дополнено)

Раскрыта информация о неисправленной (0-day) критической уязвимости (CVE-2019-16759) в проприетарном движке для создания web-форумов vBulletin, позволяющей выполнить код на сервере через отправку специально оформленного POST-запроса. Для проблемы доступен рабочий эксплоит. vBulletin используется многими открытыми проектами, в том числе на базе данного движка работают форумы Ubuntu, openSUSE, BSD-систем и Slackware.

Уязвимость присутствует в обработчике «ajax/render/widget_php», который допускает передачу произвольного shell-кода через параметр «widgetConfig[code]» (просто передаётся код для запуска, даже не нужно ничего экранировать). Для атаки не требуется аутентификация в форуме. Проблема подтверждена во всех выпусках актуальной ветки vBulletin 5.x (развивается с 2012 года), включая самый свежий выпуск 5.5.4. Обновление с исправлением пока не подготовлено.

Дополнение 1: Для версий 5.5.2, 5.5.3 и 5.5.4 выпущены патчи. Обладателям более старых выпусков 5.x для устранения уязвимости рекомендовано вначале обновить свои системы до актуальных поддерживаемых версий, но в качестве обходного способа защиты можно закомментировать вызов «eval($code)» в коде функции evalCode из файла includes/vb5/frontend/controller/bbcode.php.

Дополнение 2: Уязвимость уже активно применяется для атак, рассылки спама и оставления бэкдоров. Следы атаки можно наблюдать в логах http-сервера по присутствию запросах строки «ajax/render/widget_php».

Дополнение 3: Всплыли следы использования обсуждаемой проблемы в старых атаках, судя по всему, уязвимость уже эксплуатируется около трёх лет. Кроме того, опубликован скрипт, который можно использовать для совершения массовых автоматизированных атак с поиском уязвимых систем через сервис Shodan.

Источник: opennet.ru