Hari nol vBulletin baru dapat menginfeksi ribuan situs di seluruh dunia

Rincian tentang zero-day dalam perangkat lunak forum internet populer vBulletin telah dipublikasikan secara online oleh peneliti keamanan anonim.

Menyusul pengungkapan itu, para pakar keamanan menjadi khawatir bahwa dengan mempublikasikan rincian tentang kerentanan yang belum ditambal, peneliti anonim itu mungkin baru saja memicu gelombang masuk peretasan forum di internet yang bisa membuat peretas mengambil alih forum dan mencuri informasi yang terkandung di dalamnya dalam jumlah besar .

Analisis kode yang diterbitkan telah mengungkapkan bahwa zero-day memungkinkan penyerang untuk mengeksekusi perintah shell pada server yang menjalankan instalasi vBulletin. Kerentanannya cukup parah karena penyerang bahkan tidak perlu memiliki akun di forum yang ditargetkan untuk meluncurkan serangan terhadapnya.

Zero-day yang ditemukan di vBulletin dikenal sebagai kerentanan eksekusi kode jauh pra-otentikasi dan merupakan salah satu jenis kesalahan keamanan terburuk yang dapat berdampak pada platform berbasis web.

Pengungkapan anonim

Rincian tentang nol-hari di vBulletin diterbitkan pada milis akses publik, Pengungkapan Penuh.

Peneliti keamanan sering mengungkapkan kerentanan setelah mereka memberi tahu perusahaan dan memberikan waktu yang cukup untuk menambal kelemahan. Namun dalam kasus ini, masih belum jelas apakah peneliti anonim melaporkan kerentanan langsung ke tim vBulletin atau jika mereka mengungkapkan kerentanan setelah perusahaan gagal mengatasi masalah dengan cukup cepat. Biasanya peneliti keamanan memberi bisnis setidaknya 90 hari untuk menambal kerentanan sebelum memaparkannya kepada publik.

Pada saat yang sama, pengungkapan itu bisa juga merupakan tindakan kejahatan yang disengaja atau sabotase dengan peneliti yang mencoba melukai reputasi MH Sub I, perusahaan di balik vBulletin. Peneliti dapat menyembunyikan identitas mereka ketika mempublikasikan rincian tentang zero-day dengan menggunakan layanan email anonim. Namun, jika peneliti melaporkan nol-hari langsung ke perusahaan, mereka bisa menerima hadiah bug senilai $ 10.000 menurut grafik harga MH Sub I.

Sekitar 0,1 persen dari semua situs internet menjalankan forum yang didukung oleh vBulletin dan jumlah ini mungkin terlihat kecil tetapi miliaran pengguna internet dapat dipengaruhi oleh zero-day ini. Untungnya, zero-day hanya memengaruhi forum yang menjalankan vBulletin 5.x, sehingga forum yang menjalankan versi sebelumnya aman.

Pengguna yang bertanggung jawab atas forum vBulletin harus terlebih dahulu memeriksa untuk melihat versi perangkat lunak mana yang mereka jalankan dan jika mereka menggunakan versi terbaru, peneliti keamanan telah merilis tambalan tidak resmi untuk mengurangi hari-nol.

Melalui ZDNet