ハッカーは、人気の高いインターネット フォーラム ソフトウェア vBulletin の脆弱性を悪用し、それを使用している Web サイトに不正な管理者アカウントを挿入しようとしています。
この脆弱性は、セキュリティ企業Impervaの研究者らがアンダーグラウンドのハッカーフォーラムで発見したもので、vBulletinのバージョン4.xxと5.xxを標的としている。
研究者らは水曜日のブログ投稿で、この脆弱性により、攻撃者はvBulletinの設定メカニズムを悪用して二次的な管理者アカウントを作成できると述べた。
8月末、フォーラムソフトウェアを開発するvBulletin Solutions社は、未特定のエクスプロイトベクトルが存在するため、vBulletinの展開から「インストール」ディレクトリを削除するようユーザーに対して勧告した。
同社は当時、この問題に関する追加情報の公開を拒否したが、Imperva の研究者は、発見したエクスプロイト スクリプトが狙ったのと同じ脆弱性であると考えている。
研究者らは水曜日のブログ投稿で、この脆弱性により、攻撃者はvBulletinの設定メカニズムを悪用して二次的な管理者アカウントを作成できると述べた。
攻撃がどのように起こるか
この脆弱性を悪用するには、攻撃者は、標的の vBulletin 展開のインストール ディレクトリにある upgrade.php スクリプトの正確な URL と、それらの展開に関連付けられた vBulletin 顧客 ID を知っている必要があります。
研究者らによると、この情報を入手するために、ハッカーらはvBulletinサイトをスキャンして脆弱なパスを探し、upgrade.phpページのソースコードから顧客IDを抽出する別のPHPスクリプトを作成したという。
これらの詳細を入手したら、攻撃者は作成される不正な管理者アカウントのユーザー名とパスワードを選択するだけでよく、残りの作業はエクスプロイトによって実行されます。
企業の対応
VBulletin Solutionsは、Impervaが特定した脆弱性が同社が8月に警告していたものかどうかの確認を拒否した。
「vBulletin 4とvBulletin 5のアップデートをリリースしました」と、vBulletin Solutionsのテクニカルサポートリーダー、ウェイン・ルーク氏は水曜日にメールで発表しました。「vBulletin 4.2.2とvBulletin 5.0.5です。ソフトウェアのメンテナンスのため、使用していないインストールディレクトリは削除することをお勧めします。」
「この問題に関してこれ以上の情報は提供できません」とルーク氏は述べた。
Imperva が発見したエクスプロイト スクリプトに添付されたメモによると、この脆弱性は 8 月 22 日に発見されたとのことです。
Impervaのセキュリティ研究チームリーダーであるタル・ベエリー氏は木曜日の電子メールで、「Impervaの研究者は、vBulletin 4.2.0を利用したフォーラムを悪用した攻撃のトラフィックを確認しており、バージョン4.2.1を利用した他のユーザーへの攻撃が成功したという報告もある」と述べた。ただし、同社は最新のバージョン4.2.2と5.0.5がこの脆弱性に対して脆弱であるかどうかは検証していないという。
vBulletin ユーザーが展開を保護するために削除する必要があるディレクトリは、vBulletin 4.1.x バージョンの場合は「/install」、5.x バージョンの場合は「/core/install」です。
何らかの理由でこれらのディレクトリを削除できないユーザーは、Web サーバーのアクセス構成メカニズムまたは Web アプリケーション ファイアウォールを使用して、upgrade.php へのリクエストまたはリダイレクトをブロックできると Imperva の研究者は述べています。
