人気の商用インターネット フォーラム ソフトウェア vBulletin の開発者は、潜在的な脆弱性を調査しており、予防措置として、展開環境から「インストール」ディレクトリを削除するようユーザーにアドバイスしました。
「vBulletin 4.1+および5+のインストールディレクトリに潜在的な脆弱性が見つかりました」と、ソフトウェア開発会社vBulletin Solutionsのテクニカルサポートリーダー、ウェイン・ルーク氏が今週、vBulletinコミュニティフォーラムで発表しました。「現在、当社の開発者がこの問題を調査中です。必要と判断された場合は、必要なパッチをリリースいたします。」
Luke氏は、まだ公表されていない問題を軽減するため、vBulletinのインストールディレクトリから「install」ディレクトリを削除するようユーザーにアドバイスしました。削除すべきディレクトリは、vBulletin 4.1.xバージョンの場合は「/install」、5.xバージョンの場合は「/core/install」です。
このディレクトリには通常、元のインストール プロセスとその後のアップグレード中に使用されるスクリプトとファイルが含まれます。
vBulletinマニュアルの「インストール後のクリーンアップ」セクションでは、セキュリティ対策として「install」ディレクトリ内のすべてのファイルとサブディレクトリを削除することが推奨されています。ただし、ディレクトリ自体を削除することは推奨されていません。
現在調査中のこの脆弱性によって潜在的な攻撃者が何を実行できるようになるかは不明だが、開発者から事前に警告が出されていたという事実は、深刻な影響を及ぼす可能性があることを示唆している。
ルーク氏は、この攻撃の性質に関する情報の開示を拒否した。
「申し訳ありませんが、お客様の安全のため、現時点でこの問題についてお話しすることはできません」と彼は木曜日に電子メールで述べた。
「ログを改めて確認すると、/core/install に対する具体的なスキャンは確認できませんが、/install に対するディスカバリリクエストは継続的に発生しています」と、ウェブサイトセキュリティ監視およびマルウェア除去サービスを提供するSucuriの最高セキュリティ責任者、ダニエル・シド氏はブログ記事で述べています。「これがvBulletinや他のCMS(コンテンツ管理システム)に関連しているかどうかはまだわかりません。」
攻撃者は、Web サイトに侵入するために、一般的なコンテンツ管理システムの脆弱性を常に悪用しようとしています。vBulletin は、WordPress、Joomla、その他の汎用 CMS ソフトウェアほど多くの Web サイトで使用されているわけではありませんが、インターネット ディスカッション フォーラムを設定するための最も人気のあるアプリケーションの 1 つです。
vBulletin Solutions によれば、vBulletin では 100,000 以上のコミュニティ ウェブサイトが稼働しており、その中には Zynga、Electronic Arts、Sony Pictures、NASA、Valve Corporation などの有名企業が運営しているものも含まれています。
背景
7月、180万以上の登録アカウントを持つUbuntu LinuxディストリビューションのコミュニティサイトUbuntuForums.orgにハッカーが侵入し、メールアドレスやパスワードハッシュなどのユーザー情報にアクセスしました。このサイトはvBulletinを使用していました。
「要約すると、根本的な原因は、侵害された個人アカウントと、フォーラムアプリケーションソフトウェアであるvBulletinの設定の組み合わせでした」と、サイトを運営するCanonical社は事件後のブログ投稿で述べた。
