ハッカーのグループは、vBulletin インターネット フォーラム ソフトウェアの文書化されていない脆弱性を悪用して、MacRumors.com および vBulletin.com フォーラムに侵入したと主張しています。
金曜日、vBulletin ソフトウェアを開発する vBulletin Solutions 社は、ハッカーがシステムに侵入し、顧客のログイン認証情報を盗んだことを確認した後、vBulletin.com サポート フォーラムのすべてのアカウントのパスワードをリセットしました。
「つい最近、当社のセキュリティチームは、フォーラムユーザー情報への不正アクセスを含む、ネットワークへの高度な攻撃を発見しました。パスワードも含まれている可能性があります」と、vBulletin Solutionsのテクニカルサポートリーダー、ウェイン・ルーク氏はフォーラムに投稿したメッセージで述べています。「現在進行中の調査で、攻撃者は当社のシステム上の顧客IDと暗号化されたパスワードにアクセスしたことが判明しています。」
ルーク氏は、他のウェブサイトでは使用していない新しいパスワードを選択するようユーザーにアドバイスした。
この発表は、Inj3ct0r チームと名乗るハッカー集団が Facebook の投稿で vBulletin.com と MacRumors.com のフォーラムに侵入したと発表した翌日に行われた。
Inj3ct0r チームは、vBulletin 4 および 5 のすべてのバージョンに影響を及ぼす、これまで知られていなかったゼロデイのリモート コード実行の脆弱性を発見し、それを悪用したと主張しています。この脆弱性により、vBulletin.com サーバーに Web シェルをアップロードし、ルート アクセスを取得して、サイトのデータベースをダウンロードすることが可能になりました。
VBulletin Solutionsは、vBulletinに存在するゼロデイ脆弱性の主張に関するコメント要請にすぐには応じなかった。
ハッカーらは、同じ脆弱性を悪用して、vBulletinソフトウェアを使用するMacRumors.comフォーラムのモデレーターのパスワードを入手し、同フォーラムのユーザー86万人のログイン認証情報を入手したと述べている。
MacRumors.comの管理者は火曜日、サイトが侵入されたと発表し、ユーザーに対し「パスワードは『ハッシュ化』されている(実際のパスワードを暗号化したものに一方向に変換するもの)が、最近のコンピュータの処理能力を考えると、パスワードがそれほど複雑でない場合は、多数の組み合わせを試して総当たり攻撃で解読される可能性がある」と警告した。
Inj3ct0rチームは、vBulletinの新しいエクスプロイトを自社のウェブサイトで販売しています。価格はWebMoneyまたはビットコインで7,000ドル相当です。皮肉なことに、ハッカーたちはウェブサイトで「当サイトをハッキングツールとして利用してほしくありません。そのため、アクセス権のない他のユーザーやウェブサイトに違法な影響を与える可能性のあるあらゆる行為は禁止され、アカウントとデータは消去されます」と述べています。
一部のウェブサイト管理者はすでにこのニュースに反応を示しており、ハッキングカンファレンス「DefCon」のコミュニティフォーラムは一時的に閉鎖され、管理者はユーザーに対し「潜在的な脆弱性が解決されるまでフォーラムを無効にしました」と通知しました。
vBulletin Solutions によれば、vBulletin では 100,000 以上のコミュニティ ウェブサイトが稼働しており、その中には Zynga、Electronic Arts、Sony Pictures、NASA、Valve Corporation などの有名企業が運営しているものも含まれています。
180万以上の登録アカウントを持つUbuntu Linuxディストリビューションのコミュニティウェブサイト、UbuntuForums.orgもvBulletinを使用しており、7月にハッキング被害に遭いました。MacRumorsの管理者は、同フォーラムへの最近の侵入はUbuntuForums.orgのハッキングに類似していると説明しています。
