Geçtiğimiz hafta sıfır gün statüsüne sahip olan ve yakın zamanda açıklanan bir vBulletin güvenlik açığı , siber güvenlik çözümleri sağlayıcısı Comodo’nun forumlarını hedef alan bir hacker saldırısında kullanıldı.
Comodo Pazartesi günü müşterilerine , Comodo Forumları hesaplarıyla ilişkili verilere, vBulletin güvenlik açığından yararlandıktan sonra tehdit oyuncuları tarafından erişilebileceğini bildirdi.
Şirket, saldırganların kullanıcı adlarını, isimleri, e-posta adreslerini, IP adreslerini, şifre karmaları (hash) ve bazı durumlarda sosyal medya kullanıcı adlarını almış olabileceğini belirtti. Kullanıcıların, önlem almak için şifrelerini değiştirmeleri tavsiye edildi. Comodo, forumlarının şu anda yaklaşık 245.000 kullanıcısı olduğunu söylüyor.
Bazı kullanıcıların da belirttiği gibi, Comodo’nun ana forum sitesi Simple Machines Forum tarafından desteklenmektedir. Öte yandan, ITarian IT yönetim platformuna adanmış Comodo’nun ITarian forumu ve forum.comodo.com’da barındırılan forum vBulletin kullanıyor gibi görünüyor.
Yaklaşık 45.000 kayıtlı kullanıcısı olan ITarian forumu, kullanıcıları ayrıca yakın zamanda eklenmiş vBulletin güvenlik açığından yararlanan bir veri ihlali konusunda da uyardı . ITarian forum ihlallerinde kullanıcı adları, şifre adresleri, e-posta adresleri, IP’ler ve bazı sosyal medya kullanıcı adları tehlikeye girmiştir. Forum.comodo.com’da barındırılan forum yalnızca 1.700 üyeye sahip görünüyor.
Bleeping Computer ,sızdırılan veya çalınan verilerin satıldığı ve değiş tokuş edildiği bir web sitesinde 170.000’den fazla Comodo Forum kullanıcısı hakkında bilgi sunulduğunu bildirdi. Hacker 29 Eylül’de verileri elde ettiğini iddia ediyor.
Bu saldırılarda yararlanılan vBulletin güvenlik açığı , kimliği doğrulanmamış bir saldırganın vBulletin 5 tarafından desteklenen web sitelerinde rasgele komutlar çalıştırmasına izin veren CVE-2019-16759’dur .
Bu açığı kullanan saldırılar, bilimeyen bir bilgisayar korsanının 23 Eylül’de bir kavram kanıtı (PoC) istismarını yayınlamasından kısa süre sonra tespit edildi, ancak vBulletin geliştiricileri 25 Eylül’de bir düzeltme eki yayınladılar .
Exploit broker firması Zerodium, güvenlik açığının bilgisayar korsanları tarafından en az 3 yıldır biliniyor olduğunu iddia ediyor.
Web güvenlik firması Imperva, geçtiğimiz hafta güvenlik duvarlarının, CVE-2019-16759’u içeren saldırıları engelleme kuralının yürürlüğe girmesinden bir gün sonra kabaca güvenlik açığından yararlanmaya yönelik 10.000’den fazla girişimi engellediğini bildirdi.
Cloudflare ayrıca müşterilerini potansiyel saldırılara karşı korumak için yeni bir kural yayınladı.