Geçtiğimiz günlerde sık kullanılan bir forum alt yapısı Vbulletin yazılımında açıklar olduğuna dair bir haber yayınlamıştık. Hatta bir kaç gün sonra Vbulletin alt yapısı kullanan Comodo forumlarının hacklenip kullanıcı bilgilerinin ele geçirildiği ortaya çıkmıştı.
Bir güvenlik araştırmacısı Vbulletin forum yazılımında yine açıklar tespit etti. 3 adet önem derecesi yüksek bu açıklar yayınlanan güvenlik güncellemesi ile düzeltilmiş durumda. vBulletin 5.5.4 ve önceki sürümleri etkilediği bildirilen güvenlik açıkları, uzaktan saldırganların hedeflenen web sunucuları üzerinde tam kontrol sahibi olmalarını ve hassas kullanıcı bilgilerini çalmalarını sağlıyor.
PHP’de yazılmış olan vBulletin, Fortune 500 ve Alexa Top 1 milyon şirketin web siteleri ve forumları dahil olmak üzere, İnternet üzerinde 100.000’den fazla web sitesine güç veren, yaygın olarak kullanılan bir Internet forum yazılım paketidir.
Uygulama güvenliği araştırmacısı Egidio Romano tarafından keşfedilen ve CVE-2019-17132 olarak tanımlanan ilk güvenlik açığı, uzak bir kod yürütme kusuru (RCE), diğer ikisi ise CVE-2019-17271 olarak tanımlanan SQL enjeksiyon sorunlarıdır ve her ikisine tek bir kimlik atanmıştır.
vBulletin RCE ve SQLi Hataları
RCE kusuru, vBulletin forumu’nun kullanıcı isteklerini profilleri, kullanıcının bir simge veya grafik gösterimi için güncelleme isteklerini işlemesi ve uzak bir saldırganın hedef sunucuda rasgele PHP kodu enjekte etmesine ve çözmesine olanak sağlaması şeklinde bulunur.
Ancak, bu güvenlik açığının vBulletin forumunun varsayılan kurulumunda istismar edilemediği, web sitesinin yöneticisi tarafından “Avatarları Dosya Olarak Kaydet” seçeneğinin etkin olduğu durumlarda istismarın mümkün olduğu unutulmamalıdır.
Romano ayrıca bu RCE güvenlik açığı için kamuya açık bir kavram kanıtı yayımladı .
Diğer iki güvenlik açığı, iki ayrı uç noktada bulunan bant içi ve zamana dayalı SQL enjeksiyon sorunları olup, yöneticilerin veritabanından hassas verileri okumalarına izin verebilir.
Bu iki SQL enjeksiyon kusurunun hiçbir kayıtlı kullanıcı tarafından kullanılamadığından ve özel izinler gerektirdiğinden, vBulletin forum yöneticileri ve kullanıcıların panik yapmaları gerekmez.
Güvenlik Yamaları Yayımlandı
Romano, geçtiğimiz hafta 30 Eylül’de vBulletin proje sorumlularına tüm açıkları sorumlu bir şekilde bildirdi ve ekip bulgularını onayladı ve rapor edilen kusurları gideren aşağıdaki güvenlik düzeltme eki güncellemelerini yayınladı .
- vBulletin 5.5.4 Patch Level 2
- vBulletin 5.5.3 Patch Level 2
- vBulletin 5.5.2 Patch Level 2
Bilgisayar korsanlarının forum kullanıcılarını hedeflemek için güvenlik açıklarını kullanmaya başlamadan önce Vbulletin kullanan forum yöneticilerine güvenlik düzeltme ekini uygulamalarını şiddetle tavsiye ediyoruz