Peneliti Menerbitkan Patch Bypass untuk vBulletin 0-Day


Seorang peneliti keamanan telah menerbitkan kode bukti konsep untuk mengakali tambalan yang dikeluarkan tahun lalu untuk kerentanan zero-day yang ditemukan di vBulletin, perangkat lunak populer untuk membangun forum komunitas online

Menyebut tambalan untuk cacat sebagai "gagal" dan "tidak memadai dalam eksploitasi pemblokiran," peneliti keamanan yang berbasis di Austin Amir Etemadieh menerbitkan detail dan contoh kode eksploitasi pada tiga platform pengembang– Bash, Python, dan Ruby – untuk tambalan dalam pos yang diterbitkan Malam minggu.

Pada 23 September 2019, seorang peneliti keamanan tak dikenal merilis kode eksploitasi untuk cacat yang memungkinkan eksekusi kode jarak jauh PHP di vBulletin 5.0 hingga 5.4, tulis Etemadieh.

Zero-day, CVE-2019-16759, disebut bug RCE pra-otorisasi, yang dapat memungkinkan penyerang menjalankan kode berbahaya dan mengambil alih forum tanpa perlu mengautentikasi di situs yang diserang.

“Bug ini (CVE-2019-16759) diberi label sebagai 'bugdoor' karena kesederhanaannya oleh broker kerentanan populer dan ditandai dengan skor CVSS 3,x 9,8 sehingga memberikan peringkat kritis,” katanya dalam posting tersebut.

Sebuah patch dikeluarkan dua hari kemudian, 25 September 2019, yang “tampaknya, pada saat itu, memperbaiki bukti eksploitasi konsep yang diberikan oleh penemu yang tidak disebutkan namanya,” kata Etemadieh.

Namun tampaknya tidak demikian, karena Etemadieh menguraikan bagaimana hal itu dapat dilewati pada tiga platform pengembang dalam tiga bukti konsep / Proof Of Concept yang terpisah.

Masalah utama dengan tambalan yang dikeluarkan untuk Zero-Day terkait dengan bagaimana sistem template vBulletin disusun dan bagaimana ia menggunakan PHP, tulisnya di pos.

“Template sebenarnya tidak ditulis dalam PHP tetapi ditulis dalam bahasa yang diproses pertama kali oleh mesin template dan kemudian dikeluarkan sebagai string kode PHP yang kemudian dijalankan melalui eval () selama proses 'rendering', Menurut postingan tersebut. “Template juga bukan item yang berdiri sendiri tetapi dapat disarangkan di dalam template lain, dalam satu template tersebut dapat memiliki sejumlah template turunan yang disematkan di dalamnya.”

Tambalan ini “berpandangan sempit” karena menghadapi masalah saat menghadapi templat anak yang dikontrol pengguna, tulis Etemadieh. Dalam kasus ini, template induk akan diperiksa untuk memverifikasi bahwa routestring tidak diakhiri dengan rute widget_php, kata Etemadieh.

“Namun kami masih terhalang untuk menyediakan payload dalam nilai widgetConfig karena kode dalam proses rendering, yang membersihkan nilai widgetConfig sebelum eksekusi template,” tulisnya dalam postingannya.


Etemadieh selanjutnya menunjukkan bagaimana template lain yang muncul di patch adalah “asisten yang sempurna dalam melewati tambalan CVE-2019-16759 sebelumnya” berkat dua fitur utama: kemampuan templat untuk memuat templat turunan yang dikendalikan pengguna, dan bagaimana templat itu memuat template turunan dengan mengambil nilai dari nilai bernama terpisah dan menempatkannya ke dalam variabel bernama "widgetConfig".

"Dua karakteristik template 'widget_tabbedcontainer_tab_panel' ini memungkinkan kami untuk secara efektif melewati semua pemfilteran yang sebelumnya dilakukan untuk mencegah CVE-2019-16759 dieksploitasi," tulisnya.

Tidak jelas apakah Etemadieh memberi tahu vBulletin sebelum memposting solusi; namun, sebuah laporan di ZDNet menyatakan bahwa dia tidak melakukannya. Tidak masalah, dia memberikan perbaikan cepat untuk bypass patch di postingannya, menunjukkan cara menonaktifkan widget PHP dalam forum vBulletin yang "dapat merusak beberapa fungsi tetapi akan membuat Anda tetap aman dari serangan sampai patch dirilis oleh vBulletin," dia menulis.

Untuk menerapkan perbaikan, administrator harus:

  1. Buka panel kontrol administrator vBulletin.
  2. Klik "Setelan" di menu sebelah kiri, lalu "Opsi" di menu tarik-turun.
  3. Pilih "Pengaturan Umum" dan kemudian klik "Edit Pengaturan"
  4. Cari "Nonaktifkan PHP, HTML Statis, dan rendering Modul Iklan", Setel ke "Ya"
  5. Klik "Simpan"

Forum online adalah target populer bagi peretas karena mereka biasanya memiliki basis pengguna yang luas dan beragam dan menyimpan sejumlah besar informasi identitas pribadi tentang pengguna tersebut.

Memang, peretas tidak membuang waktu menggunakan bypass Etemadieh untuk mencoba meretas forum di konferensi keamanan DEF CON, menurut sebuah pos di Twitter oleh DEFCON dan pendiri Black Hat Jeff Moss. Namun, administrator dengan cepat menerapkan saran Etemadieh untuk menonaktifkan PHP untuk menggagalkan serangan itu, tweetnya.

“Nonaktifkan rendering PHP untuk melindungi diri Anda sendiri sampai ditambal!” Moss menasihati.

Posting Komentar

0 Komentar