Botnet Aprovecha El 0dDay De RCE En vBulletin (Parchea!)

Hace un par de días hablamos de una vulnerabilidad Zero-Day que afectaba a instalaciones de vBulletin en su versión 5.0.0 a 5.5.4. El mismo día que informábamos de la noticia, el experto en ciberseguridad Troy Mursch, detectó la actividad de una nueva botnet que aprovecha este fallo en el popular sistema de foros para comprometer las máquinas donde se encuentra.

También se ha publicado la herramienta vBulletin-Pwn en GitHub:
Como dato curioso, el malware no solo compromete el sistema y lo convierte en un esclavo más del administrador de la botnet, sino que también bloquea a otros atacantes que intenten explotar la vulnerabilidad.

Para llevar a cabo sus acciones, los atacantes han utilizado un exploit que modifica el código del archivo "includes/vb5/frontend/controller/bbcode.php" permitiendo la ejecución de código de forma remota y bloqueando además a otros atacantes a través del parámetro $_REQUEST["epass"], que requerirá una contraseña al atacante antes de ejecutar el eval($code) utilizado para ejecutar comandos en la máquina vulnerable.
En la captura de pantalla ofrecida por el equipo de Bad Packets puede verse la clave utilizada por el atacante: "2dmfrb28nu3c6s9j".

Según Chaouki Bekrar, CEO y fundador de Zerodium, la empresa dedicada a la compra-venta de exploits, pudieron estar vendiendo este Zero-Day y su correspondiente exploit desde hace al menos tres años.
Les recordamos a todos los usuarios de vBulletin que podrían estar en riesgo y deberían aplicar cuanto antes el parche para la vulnerabilidad CVE-2019-16759.

Fuente: Hispasec

Via: feedproxy.google.com
Botnet Aprovecha El 0dDay De RCE En vBulletin (Parchea!) Botnet Aprovecha El 0dDay De RCE En vBulletin (Parchea!) Reviewed by Unknown on 10:49 Rating: 5