Τρίτη, 27 Οκτωβρίου, 19:59
Αρχική security vBulletin: Νέο zero-day επηρεάζει χιλιάδες forums παγκοσμίως!

vBulletin: Νέο zero-day επηρεάζει χιλιάδες forums παγκοσμίως!

Ένας ερευνητής ασφαλείας του οποίου το όνομα παραμένει άγνωστο, δημοσίευσε λεπτομέρειες για ένα zero-day της vBulletin, του γνωστού δηλαδή software των internet forums.

vBulletin

Και είναι αυτή ακριβώς η δημοσίευση των λεπτομερειών, που ελλοχεύει κάποιους κινδύνους. Ο λόγος; Η δημοσίευση της ευπάθειας έγινε πριν προλάβει να επιδιορθωθεί, πράγμα που σημαίνει ότι ενδέχεται να προκληθούν hacking επιθέσεις σε forum και υποκλοπές των πληροφοριών των χρηστών.

Στην πραγματικότητα, η zero-day επιτρέπει στον hacker να εκτελεί shell εντολές στον server. Το αξιοσημείωτο είναι ότι ο hacker δεν είναι απαραίτητο να έχει account στο συγκεκριμένο forum.

Η δημοσίευση πραγματοποιήθηκε στο Full Disclosure. Πολλοί συχνά, ερευνητές ασφάλειας δημοσιεύουν λεπτομέρειες σχετικά με τα μη επιδιορθωμένα ελαττώματα security, όταν αυτά δεν έχουν επιδιορθωθεί μετά από επανειλημμένη αναφορά της ευπάθειας. Ωστόσο, μέχρι αυτή τη στιγμή, δεν είναι σαφές αν ο ανώνυμος ερευνητής ασφαλείας ανέφερε αρχικά την ευπάθεια στην ομάδα vBulletin ή αν η ομάδα vBulletin δεν κατάφερε να αντιμετωπίσει το ζήτημα εγκαίρως, οδηγώντας τον να προβεί αυτόνομα στη δημοσίευση. Δεν αποκλείεται δε το γεγονός να πρόκειται για μια συνειδητή απόφαση δολιοφθοράς, που στοχεύει στην δυσφήμιση της vBulletin.

Σύμφωνα με το W3Techs, το 0,1% των sites διαχειρίζεται ένα vBulletin forum. Αυτό σημαίνει ότι επηρεάζονται δισεκατομμύρια χρήστες. Τα forums έχουν σχεδιαστεί για τη συλλογή πληροφοριών των χρηστών. Ενώ δισεκατομμύρια online sites δεν αποθηκεύουν πληροφορίες σχετικά με τους χρήστες, τα forums μπορούν πολύ εύκολα να αποθηκεύσουν δεδομένα χρηστών. Ως εκ τούτου, το 0,1% είναι πραγματικά πολύ σημαντικό, όταν υπολογίζουμε πόσοι χρήστες θα μπορούσαν να εγγραφούν σε αυτά τα forum.

Ενώ το vBulletin χρησιμοποιείται από πολλά γνωστά sites, τα καλά νέα είναι ότι η zero-day επηρέασε μόνο την έκδοση 5.x. Αυτό στην πράξη σημαίνει ότι τα forums που έχουν παλιότερη έκδοση είναι ασφαλή εάν έχουν κάνει τις επιδιορθώσεις που χρειάζεται.

vBulletin

Η Zerodium, είναι μια εταιρεία που αγοράζει web-based λογισμικό για να το μεταπωλήσει σε υπηρεσίες επιβολής του νόμου. Πολλά dark web forums, όπως εκείνα που διακινούν υπηρεσίες που διώκονται ποινικά, malware ή εικόνες κακοποίησης παιδιών, συχνά εκτελούνται σε vBulletin. Σύμφωνα με την εταιρεία ο ανώνυμος ερευνητής ασφαλείας θα μπορούσε να έχει βγάλει μέχρι και $10.000 σαν ανταμοιβή, εφόσον έδινε τις λεπτομέρειες της zero-day στην Zerodium και δεν έθετε σε κίνδυνο τόσα δεδομένα κάνοντας τη δημοσίευση μόνος του.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

00:01:47

Data breach σε δικηγορική εταιρεία εκθέτει στοιχεία υπαλλήλων της Google

Η δικηγορική εταιρεία μετανάστευσης Fragomen, Del Rey, Bernsen & Loewy, LLP αποκάλυψε ότι υπέστη data breach που οδήγησε στη διαρροή προσωπικών στοιχείων...

Πως να εγκαταστήσετε ένα αρχείο .watchface στο Apple Watch

Το Apple Watch σάς επιτρέπει να προσαρμόζετε τα faces του ρολογιού ώστε να εμφανίζονται όλα τα είδη των χρήσιμων πληροφοριών. Αλλά ξέρατε...

Οι πέντε μεγαλύτερες παραβιάσεις δεδομένων του 21ου αιώνα

Τα δεδομένα γίνονται όλο και πιο περιζήτητα όσο η καθημερινότητά μας ψηφιοποιείται περισσότερο. Οι τεχνολογικοί γίγαντες που μονοπωλούν τα δεδομένα είναι οι...

Η Microsoft περιορίζει τη διαθεσιμότητα των Windows 10 20H2

Η Microsoft αυτή τη στιγμή περιορίζει τη διαθεσιμότητα των Windows 10 20H2 για να παρέχει σε όλους τους χρήστες που θέλουν να...

Πως να ενεργοποιήσετε τη νέα μυστική λειτουργία Read more του Chrome

Η τελευταία έκδοση του προγράμματος περιήγησης Google Chrome, v86, που κυκλοφόρησε νωρίτερα αυτό το μήνα, περιέχει ένα μυστικό χαρακτηριστικό που ονομάζεται Read...

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...