พบช่องโหว่ Zero Day ใน vBulletin เปิดให้ผู้โจมตีทำ Remote Code Execution ได้

นักวิจัยด้าน Security ชาวอิตาเลียนจาก TRUEL IT และ SecuriTeam ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ Zero Day บน vBulletin ระบบ Webboard ชื่อดังที่มีเว็บไซต์มากกว่าแสนแห่งใช้งานอยู่ทั่วโลก ซึ่งถึงแม้จะมีการแจ้งช่องโหว่ดังกล่าวไปยังทีมพัฒนา vBulletin แล้วแต่ก็ยังไม่มีการออกอัปเดตมาอุดช่องโหว่แต่อย่างใด

Credit: vBulletin

 

ช่องโหว่เหล่านี้ถูกแจ้งไปยังทีมงาน vBulletin ตั้งแต่ 21 พฤศจิกายน 2017 ที่ผ่านมา จนถึงวันนี้ก็ผ่านไป 4 สัปดาห์แล้ว ทำให้ทีม TRUEL IT ตัดสินใจออกมาเผยแพร่ช่องโหว่เหล่านี้ต่อสาธารณะ โดยมีช่องโหว่หลักๆ ด้วยกัน 2 รายการ ดังนี้

  • ช่องโหว่ File Inclusion ที่ทำให้ผู้โจมตีสามารถทำ Remote Code Execution บน vBulletin ที่ติดตั้งบนระบบปฏิบัติการ Windows ได้
  • ช่องโหว่ Deserialization ที่ปรากฎมาตั้งแต่ vBulletin รุ่น 5 ที่ทำให้ผู้ใช้งานซึ่งยังไม่ได้ทำการยืนยันตัวตนใดๆ สามารถทำการลบไฟล์และสั่ง Execute Code ได้

อย่างที่ได้แจ้งไปตอนแรก สองช่องโหว่นี้ยังไม่มีการออกอัปเดตมาแก้ไขแต่อย่างใด ดังนั้นผู้ที่ดูแลระบบ vBulletin อาจต้องเฝ้าระวังเป็นพิเศษครับช่วงนี้

สำหรับรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่ https://blogs.securiteam.com/index.php/archives/3569 และ https://blogs.securiteam.com/index.php/archives/3573 ครับ

 

ที่มา: https://thehackernews.com/2017/12/vbulletin-forum-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Trend Micro เข้าซื้อ Cloud Conformity เสริมทัพ Cloud Security

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ประกาศเข้าควบรวมกิจการของ Cloud Confirmity บริษัทที่ให้บริการแพลตฟอร์มด้าน Cloud Security Posture Management ด้วยมูลค่า $70 ล้าน (ประมาณ …

Cyber Defense Initiative Conference (CDIC) 2019 เปิดลงทะเบียนวันนี้แล้ว

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2019” …