vBulletin : parfois le remède est pire que le mal

vBulletin : parfois le remède est pire que le mal

En septembre 2019, un chercheur en sécurité inconnu a publié une faille 0day affectant vBulletin, l’un des CMS les plus populaires sur le web pour héberger des forums de discussions. La faille permettait d’exécuter du code PHP et des commandes shell sans nécessiter d’authentification de la part de l’attaquant, ce qui exposait de nombreux forums à des attaques potentiellement destructrices.

Trois jours après la divulgation de cette vulnérabilité, identifiée sous le matricule CVE-2019-16759, l’équipe de vBulletin publiait un correctif (en deux parties, 5.5.4 et 5.5.5) permettant de combler la vulnérabilité et de rassurer les administrateurs de ses forums.

Mais parfois le patch ne suffit pas : comme l’a montré ce dimanche le chercheur Zenofex à l’occasion de la Defcon, le patch proposé par vBulletin n’est pas suffisant et les attaquants peuvent facilement contourner les protections mises en place par vBulletin pour exploiter à nouveau la faille CVE-2019-16759.

publicité

Un pansement minuscule pour une plaie béante

Comme nous explique Zerofex contacté suite à sa publication : « le patch qu’ils ont fourni était un simple pansement qui n’a jamais complètement empêché l’accès. » Les détails du problème sont compilés dans un post de blog détaillé : le chercheur montre, PoC et exploit à l’appui, comment un attaquant non authentifié pouvait exploiter la faille CVE-2019-16759 sur un forum vBulletin ayant pourtant installé le correctif diffusé par l’éditeur au mois de septembre 2019.

Le problème provient d’un bug dans la façon dont vBulletin gère ses différents templates, dont l’exploitation permet de contourner les protections mises en œuvre par vBulletin dans ses patchs corrigeant la faille de 2019. Pour l’instant, aucun nouveau patch n’a été diffusé par vBulletin pour corriger les problèmes soulignés par ce chercheur. Ce dernier a néanmoins publié une méthode permettant de se protéger de ces attaques : les utilisateurs doivent se rendre dans le panneau d’administration vBulletin et activer l’option “Disable PHP, Static HTML, and Ad Module rendering”.

Selon le chercheur, cette technique permet de protéger les forums en attendant un patch officiel de vBulletin. Pour l’instant, aucun patch officiel n’est disponible de la part de vBulletin. Le chercheur en sécurité explique avoir choisi de publier cette vulnérabilité sans prendre contact avec vBulletin auparavant : « J’estimais que cette faille de sécurité majeure avait été mal corrigée et était exploitable depuis maintenant un an, et que la meilleure approche était donc de révéler la faille en question publiquement. » C’est aussi pour cela que le chercheur a présenté une méthode de protection à destination des administrateurs qui attendent le correctif. Nous avons contacté vBulletin au sujet de cette vulnérabilité et l’article sera mis à jour dés que nous obtiendrons de nouveaux éléments.

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading