Actu
Détection d’une nouvelle vulnérabilité de vBulletin, leader des logiciels de forum selon le rapport du GTIC de NTT
octobre 2019 par NTT SECURITY
Dans le dernier rapport du GTIC (Global Threat Intelligence Center) de NTT Security, les experts de NTT mettent en lumière une nouvelle vulnérabilité dans vBulletin.
Le 23 septembre 2019, un chercheur anonyme a mis à disposition un morceau de code Python à l’aide de Guerilla Mail concernant une vulnérabilité de type exécution de code à distance (RCE). La vulnérabilité CVE-2019-167593 affectait l’ensemble des versions 5.x de vBulletin. Le morceau de code lui-même contient 27 lignes et est suffisamment clair et simple pour être exploité par des scanners de masse.
vBulletin est un logiciel propriétaire de forum de discussion écrit en PHP qui utilise un serveur de base de données MySQL. Il s’agit d’un logiciel similaire à WordPress, Joomla !, Drupal et autres CMS. vBulletin étant passé d’un éditeur à un autre dans le cadre de plusieurs rachats, le support technique a confirmé que vBulletin 3 était considéré en fin de vie, sans développement ultérieur prévu. vBulletin 5, quant à lui, fait l’objet d’une gestion active et l’ensemble des versions 5.x ont bénéficié d’un correctif le 25 septembre pour se protéger de cette vulnérabilité.
Au cours de l’étude initiale menée par le GTIC, les experts NTT ont identifié environ 83 000 sites qui utilisaient encore une version de vBulletin. Par ailleurs, ils ont identifié 3 500 sites supplémentaires avec du code HTML contenant ‘vBulletin’. Ces résultats comprenaient néanmoins des adresses IP, des noms d’hôte et des entreprises. De ce fait, le scanning en masse et l’exploitation se font très simplement. Auparavant, NTT n’avait enregistré que quelques tentatives d’exploitation de vBulletin liées à la vulnérabilité CVE-2015-7808 mais suite à la publication de la vulnérabilité CVE-2019-16759 et au déploiement de signatures mises à jour, NTT a immédiatement constaté une augmentation des tentatives de scan et d’exploitation.
Même s’il est possible que les cyberattaquants ne s’intéressent pas forcément à cibler vBulletin, cet exploit offre l’opportunité de cibler les bases de données MySQL de cette application.
Le GTIC de NTT suggère aux clients affectés d’évaluer et d’appliquer le correctif afin de limiter leur exposition sur cette menace. NTT a d’ailleurs mis en place des signatures de détection afin de protéger sa base client.
