盾给网络(DunGei.com) 9月25日 消息:据zdnet报道,一名匿名安全研究员日前公布了互联网论坛软件vBulletin零日漏洞的详细信息。
安全专家担心,公布此漏洞的详细信息可能会引发互联网上的一波论坛黑客攻击,导致黑客控制论坛安装并大量窃取用户信息。
根据对已发布代码的分析,零日允许攻击者在运行vBulletin安装的服务器上执行shell命令。攻击者不需要在目标论坛上注册帐户。用信息安全术语来说,就是无需预认证远程代码执行漏洞。关于该零日漏洞的细节已经完全在公众访问邮件列表披露。
正常情况下,当供应商未能修补私下报告的漏洞时,安全研究人员公布未修补的安全漏洞的细节并不罕见。截至发稿时间,尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞,或者vBulletin团队是否未能及时解决该问题,从而促使研究人员公开。此外,这也可能是故意的恶意或破坏行为,匿名研究人员公开漏洞只是为了损害vBulletin公司的声誉,并把客户置于风险之中。
vBulletin是当今最受欢迎的网络论坛软件包,市场份额大于 phpBB、 XenForo、 Simple Machines Forum、 MyBB等开源解决方案。
根据W3Techs的数据,大约0.1%的互联网网站运行vBulletin论坛。这个百分比看起来很小,但它实际上影响了数十亿互联网用户。Google dorks透露,有数以万计的vbulletin论坛在互联网上运行,其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos等。
所幸的是,该零日漏洞只对vBulletin 5.x论坛版本有效。如果客户安装最新的安全补丁,运行早期版本的论坛是安全的。