Startseite > Security > Hacker attackieren Forensoftware Vbulletin

Imperva entdeckt Sicherheitslücke in Forensoftware Vbulletin

Hacker attackieren Forensoftware Vbulletin

15. Oktober 2013, 9:13 Uhr | LANline/jos

Bei Vbulletin handelt es sich um eine beliebte CMS-Lösung. Derzeit rangiert sie auf dem vierten Platz der beliebtesten Content-Management-Systeme. Experten sind jetzt einer kritischen Sicherheitslücke auf die Spur gekommen. Das Bedrohungsszenario durch die weite Verbreitung sei gewaltig.

Sicherheitsfachleute des Imperva Application Defense Center (ADC) (www.imperva.com/resources/adc/adc.html) haben die Angriffsmethoden aufgedeckt: Die identifizierte Schwachstelle erlaubt Angreifern den Konfigurationsmechanismus von Vbulletin zu missbrauchen, indem sie ein zweites Administratorkonto anlegen. Ist dies geschehen, erlangt der Angreifer volle Kontrolle über das komplette Programm und gleichzeitig über die Web-Seite, die mit dem Programm verwaltet wird.

Mit konkreten technischen Details zur Attacke bewaffnet, machten sich die Sicherheitsexperten von Imperva in diversen Hacker-Foren auf die Suche nach dem Schadcode. Schon bald entdeckten sie verdächtigen PHP-Code. Im Labor entpuppte sich der Fund als Volltreffer. Die Untersuchungen ergaben, dass der Angreifer zum Erstellen eines weiteren Administratorkontos lediglich folgende Angaben benötigt:

Die exakte URL der angreifbaren Vbulletin-„upgrade.php“ und
die Customer-ID.

Um daran zu kommen, nutzten die Hacker als zusätzliches Hilfsmittel ein PHP-Skript, das die Website nach dem gesuchten Pfad durchsucht und gleichzeitig die Customer-ID entschlüsselt, die sich in der angreifbaren „upgrade.php“-Seite im Quellcode der Website verbirgt. Mit diesen Informationen ausgestattet, kann der Angriff beginnen.

Obwohl Vbulletin weder die Ursache der Schwachstelle noch die Auswirkungen auf die Kunden offenbart, haben die Entwickler in einem Blog (bit.ly/14DVzOV) eine Lösung für das Problem beschrieben. Den Administratoren wird darin geraten, die Installationsverzeichnisse „“4.X – /install““ und „“5.X – /core/install““ zu löschen. Ist dies erledigt, lassen sich die Websites über die Sicherheitslücke nicht mehr kapern. Darüber hinaus finden sich im Forum von Vbulletin (www.vbulletin.org/forum/showthread.php?p=2443431) weitere Tipps und Hinweise von betroffenen Nutzern.

Sollten sich die beschriebenen Verzeichnisse nicht finden lassen, lautet der Ratschlag, den Zugriff auf upgrade.php entweder zu blocken oder umzuleiten. Das lässt sich entweder per WAF (Web Application Firewall) oder über die Web-Server-Access-Einstellungen bewerkstelligen. Imperva-Kunden werden darüber hinaus per Update mit einer digitalen Signatur versorgt, die den Zugriff auf den angreifbaren PHP-Code unterbindet.