Présentation de la « 0-day » vBulletin

Ce lundi 23 septembre, une source a publiquement révélé l’exploitation d’une vulnérabilité concernant vBulletin. L’exploit permettrait d’exécuter du code à distance, et donc de laisser un attaquant exécuter n’importe quelle commande sur la machine. Ce qui pourrait donc permettre à un attaquant de télécharger toute sorte de « payload » sur le cite ciblé (reverse shell, malware, …).

vBulletin est un logiciel propriétaire écrit en PHP, de forum de discussion qui est très largement utilisé aujourd’hui. Ce logiciel est utilisé par des milliers de sites web, notamment par des entreprises de grande notoriété comme EA, Steam, Sony Pictures, Zynga, et bien d’autres encore.

Après la publication de la « 0-day », plusieurs utilisateurs de vBulletin ont indiqué qu’ils avaient eux-mêmes été attaqués. Il est fort probable que plusieurs groupes d’attaquants sont actuellement en scan actif sur internet afin de trouver des cibles vulnérables à cette attaque.

Une première contre-mesure non-officielle a été publiée par Nick Cano. La vulnérabilité viendrait d’une erreur de code dans le fichier « includes/vb5/frontend/controller/bbcode.php » et plus précisément lors de l’appel à la fonction evalCode ($code). L’appel à cette fonction permet d’exécuter n’importe quelle commande passée en argument ($code). La contre-mesure proposée est tout simplement de commenter la ligne en question.

Les équipes n’ont pas tardé à réagir en publiant un patch permettant de corriger cette vulnérabilité. Les patchs sont disponibles ici.

Cette vulnérabilité était déjà largement exploitée avant même d’être rendue publique selon Chaouki Bekrar, Président de Zerodium. La vulnérabilité était connue de Zerodium depuis 3 ans déjà.

Y. Hamdaoui