Le CMS vBULLETIN piraté via une 0-Day
Les CMS (Content Management System) se développent à grand pas, et deviennent une cible évidente pour toutes les attaques pirates, qui au travers de vulnérabilité 0-Day permettent aux pirates informatique de s’y introduire et d’en prendre le contrôle afin de voler les données de la base de données, voire de compromettre l'intégrité du système.
L'équipe Inj3ct0r
L’équipe Inj3ct0r, à l'initiative d'un fameux site recensant et proposant des 0-days, a revendiqué la responsabilité du récent piratage du forum Macrumors et également affirmé avoir piraté le site officiel du CMS vBulletin grâce à l'utilisation d'un exploit Zero Day.
"Nous avons découvert une vulnérabilité critique dans toutes les versions de vBulletin 4.xx et 5.х.x. Nous avons envoyé avec succès notre Shell sur le serveur officiel de vBulletin et dérobé la totalité de leur base de données après avoir obtenu un accès root. Tous ceux qui souhaitent acheter cette vulnérabilité et patcher leurs forums peuvent obtenir l’exploit de notre site" , sont des propos directs d'un des membres de l'équipe Inj3ct0r.
"La sécurité sur Internet est un mythe" , déclare en complément l’un des membres de l’équipe Inj3ct0r sur leur page Facebook https://www.facebook.com/inj3ct0rs. Pour preuve de concept (PoC), ils ont partagé deux captures d’écran de bases vBulletin et du shell uploadé sur le serveur comme présenté ci-contre.
Un exploit vendu 7000$ USD
La vulnérabilité permettrait l’exécution de code à distance au sein des systèmes vBulletin v4.xx et 5.х.x, et permettrait à un attaquant d’exécuter du code arbitraire sur le serveur cible. Sur leur marché noir de l’exploit, cet exploit Zero Day est vendu avec un Shell et une charge utile pour 7000$ USD.
"Macrumors.com reposait sur le CMS vBulletin. Nous avons utilisé un exploit 0-Day." Cette attaque pirate a ainsi permit un vol de 860 000 données utilisateurs...
Un impact réel pour de nombreuses organisations
D'innombrables sites sont actuellement touchés par cet exploit 0-Day: les organisations effectuant de la veille et de la prévention ont bien pris la précaution de désactiver tout accès à leur CMS, à l'instar du forum d'OVH utilisé pour l'interaction avec les clients et utilisateurs qui a été totalement désactivé et présentant le message ci-contre...
Etonnament, le forum de la plus grande conférence de hacking au monde, la DEFCON, a aussi fermé son forum vBulletin jusqu’à nouvel ordre car touché à l'identique par cet exploit : "Nous avons désactivé les forums jusqu’à la résolution de cette possible vulnérabilité. Une fois que nous ayons appliqué un correctif, nous allons rouvrir le service. Merci et désolé pour le temps d’arrêt".
L’équipe officielle de vBulletin a admis la brèche et a adressé un avertissement de sécurité via mail aux clients et a publié un post sur le forum officiel : «Très récemment, notre équipe de sécurité a découvert une attaque très sophistiquée visant notre réseau, permettant un accès illégal aux donnée des membres du forum, mots de passe inclus ».
Commentaires