فرد ناشناسی اطلاعاتی درباره آسیب پذیری روز صفرم در vBulletin، نرم افزار محبوب مدیریت انجمن های اینترنتی، منتشر کرده است. هکرها میتوانند با استفاده از این آسیب پذیری به اطلاعات کارابران دسترسی پیدا کنند.

جزئیات آسیب پذیری

با استفاده از این آسیب پذیری، مهاجمان بدون نیاز به حساب کاربری قادر به اجرای دستورات shell بر روی سرور میباشند. این آسیب پذیری که از نوع pre-authentication remote code execution است، یکی از بدترین نوع آسیب پذیری های موجود برای پلتفروم های مبتنی بر وب میباشد.

معلوم نیس که افشا کننده ی این آسیب پذیری قصد تخریب داشته و یا در منتشر کردن این آسیب پذیری موفق عمل نکرده است

جزئیات این آسیب پذیری به طور کامل توسط یک پست الکترونیکی و بدون آدرس فرستنده منتشر شده است.

انتشار جزئیات آسیب پذیری که توسعه دهندگان آن قادر به وصله ی آن نشده اند، توسط محققان امری رایج است. اما در این مورد مشخص نیست که فرد ناشناس آسیب پذیری را به تیم vBulletin اطلاع نداده و یا اینکه به دلیل عدم رسیدگی تیم vBulletin، مجبور به انتشار عمومی آن شده است. البته که ممکن است این کار با هدف آسیب رساندن به محبوبیت شرکت و سلب اعتماد کاربران آن انجام شده باشد.

ده ها هزار انجمن آسیب پذیر

vBulletin با وجود پولی بودن، محبوب ترین مجموعه نرم افزار مدیریت انجمن اینترنتی است و سهم بازار بیشتری نسبت به رقبایopen-source  خود مانند phpBB ، XenForo ، Forum Machines Simple ، MyBB و … دارد.

با توجه به آمار W3Techs، حدود ۰.۱٪ از کل سایتهای اینترنتی از vBulletin استفاده میکنند. شاید این درصد به نظر کم باشد اما در واقع بر میلیاردها کاربر اینترنت تأثیر می گذارد. زیرا طبق ماهیت انجمن ها، آن ها اطلاعات کاربران ثبت نام شده را جمع آوری میکنند. بنابراین زمانی که تعداد کاربران ثبت نام شده در این انجمن ها را در نظر بگیریم، ۰.۱٪ مقدار قابل توجه ای است.

در لیست مشتریان موجود در وب سایت vBulletin، نام برند های بزرگی مانند Steam ، EA ، Zynga ، NASA ، Sony ، BodyBuilding.com ، Houston Texans و Denver Broncos ذکر شده است.

خوشبختانه این آسیب پذیری فقط نسخه های vBulletin 5.x را تحت تاثیر قرار میدهد، و نسخه های دیگر ایمن هستند.

Zerodium، شرکت فروش آسیب پذیری های نرم افزارهای مبتنی بر وب به آژانسهای اجرای قانون، آسیب پذیری اجرای کد از راه دور vBulletin را لیست فروش خود قرار داده است.

بسیاری از انجمن های dark web که بدافزارها، تصاویر کودک آزاری و سرویس های جنایی دیگر را ارائه میدهند از نرم افزار vBulletin استفاده میکنند. با استفاده از این آسیب پذیری، آژانس های اجرای قانون میتوانند به این انجمن های غیرقانونی دسترسی پیدا کنند.

با توجه به مستندات شرکت vBulletin ، میزان پاداش برای پژوهشگرانی که آسیب پذیری در این نرم افزار پیدا کنند و به آن ها اطلاع دهند تا مرز ۱۰ هزار دلار می باشد.

خوشبختانه تیم vBulletin وصله ای برای این آسیب پذیری منتشر کرده است.