Erkennung Inhalt: CVE-2019-16759 Ausnutzung mit neuer Methode

[post-views]
August 13, 2020 · 2 min zu lesen
Erkennung Inhalt: CVE-2019-16759 Ausnutzung mit neuer Methode

Heute möchten wir auf die CVE-2019-16759-Schwachstelle in vBulletin hinweisen, der am häufigsten verwendeten Forensoftware, beobachtet für Version 5 und höher.

Die Schwachstelle bietet Hackern die Möglichkeit, über den Parameter widgetConfig[code] in einer HTTP-POST-Anfrage Remote-Befehle auszuführen und je nach Benutzerberechtigungen in vBulletin die Kontrolle über den Host zu erhalten.

Die CVE-2019-16759 wurde im September 2019 als gepatcht gemeldet, jedoch scheint eine Remote-Code-Ausführung immer noch aktiv von Betrügern für Ausbeutungsversuche genutzt zu werden. Forum-Administratoren wurde geraten, das vBulletin-Kontrollzentrum zu überprüfen und PHP-Widgets zu deaktivieren. Einige der 5.6.x Versionen der Software haben bereits Anfang dieser Woche neue Patches erhalten, die früheren Versionen von vBulletin gelten als anfällig und müssen aktualisiert werden.

Halil Ibrahim Cosgun, ein aktives Mitglied des SOC Prime Threat Bounty Developer-Programms, hat eine Sigma-Regel für vBulletin v5.x RCE (CVE-2019-16759-Ausnutzung mit neuer Methode) veröffentlicht:

https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Initialer Zugriff

Techniken: Öffentliche Anwendung ausnutzen (T1190)

Mehr erkunden Regeln im Threat Detection Marketplace veröffentlicht von Halil Ibrahim Cosgun.


Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden.

Or Threat Bounty-Programm beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.