Heute möchten wir auf die CVE-2019-16759-Schwachstelle in vBulletin hinweisen, der am häufigsten verwendeten Forensoftware, beobachtet für Version 5 und höher.
Die Schwachstelle bietet Hackern die Möglichkeit, über den Parameter widgetConfig[code] in einer HTTP-POST-Anfrage Remote-Befehle auszuführen und je nach Benutzerberechtigungen in vBulletin die Kontrolle über den Host zu erhalten.
Die CVE-2019-16759 wurde im September 2019 als gepatcht gemeldet, jedoch scheint eine Remote-Code-Ausführung immer noch aktiv von Betrügern für Ausbeutungsversuche genutzt zu werden. Forum-Administratoren wurde geraten, das vBulletin-Kontrollzentrum zu überprüfen und PHP-Widgets zu deaktivieren. Einige der 5.6.x Versionen der Software haben bereits Anfang dieser Woche neue Patches erhalten, die früheren Versionen von vBulletin gelten als anfällig und müssen aktualisiert werden.
Halil Ibrahim Cosgun, ein aktives Mitglied des SOC Prime Threat Bounty Developer-Programms, hat eine Sigma-Regel für vBulletin v5.x RCE (CVE-2019-16759-Ausnutzung mit neuer Methode) veröffentlicht:
https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, CrowdStrike, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Initialer Zugriff
Techniken: Öffentliche Anwendung ausnutzen (T1190)
Mehr erkunden Regeln im Threat Detection Marketplace veröffentlicht von Halil Ibrahim Cosgun.
Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden.
Or Threat Bounty-Programm beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.
