Contenido de Detección: Explotación de CVE-2019-16759 con un Método Nuevo

[post-views]
agosto 13, 2020 · 2 min de lectura
Contenido de Detección: Explotación de CVE-2019-16759 con un Método Nuevo

Hoy, nos gustaría poner un aviso sobre la vulnerabilidad CVE-2019-16759 en vBulletin, el software de foros más utilizado, observada para la versión 5 y superior.

La vulnerabilidad brinda a los hackers la oportunidad de ejecutar comandos remotos a través del parámetro widgetConfig[code] en una solicitud HTTP POST y dependiendo de los permisos del usuario en vBulletin, recibir control sobre el host.

Se informó que la CVE-2019-16759 fue corregida en septiembre de 2019, sin embargo, una ejecución remota de código parece seguir siendo utilizada activamente por los estafadores para intentos de explotación. Se aconsejó a los administradores de foros que revisen el panel de control de vBulletin y desactiven los widgets PHP. Algunas de las versiones 5.6.x del software ya recibieron nuevos parches a principios de esta semana, se considera que las versiones anteriores de vBulletin son vulnerables y necesitan ser actualizadas.

Halil Ibrahim Cosgun, un miembro activo del programa SOC Prime Threat Bounty Developer, ha publicado la regla Sigma para vBulletin v5.x RCE (explotación CVE-2019-16759 con nuevo método):

https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Explotar Aplicación Expuesta (T1190)

Explorar más Reglas en el Mercado de Detección de Amenazas publicado por Halil Ibrahim Cosgun.


¿Listo para probar SOC Prime TDM? Regístrate gratis.

Or únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.