Hoy, nos gustaría poner un aviso sobre la vulnerabilidad CVE-2019-16759 en vBulletin, el software de foros más utilizado, observada para la versión 5 y superior.
La vulnerabilidad brinda a los hackers la oportunidad de ejecutar comandos remotos a través del parámetro widgetConfig[code] en una solicitud HTTP POST y dependiendo de los permisos del usuario en vBulletin, recibir control sobre el host.
Se informó que la CVE-2019-16759 fue corregida en septiembre de 2019, sin embargo, una ejecución remota de código parece seguir siendo utilizada activamente por los estafadores para intentos de explotación. Se aconsejó a los administradores de foros que revisen el panel de control de vBulletin y desactiven los widgets PHP. Algunas de las versiones 5.6.x del software ya recibieron nuevos parches a principios de esta semana, se considera que las versiones anteriores de vBulletin son vulnerables y necesitan ser actualizadas.
Halil Ibrahim Cosgun, un miembro activo del programa SOC Prime Threat Bounty Developer, ha publicado la regla Sigma para vBulletin v5.x RCE (explotación CVE-2019-16759 con nuevo método):
https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/
La regla tiene traducciones para las siguientes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, CrowdStrike, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta (T1190)
Explorar más Reglas en el Mercado de Detección de Amenazas publicado por Halil Ibrahim Cosgun.
¿Listo para probar SOC Prime TDM? Regístrate gratis.
Or únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.
