Contenu de détection : Exploitation CVE-2019-16759 avec une nouvelle méthode

[post-views]
août 13, 2020 · 2 min de lecture
Contenu de détection : Exploitation CVE-2019-16759 avec une nouvelle méthode

Aujourd’hui, nous souhaitons mettre un avis à propos de la vulnérabilité CVE-2019-16759 dans vBulletin, le logiciel de forum le plus utilisé, observée pour la version 5 et plus.

La vulnérabilité offre aux hackers l’opportunité d’exécuter des commandes à distance via le paramètre widgetConfig[code] dans une requête HTTP POST et, selon les permissions de l’utilisateur dans vBulletin, de prendre le contrôle de l’hôte.

La CVE-2019-16759 a été signalée comme corrigée en septembre 2019, cependant, une exécution de code à distance semble encore être utilisée activement par les fraudeurs pour des tentatives d’exploitation. Les administrateurs de forum ont été conseillés de vérifier le panneau de contrôle de vBulletin et de désactiver les widgets PHP. Certaines des versions 5.6.x du logiciel ont déjà reçu de nouveaux correctifs plus tôt cette semaine, les versions antérieures de vBulletin sont considérées comme vulnérables et doivent être mises à jour.

Halil Ibrahim Cosgun, un membre actif du programme SOC Prime Threat Bounty Developer, a publié une règle Sigma pour vBulletin v5.x RCE (exploitation CVE-2019-16759 avec une nouvelle méthode) :

https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Accès Initial

Techniques : Exploitation d’une application exposée (T1190)

En savoir plus Règles sur le Threat Detection Marketplace publié par Halil Ibrahim Cosgun.


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement.

Or rejoindre le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.