Oggi vogliamo mettere un avviso sulla vulnerabilità CVE-2019-16759 in vBulletin, il software forum più ampiamente utilizzato, osservato per la versione 5 e successive.
La vulnerabilità offre agli hacker l’opportunità di eseguire comandi remoti tramite il parametro widgetConfig[code] in una richiesta HTTP POST e, a seconda dei permessi dell’utente in vBulletin, ottenere il controllo sull’host.
La CVE-2019-16759 è stata segnalata come corretta a settembre 2019, tuttavia, un’esecuzione di codice remoto sembra essere ancora utilizzata attivamente dai truffatori per tentativi di sfruttamento. Si consiglia agli amministratori dei forum di controllare il pannello di controllo di vBulletin e disattivare i widget PHP. Alcune versioni del software 5.6.x hanno già ricevuto nuove patch all’inizio di questa settimana, le versioni precedenti di vBulletin sono considerate vulnerabili e devono essere aggiornate.
Halil Ibrahim Cosgun, un membro attivo del programma SOC Prime Threat Bounty Developer, ha pubblicato una regola Sigma per vBulletin v5.x RCE (CVE-2019-16759 sfruttamento con nuovo metodo):
https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, CrowdStrike, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Accesso iniziale
Tecniche: Sfruttare applicazioni esposte pubblicamente (T1190)
Esplora di più Regole su Threat Detection Marketplace pubblicato da Halil Ibrahim Cosgun.
Pronto per provare SOC Prime TDM? Iscriviti gratuitamente.
Or unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.
