検出コンテンツ: CVE-2019-16759 の新しい手法による悪用

[post-views]
8月 13, 2020 · 3 分で読めます
検出コンテンツ: CVE-2019-16759 の新しい手法による悪用

本日、vBulletin のCVE-2019-16759の脆弱性についてお知らせしたいと思います。これは最も広く使用されているフォーラムソフトウェアで、バージョン 5 以上で確認されています。

この脆弱性は、ハッカーにHTTP POSTリクエストのwidgetConfig[code]パラメータを通じてリモートコマンドを実行する機会を与えるもので、ユーザーのvBulletinでの権限次第で、ホストへの制御を得ることができます。

CVE-2019-16759は2019年9月にパッチが報告されましたが、リモートコード実行は依然として不正利用の試みのために活動中であるようです。フォーラム管理者にはvBulletinコントロールパネルを確認し、PHPウィジェットをオフにするようアドバイスされました。ソフトウェアの5.6.xバージョンのいくつかは今週初めに新しいパッチを受け取りましたが、以前のバージョンのvBulletinは脆弱と見なされ、アップグレードが必要です。

SOC Prime Threat Bounty DeveloperプログラムのアクティブメンバーであるHalil Ibrahim Cosgun氏が、vBulletin v5.x RCE(CVE-2019-16759の新しい手法での悪用)のためのSigmaルールを公開しました:

https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/

このルールは以下のプラットフォーム向けに翻訳されています:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

戦術: 初期アクセス

技術: 公開アプリケーションの悪用(T1190)

詳細を見る Threat Detection Marketplaceのルール Halil Ibrahim Cosgun氏により公開されました。


SOC Prime TDMを試してみますか? 無料で登録.

Or Threat Bounty Programに参加 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。