Conteúdo de Detecção: Exploração do CVE-2019-16759 com novo método

[post-views]
Agosto 13, 2020 · 2 min de leitura
Conteúdo de Detecção: Exploração do CVE-2019-16759 com novo método

Hoje, gostaríamos de colocar um aviso sobre a vulnerabilidade CVE-2019-16759 no vBulletin, o software de fórum mais amplamente usado, observado para a versão 5 e superior.

A vulnerabilidade oferece aos hackers a oportunidade de executar comandos remotos via o parâmetro widgetConfig[code] em uma solicitação HTTP POST e, dependendo das permissões do usuário no vBulletin, receber controle sobre o host.

O CVE-2019-16759 foi reportado como corrigido em setembro de 2019, no entanto, uma execução remota de código ainda parece estar em uso ativo por fraudadores para tentativas de exploração. Administradores de fóruns foram aconselhados a verificar o painel de controle do vBulletin e desligar widgets PHP. Algumas das versões 5.6.x do software já receberam novos patches no início desta semana, as versões anteriores do vBulletin são consideradas vulneráveis e precisam ser atualizadas.

Halil Ibrahim Cosgun, um membro ativo do programa SOC Prime Threat Bounty Developer, publicou uma regra Sigma para vBulletin v5.x RCE (exploração do CVE-2019-16759 com novo método):

https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnicas: Exploração de Aplicações Expostas ao Público (T1190)

Explore mais Regras no Threat Detection Marketplace publicado por Halil Ibrahim Cosgun.


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente.

Or junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.