Hoje, gostaríamos de colocar um aviso sobre a vulnerabilidade CVE-2019-16759 no vBulletin, o software de fórum mais amplamente usado, observado para a versão 5 e superior.
A vulnerabilidade oferece aos hackers a oportunidade de executar comandos remotos via o parâmetro widgetConfig[code] em uma solicitação HTTP POST e, dependendo das permissões do usuário no vBulletin, receber controle sobre o host.
O CVE-2019-16759 foi reportado como corrigido em setembro de 2019, no entanto, uma execução remota de código ainda parece estar em uso ativo por fraudadores para tentativas de exploração. Administradores de fóruns foram aconselhados a verificar o painel de controle do vBulletin e desligar widgets PHP. Algumas das versões 5.6.x do software já receberam novos patches no início desta semana, as versões anteriores do vBulletin são consideradas vulneráveis e precisam ser atualizadas.
Halil Ibrahim Cosgun, um membro ativo do programa SOC Prime Threat Bounty Developer, publicou uma regra Sigma para vBulletin v5.x RCE (exploração do CVE-2019-16759 com novo método):
https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/
A regra tem traduções para as seguintes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, CrowdStrike, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Exploração de Aplicações Expostas ao Público (T1190)
Explore mais Regras no Threat Detection Marketplace publicado por Halil Ibrahim Cosgun.
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente.
Or junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
