Connectez-vous avec nous

Musique et Audio

Le nouveau jour zéro de vBulletin pourrait infecter des milliers de sites dans le monde entier

Un chercheur en sécurité anonyme a publié des informations en ligne sur le logiciel de forum Internet vBulletin.

Suite à la divulgation, les experts en sécurité se sont inquiétés du fait qu'en publiant des informations détaillées sur la vulnérabilité non corrigée, le chercheur anonyme pourrait avoir déclenché une vague de piratages de forums sur Internet qui pourraient amener les pirates informatiques à s'emparer des forums et à voler en vrac les informations qu'ils contiennent. .

L'analyse du code publié a révélé que le jour zéro permettait à un attaquant d'exécuter des commandes shell sur un serveur exécutant une installation de vBulletin. La vulnérabilité est assez grave car un attaquant n'a même pas besoin d'avoir un compte sur un forum ciblé pour lancer une attaque contre lui.

Le jour zéro découvert dans vBulletin est connu comme une vulnérabilité d’exécution de code à distance avant l’authentification et constitue l’un des pires types de failles de sécurité pouvant affecter une plate-forme Web.

Divulgation anonyme

Les détails concernant le jour zéro dans vBulletin ont été publiés sur la liste de diffusion à accès public Full Disclosure.

Les chercheurs en sécurité révèlent souvent des vulnérabilités après avoir informé une entreprise et lui avoir laissé suffisamment de temps pour corriger la faille. Cependant, dans ce cas, il n’est pas encore clair si le chercheur anonyme a signalé la vulnérabilité directement à l’équipe de vBulletin ou s’il a révélé la vulnérabilité après que la société n’ait pas résolu le problème assez rapidement. En règle générale, les chercheurs en sécurité accordent aux entreprises au moins 90 jours pour corriger les vulnérabilités avant de les exposer publiquement.

Dans le même temps, la divulgation aurait pu également constituer un acte de malveillance intentionnelle ou un sabotage, le chercheur ayant tenté de nuire à la réputation de MH Sub I, la société à l'origine de vBulletin. Le chercheur a pu dissimuler son identité lors de la publication de détails sur le jour zéro en utilisant un service de messagerie anonyme. Toutefois, si le chercheur avait signalé le jour zéro directement à l'entreprise, il aurait pu recevoir une prime au bogue d'une valeur de 10 000 dollars selon le tableau des prix de MH Sub I.

Environ 0,1% de tous les sites Internet utilisent un forum alimenté par vBulletin et ce nombre peut sembler réduit, mais des milliards d'internautes pourraient être touchés par ce jour zéro. Heureusement cependant, le jour zéro ne concerne que les forums exécutant vBulletin 5.x, de sorte que les forums exécutant des versions antérieures sont sécurisés.

Les utilisateurs en charge d’un forum vBulletin doivent d’abord vérifier la version du logiciel qu’ils exécutent et s’ils utilisent la dernière version, les chercheurs en sécurité ont publié un correctif non officiel pour atténuer les effets du jour zéro.

Via ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES