image

35.000 websites gehackt via vBulletin-lek

dinsdag 15 oktober 2013, 10:59 door Redactie, 2 reacties
Laatst bijgewerkt: 15-10-2013, 12:29

Een beveiligingslek in de zeer populaire forumsoftware vBulletin is gebruikt om meer dan 35.000 websites te hacken. Dat laat beveiligingsbedrijf Imperva weten. Eind augustus waarschuwde vBulletin voor de kwetsbaarheid en gaf advies om het probleem te verhelpen.

Via het lek kan een aanvaller het configuratiemechanisme van de forumsoftware misbruiken om een tweede beheerdersaccount aan te maken. Via dit account heeft de aanvaller volledige controle over de software. Beheerders kregen al in augustus het advies om de installatiedirectory van de software te verwijderen om zo het probleem te verhelpen.

Botnet

Uit het feit dat de exploit die van het lek misbruik maakt zo succesvol is, blijkt dat veel beheerders het advies niet hebben opgevolgd. Amichai Shulman, CTO van Imperva, laat tegenover IT-journalist Brian Krebs weten dat de aanvallers een botnet gebruiken om via Google naar kwetsbare websites te zoeken en die vervolgens over te nemen. Inmiddels zouden op deze manier 35.000 websites zijn gecompromitteerd.

Op 8 oktober is er een nieuwe versie van vBulletin 4.x uitgekomen die een beveiligingsupdate bevat die het lek oplost. Toch adviseren de ontwikkelaars van vBulletin om de installatiedirectory ook in dit geval te verwijderen. Dat geldt ook vBulletin 5.x, waarvan de update die het probleem verhelpt nog moet uitkomen.

Reacties (2)
15-10-2013, 11:32 door Anoniem
De "ontwikkelaars van de software" hebben een totaal maar dan ook totaal verkeerd beeld van "de beheerders".
Dat kom je keer op keer weer tegen in dit wereldje.
Men denkt dat als men waarschuwingen uitgeeft er een kudde beheerders klaar zit om die te ontvangen en te
doen wat er aangeraden wordt, maar dat is gewoon niet zo.
Die hele LAMP wereld bestaat voor het grootste deel uit goedwillende amateurtjes die beretrots zijn dat ze op
hun goedkope hosting platform een pakket hebben kunnen installeren voor hun website, shop, forum of wat dan
ook, en als dat eenmaal gelukt is dan gaan ze verder met hun leven en kijken helemaal niet meer naar "beheer".
Wat ook vaak voorkomt is dat het installeren weer is gedaan door iemand anders die dit als vriendendienst of
tegen betaling gedaan heeft, en die gaat ook niet al zijn geinstalleerde systemen bijhouden zonder contract.
Dus reken er maar op dat als er geen auto-update mechanisme in de software zit, de vulnerable installaties tot
in lengte van dagen online zullen blijven.
De hoster kan het meestal ook weinig schelen, die gaat geen betalende klanten afsluiten omdat er in hun
systeem software zit die andere dingen doet dan de eigenaar van de site denkt. De software die de klant draait
is immers niet het probleem van de hoster, die levert alleen LAMP.
15-10-2013, 11:52 door Anoniem
Krijgen we weer zo'n Oracle-systeem dat je na het updaten zelf oude versies moet gaan verwijderen...
Zucht...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.