35.000 websites gehackt via vBulletin-lek
Een beveiligingslek in de zeer populaire forumsoftware vBulletin is gebruikt om meer dan 35.000 websites te hacken. Dat laat beveiligingsbedrijf Imperva weten. Eind augustus waarschuwde vBulletin voor de kwetsbaarheid en gaf advies om het probleem te verhelpen.
Via het lek kan een aanvaller het configuratiemechanisme van de forumsoftware misbruiken om een tweede beheerdersaccount aan te maken. Via dit account heeft de aanvaller volledige controle over de software. Beheerders kregen al in augustus het advies om de installatiedirectory van de software te verwijderen om zo het probleem te verhelpen.
Botnet
Uit het feit dat de exploit die van het lek misbruik maakt zo succesvol is, blijkt dat veel beheerders het advies niet hebben opgevolgd. Amichai Shulman, CTO van Imperva, laat tegenover IT-journalist Brian Krebs weten dat de aanvallers een botnet gebruiken om via Google naar kwetsbare websites te zoeken en die vervolgens over te nemen. Inmiddels zouden op deze manier 35.000 websites zijn gecompromitteerd.
Op 8 oktober is er een nieuwe versie van vBulletin 4.x uitgekomen die een beveiligingsupdate bevat die het lek oplost. Toch adviseren de ontwikkelaars van vBulletin om de installatiedirectory ook in dit geval te verwijderen. Dat geldt ook vBulletin 5.x, waarvan de update die het probleem verhelpt nog moet uitkomen.
Dat kom je keer op keer weer tegen in dit wereldje.
Men denkt dat als men waarschuwingen uitgeeft er een kudde beheerders klaar zit om die te ontvangen en te
doen wat er aangeraden wordt, maar dat is gewoon niet zo.
Die hele LAMP wereld bestaat voor het grootste deel uit goedwillende amateurtjes die beretrots zijn dat ze op
hun goedkope hosting platform een pakket hebben kunnen installeren voor hun website, shop, forum of wat dan
ook, en als dat eenmaal gelukt is dan gaan ze verder met hun leven en kijken helemaal niet meer naar "beheer".
Wat ook vaak voorkomt is dat het installeren weer is gedaan door iemand anders die dit als vriendendienst of
tegen betaling gedaan heeft, en die gaat ook niet al zijn geinstalleerde systemen bijhouden zonder contract.
Dus reken er maar op dat als er geen auto-update mechanisme in de software zit, de vulnerable installaties tot
in lengte van dagen online zullen blijven.
De hoster kan het meestal ook weinig schelen, die gaat geen betalende klanten afsluiten omdat er in hun
systeem software zit die andere dingen doet dan de eigenaar van de site denkt. De software die de klant draait
is immers niet het probleem van de hoster, die levert alleen LAMP.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
