image

Onderzoeker waarschuwt voor zelf hosten vBulletin-fora

woensdag 24 augustus 2016, 10:31 door Redactie, 10 reacties

De afgelopen weken zijn meerdere webfora gehackt die op vBulletin draaide en waarbij de gegevens van miljoenen internetgebruikers werden buitgemaakt. Het probleem is echter niet de vBulletin-forumsoftware zelf, maar beheerders die de forumsoftware zelf hosten en niet updaten.

Dat stelt de Australische beveiligingsonderzoeker Troy Hunt. Onder de getroffen fora bevinden zich GTAGaming, Epic Games, Dota 2, Disney en Ubuntu Forums. Bij elkaar opgeteld zijn alleen al bij deze hacks de gegevens van zo'n 5,3 miljoen gebruikers buitgemaakt. "Er is een probleem met websites die vBulletin hosten en worden gehackt, maar ik zeg niet dat het gehele probleem vBulletin is", aldus Hunt.

In het geval van GTAGaming, een fansite rondom het gelijknamige computerspel, draaide het forum op vBulletin 3.8.7. VBulletin versie 3 verscheen in maart 2004, terwijl versie 3.8.7 op 28 februari 2011 uitkwam. Ruim drie jaar later verscheen versie 3.8.8, gevolgd door versie 3.8.9 op 17 juni 2015. Het forum van GTGaming liep 4,5 jaar achter met patches voor hun versie. "En dat is het echte verhaal met vBulletin, installaties die worden verwaarloosd", merkt Hunt op.

In het geval vBulletin-fora worden gehackt is het meestal niet via een zero day-kwetsbaarheid, maar via een bekend beveiligingslek dat al geruime tijd is gedicht, maar waarvan de patch niet is geïnstalleerd. Het beheren van een eigen forum houdt ook in het snel uitrollen van beveiligingsupdates, gaat Hunt verder. Beheerders zijn daarnaast verantwoordelijk voor de gegevens van de mensen die zich op het forum registreren. Volgens de onderzoeker is het dan ook verstandiger dat mensen die hun eigen installatie van vBulletin beheren dit uitbesteden.

Reacties (10)
24-08-2016, 11:20 door Rolfieo
Ofwel de beheerders doen gewoon hun werk niet.
24-08-2016, 11:30 door Anoniem
Door Rolfieo: Ofwel de beheerders doen gewoon hun werk niet.

Misschien maar als je als bedrijf er jaren over doet om een nieuwe versie uit te geven kun je ook niet verwachten dat beheerders elke week gaan kijken of er nieuwe software is. Ik kan die vbulletin software dus ook niet heel erg serieus nemen. Er horen gewoon op regelmatige basis security fixes and patches te worden uitgebracht.
24-08-2016, 11:30 door Anoniem
Door Rolfieo: Ofwel de beheerders doen gewoon hun werk niet.
Moeten er wel beheerders zijn.
24-08-2016, 12:16 door Ron625
Voor de goede orde: het gaat NIET om het Nederlandstalige Ubuntu forum, want dat gebruikt andere forum-software.

Updaten is inderdaad een kwestie van beheer, dus de beheerder(s) doen hun werk niet.
24-08-2016, 12:50 door Anoniem
Door Ron625: Voor de goede orde: het gaat NIET om het Nederlandstalige Ubuntu forum, want dat gebruikt andere forum-software.

Updaten is inderdaad een kwestie van beheer, dus de beheerder(s) doen hun werk niet.
Dat forum wordt gelukkig geupdate zo te zien! TOP!
24-08-2016, 12:53 door Anoniem
Door Anoniem:
Door Rolfieo: Ofwel de beheerders doen gewoon hun werk niet.

Misschien maar als je als bedrijf er jaren over doet om een nieuwe versie uit te geven kun je ook niet verwachten dat beheerders elke week gaan kijken of er nieuwe software is. Ik kan die vbulletin software dus ook niet heel erg serieus nemen. Er horen gewoon op regelmatige basis security fixes and patches te worden uitgebracht.
Dat is een andere discusie. Dit maakt echter niet uit. Als je applicaties heb draaien, moet je bijhouden of er updates voor zijn.
Of die updates 1 keer per jaar of 1 keer per week uitkomen, staat hier los van.

Door Anoniem:
Door Rolfieo: Ofwel de beheerders doen gewoon hun werk niet.
Moeten er wel beheerders zijn.

Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
24-08-2016, 12:59 door Anoniem
Iemand een idee of dat http://www.nucia.eu/forum veilig is en laatstste versie heeft van vbulletin. In de bron lees ik "vBulletin 4.2.2", maar ik vond op google dat het een versie is uit april 2015 (of eerder), maar dat erna wel nog patches waren verschenen en dat er zelfs al een 4.2.3 versie verschenen is. Ik heb geen idee, de officiele site van vbulletin is ook niet meer te bereiken.
Als het nient veilig is, dan voel ik me genoodzaakt om mijn account daar zo snel mogelijk te laten verwijderen.
24-08-2016, 14:27 door Anoniem
Wordt het niet eens tijd de mysql_query functie uit PHP te verwijderen?
PHP programmeurs daar mee laten werken is kennelijk wel een erg groot risico...
24-08-2016, 17:25 door Anoniem

Door Anoniem:
Door Rolfieo: Ofwel de beheerders doen gewoon hun werk niet.
Moeten er wel beheerders zijn.

Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.

Maar het gaat hier om een fansite.
m.a.w. er is geen bedrijf in betrokken dat verantwoordelijkheid neemt hiervoor.

(Als het bij een hosting bedrijf is dat vbulletin aanbied dan zou je nog kunnen zeggen dat de hoster het gedwongen moet upgraden, maar wie is er dan verantwoordelijk als de site down gaat door een upgrade? Schade claims naar de hoster? Die gaat daar niet aan beginnen)
24-08-2016, 17:50 door karma4
Door Anoniem: ...
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Lachen.. De praktijk is dat het via de lijn in het kader van bezuinigingen besloten wordt om er niets aan te doen.
Dus jij gaat tegen de lijn het management in. Wat denk je dat die moet jou doen?
En kan je aantonen dat er iets stuk is en wat de kosten - baten zijn? Zo niet niet dan heb je niets..... ook al heb je gelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.