Onderzoeker waarschuwt voor zelf hosten vBulletin-fora
De afgelopen weken zijn meerdere webfora gehackt die op vBulletin draaide en waarbij de gegevens van miljoenen internetgebruikers werden buitgemaakt. Het probleem is echter niet de vBulletin-forumsoftware zelf, maar beheerders die de forumsoftware zelf hosten en niet updaten.
Dat stelt de Australische beveiligingsonderzoeker Troy Hunt. Onder de getroffen fora bevinden zich GTAGaming, Epic Games, Dota 2, Disney en Ubuntu Forums. Bij elkaar opgeteld zijn alleen al bij deze hacks de gegevens van zo'n 5,3 miljoen gebruikers buitgemaakt. "Er is een probleem met websites die vBulletin hosten en worden gehackt, maar ik zeg niet dat het gehele probleem vBulletin is", aldus Hunt.
In het geval van GTAGaming, een fansite rondom het gelijknamige computerspel, draaide het forum op vBulletin 3.8.7. VBulletin versie 3 verscheen in maart 2004, terwijl versie 3.8.7 op 28 februari 2011 uitkwam. Ruim drie jaar later verscheen versie 3.8.8, gevolgd door versie 3.8.9 op 17 juni 2015. Het forum van GTGaming liep 4,5 jaar achter met patches voor hun versie. "En dat is het echte verhaal met vBulletin, installaties die worden verwaarloosd", merkt Hunt op.
In het geval vBulletin-fora worden gehackt is het meestal niet via een zero day-kwetsbaarheid, maar via een bekend beveiligingslek dat al geruime tijd is gedicht, maar waarvan de patch niet is geïnstalleerd. Het beheren van een eigen forum houdt ook in het snel uitrollen van beveiligingsupdates, gaat Hunt verder. Beheerders zijn daarnaast verantwoordelijk voor de gegevens van de mensen die zich op het forum registreren. Volgens de onderzoeker is het dan ook verstandiger dat mensen die hun eigen installatie van vBulletin beheren dit uitbesteden.
Misschien maar als je als bedrijf er jaren over doet om een nieuwe versie uit te geven kun je ook niet verwachten dat beheerders elke week gaan kijken of er nieuwe software is. Ik kan die vbulletin software dus ook niet heel erg serieus nemen. Er horen gewoon op regelmatige basis security fixes and patches te worden uitgebracht.
Updaten is inderdaad een kwestie van beheer, dus de beheerder(s) doen hun werk niet.
Updaten is inderdaad een kwestie van beheer, dus de beheerder(s) doen hun werk niet.
Misschien maar als je als bedrijf er jaren over doet om een nieuwe versie uit te geven kun je ook niet verwachten dat beheerders elke week gaan kijken of er nieuwe software is. Ik kan die vbulletin software dus ook niet heel erg serieus nemen. Er horen gewoon op regelmatige basis security fixes and patches te worden uitgebracht.
Of die updates 1 keer per jaar of 1 keer per week uitkomen, staat hier los van.
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Als het nient veilig is, dan voel ik me genoodzaakt om mijn account daar zo snel mogelijk te laten verwijderen.
PHP programmeurs daar mee laten werken is kennelijk wel een erg groot risico...
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Maar het gaat hier om een fansite.
m.a.w. er is geen bedrijf in betrokken dat verantwoordelijkheid neemt hiervoor.
(Als het bij een hosting bedrijf is dat vbulletin aanbied dan zou je nog kunnen zeggen dat de hoster het gedwongen moet upgraden, maar wie is er dan verantwoordelijk als de site down gaat door een upgrade? Schade claims naar de hoster? Die gaat daar niet aan beginnen)
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Dus jij gaat tegen de lijn het management in. Wat denk je dat die moet jou doen?
En kan je aantonen dat er iets stuk is en wat de kosten - baten zijn? Zo niet niet dan heb je niets..... ook al heb je gelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
