Χάκερ εκμεταλλεύονται σοβαρές ευπάθειες του vBulletin
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ εκμεταλλεύονται σοβαρές ευπάθειες του vBulletin
https://www.secnews.gr/649833/hacker-ekmetallevontai-sovares-efpatheies-vbulletin/
Jun 2nd 2025, 11:27
by Absenta Mia
Δύο κρίσιμες ευπάθειες που επηρεάζουν το λογισμικό ανοικτού κώδικα vBulletin, ανακαλύφθηκαν πρόσφατα, με τη μία να επιβεβαιώνεται ότι ήδη αξιοποιείται ενεργά από επιτιθέμενους.
Δείτε επίσης: Λεπτομέρειες για το ελάττωμα Cisco IOS XE κυκλοφόρησαν δημόσια
Οι ευπάθειες, που έχουν καταχωρηθεί ως CVE-2025-48827 και CVE-2025-48828, και έχουν χαρακτηριστεί ως κρίσιμες (με βαθμολογία CVSS v3: 10.0 και 9.0 αντίστοιχα), σχετίζονται με κακόβουλη κλήση μεθόδου API και απομακρυσμένη εκτέλεση κώδικα (RCE), μέσω κατάχρησης της μηχανής templates.
Επηρεάζουν τις εκδόσεις του vBulletin από την 5.0.0 έως την 5.7.5 και από την 6.0.0 έως την 6.0.3, όταν η πλατφόρμα λειτουργεί με PHP 8.1 ή νεότερη. Πιθανότατα, τα κενά ασφαλείας επιδιορθώθηκαν σιωπηλά πέρυσι με την κυκλοφορία του Patch Level 1 για όλες τις εκδόσεις της σειράς 6.* και με το Patch Level 3 για την έκδοση 5.7.5. Ωστόσο, πολλοί ιστότοποι παραμένουν ευάλωτοι, καθώς δεν έχουν προβεί σε αναβάθμιση.
Τα δύο ζητήματα εντοπίστηκαν στις 23 Μαΐου 2025 από τον ερευνητή ασφάλειας Egidio Romano (γνωστός και ως EgiX), ο οποίος εξήγησε τον τρόπο εκμετάλλευσής τους μέσω αναλυτικής τεχνικής ανάρτησης στο ιστολόγιό του.
Ο ερευνητής έδειξε ότι οι ευπάθειες οφείλονται στην κακή χρήση του Reflection API της PHP από το vBulletin. Λόγω αλλαγών στη συμπεριφορά της PHP από την έκδοση 8.1 και μετά, επιτρέπεται η κλήση προστατευμένων μεθόδων χωρίς την απαιτούμενη προσαρμογή προσβασιμότητας.
Δείτε ακόμα: Ευπάθεια του GitLab Duo επιτρέπει χειραγώγηση απαντήσεων AI
Η αλυσίδα της ευπάθειας βασίζεται στην ικανότητα κλήσης προστατευμένων μεθόδων μέσω κατάλληλα διαμορφωμένων URL και στην κατάχρηση συνθηκών (conditionals) μέσα στη μηχανή templates του vBulletin. Εισάγοντας ειδικά διαμορφωμένο template κώδικα μέσω της ευάλωτης μεθόδου 'replaceAdTemplate', οι επιτιθέμενοι μπορούν να παρακάμψουν τα φίλτρα για "μη ασφαλείς συναρτήσεις" χρησιμοποιώντας τεχνικές όπως οι μεταβλητές συναρτήσεις της PHP.
Αυτό έχει ως αποτέλεσμα την πλήρη, απομακρυσμένη και χωρίς έλεγχο ταυτότητας εκτέλεση κώδικα στον υποκείμενο διακομιστή — παρέχοντας ουσιαστικά στους επιτιθέμενους πρόσβαση shell με δικαιώματα χρήστη του web server (π.χ. www-data σε Linux).
Στις 26 Μαΐου, ο ερευνητής ασφάλειας Ryan Dewhurst ανέφερε ότι εντόπισε απόπειρες εκμετάλλευσης στα αρχεία καταγραφής ενός honeypot, μέσω αιτημάτων προς το ευάλωτο endpoint 'ajax/api/ad/replaceAdTemplate'.
Ο Dewhurst εντόπισε έναν από τους επιτιθέμενους στην Πολωνία, παρατηρώντας απόπειρες εγκατάστασης PHP backdoors με σκοπό την εκτέλεση εντολών συστήματος. Ο ερευνητής σημείωσε ότι οι επιθέσεις φαίνεται να αξιοποιούν την ευπάθεια vBulletin που δημοσίευσε νωρίτερα ο Romano, αν και υπάρχουν διαθέσιμα πρότυπα Nuclei για την ευπάθεια ήδη από τις 24 Μαΐου 2025.
Αξίζει να διευκρινιστεί ότι ο Dewhurst παρατήρησε μόνο απόπειρες εκμετάλλευσης της ευπάθειας CVE-2025-48827, χωρίς να υπάρχουν προς το παρόν αποδείξεις ότι οι επιτιθέμενοι κατάφεραν να την συνδυάσουν με επιτυχία για πλήρη απομακρυσμένη εκτέλεση κώδικα (RCE) — αν και κάτι τέτοιο θεωρείται εξαιρετικά πιθανό.
Δείτε επίσης: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Βάσει των παραπάνω πληροφοριών, είναι φανερό ότι το vBulletin αντιμετωπίζει σοβαρούς κινδύνους ασφαλείας που σχετίζονται με τον τρόπο που χειρίζεται την PHP σε νεότερες εκδόσεις (όπως η 8.1). Οι επιθέσεις αξιοποιούν συνδυασμό ευπαθειών — κάτι που είναι γνωστό ως vulnerability chaining — και δίνουν τη δυνατότητα για απομακρυσμένη εκτέλεση κώδικα χωρίς καμία ταυτοποίηση, γεγονός που τις καθιστά εξαιρετικά επικίνδυνες.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ εκμεταλλεύονται σοβαρές ευπάθειες του vBulletin
https://www.secnews.gr/649833/hacker-ekmetallevontai-sovares-efpatheies-vbulletin/
Jun 2nd 2025, 11:27
by Absenta Mia
Δύο κρίσιμες ευπάθειες που επηρεάζουν το λογισμικό ανοικτού κώδικα vBulletin, ανακαλύφθηκαν πρόσφατα, με τη μία να επιβεβαιώνεται ότι ήδη αξιοποιείται ενεργά από επιτιθέμενους.
Δείτε επίσης: Λεπτομέρειες για το ελάττωμα Cisco IOS XE κυκλοφόρησαν δημόσια
Οι ευπάθειες, που έχουν καταχωρηθεί ως CVE-2025-48827 και CVE-2025-48828, και έχουν χαρακτηριστεί ως κρίσιμες (με βαθμολογία CVSS v3: 10.0 και 9.0 αντίστοιχα), σχετίζονται με κακόβουλη κλήση μεθόδου API και απομακρυσμένη εκτέλεση κώδικα (RCE), μέσω κατάχρησης της μηχανής templates.
Επηρεάζουν τις εκδόσεις του vBulletin από την 5.0.0 έως την 5.7.5 και από την 6.0.0 έως την 6.0.3, όταν η πλατφόρμα λειτουργεί με PHP 8.1 ή νεότερη. Πιθανότατα, τα κενά ασφαλείας επιδιορθώθηκαν σιωπηλά πέρυσι με την κυκλοφορία του Patch Level 1 για όλες τις εκδόσεις της σειράς 6.* και με το Patch Level 3 για την έκδοση 5.7.5. Ωστόσο, πολλοί ιστότοποι παραμένουν ευάλωτοι, καθώς δεν έχουν προβεί σε αναβάθμιση.
Τα δύο ζητήματα εντοπίστηκαν στις 23 Μαΐου 2025 από τον ερευνητή ασφάλειας Egidio Romano (γνωστός και ως EgiX), ο οποίος εξήγησε τον τρόπο εκμετάλλευσής τους μέσω αναλυτικής τεχνικής ανάρτησης στο ιστολόγιό του.
Ο ερευνητής έδειξε ότι οι ευπάθειες οφείλονται στην κακή χρήση του Reflection API της PHP από το vBulletin. Λόγω αλλαγών στη συμπεριφορά της PHP από την έκδοση 8.1 και μετά, επιτρέπεται η κλήση προστατευμένων μεθόδων χωρίς την απαιτούμενη προσαρμογή προσβασιμότητας.
Δείτε ακόμα: Ευπάθεια του GitLab Duo επιτρέπει χειραγώγηση απαντήσεων AI
Η αλυσίδα της ευπάθειας βασίζεται στην ικανότητα κλήσης προστατευμένων μεθόδων μέσω κατάλληλα διαμορφωμένων URL και στην κατάχρηση συνθηκών (conditionals) μέσα στη μηχανή templates του vBulletin. Εισάγοντας ειδικά διαμορφωμένο template κώδικα μέσω της ευάλωτης μεθόδου 'replaceAdTemplate', οι επιτιθέμενοι μπορούν να παρακάμψουν τα φίλτρα για "μη ασφαλείς συναρτήσεις" χρησιμοποιώντας τεχνικές όπως οι μεταβλητές συναρτήσεις της PHP.
Αυτό έχει ως αποτέλεσμα την πλήρη, απομακρυσμένη και χωρίς έλεγχο ταυτότητας εκτέλεση κώδικα στον υποκείμενο διακομιστή — παρέχοντας ουσιαστικά στους επιτιθέμενους πρόσβαση shell με δικαιώματα χρήστη του web server (π.χ. www-data σε Linux).
Στις 26 Μαΐου, ο ερευνητής ασφάλειας Ryan Dewhurst ανέφερε ότι εντόπισε απόπειρες εκμετάλλευσης στα αρχεία καταγραφής ενός honeypot, μέσω αιτημάτων προς το ευάλωτο endpoint 'ajax/api/ad/replaceAdTemplate'.
Ο Dewhurst εντόπισε έναν από τους επιτιθέμενους στην Πολωνία, παρατηρώντας απόπειρες εγκατάστασης PHP backdoors με σκοπό την εκτέλεση εντολών συστήματος. Ο ερευνητής σημείωσε ότι οι επιθέσεις φαίνεται να αξιοποιούν την ευπάθεια vBulletin που δημοσίευσε νωρίτερα ο Romano, αν και υπάρχουν διαθέσιμα πρότυπα Nuclei για την ευπάθεια ήδη από τις 24 Μαΐου 2025.
Αξίζει να διευκρινιστεί ότι ο Dewhurst παρατήρησε μόνο απόπειρες εκμετάλλευσης της ευπάθειας CVE-2025-48827, χωρίς να υπάρχουν προς το παρόν αποδείξεις ότι οι επιτιθέμενοι κατάφεραν να την συνδυάσουν με επιτυχία για πλήρη απομακρυσμένη εκτέλεση κώδικα (RCE) — αν και κάτι τέτοιο θεωρείται εξαιρετικά πιθανό.
Δείτε επίσης: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Βάσει των παραπάνω πληροφοριών, είναι φανερό ότι το vBulletin αντιμετωπίζει σοβαρούς κινδύνους ασφαλείας που σχετίζονται με τον τρόπο που χειρίζεται την PHP σε νεότερες εκδόσεις (όπως η 8.1). Οι επιθέσεις αξιοποιούν συνδυασμό ευπαθειών — κάτι που είναι γνωστό ως vulnerability chaining — και δίνουν τη δυνατότητα για απομακρυσμένη εκτέλεση κώδικα χωρίς καμία ταυτοποίηση, γεγονός που τις καθιστά εξαιρετικά επικίνδυνες.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz