Imperva entdeckt Sicherheitslücke in vBulletin

Bei vBulletin handelt es sich um eine beliebte CMS-Lösung, derzeit rangiert sie auf dem vierten Platz der beliebtesten Content Management Systeme. Experten sind jetzt einer kritischen Sicherheitslücke auf die Spur gekommen. Das Bedrohungsszenario durch die weite Verbreitung ist gewaltig.

Sicherheitsfachleute des Imperva Application Defense Center (ADC) (http://www.imperva.com/resources/adc/adc.html) haben die Angriffsmethoden aufgedeckt: Die identifizierte Schwachstelle erlaubt Angreifern den Konfigurationsmechanismus von vBulletin zu missbrauchen, indem sie ein zweites Administratorkonto anlegen. Ist das geschehen, erlangt der Angreifer volle Kontrolle über das komplette Programm und gleichzeitig über die Webseite, die mit dem Programm verwaltet wird.

Im Unkraut gewühlt
Mit konkreten technischen Details zur Attacke bewaffnet, machten sich die Sicherheitsexperten von Imperva in diversen Hackerforen auf die Suche nach dem Schadcode. Schon bald entdeckten sie verdächtigen PHP Code. Im Labor entpuppte sich der Fund als Volltreffer. Die Untersuchungen ergaben, dass der Angreifer zum Erstellen eines weiteren Administratorkontos lediglich folgende Angaben benötigt:

  • Die exakte URL der angreifbaren vBulletin „upgrade.php“
  • Sowie die Customer-ID

Um daran zu kommen, nutzten die Hacker als zusätzliches Hilfsmittel ein PHP-Script, dass die Website nach dem gesuchten Pfad durchsucht und gleichzeitig die Customer-ID entschlüsselt, die sich in der angreifbaren „upgrade.php“-Seite im Quellcode der Website verbirgt. Mit diesen Informationen ausgestattet, kann der Angriff beginnen.

Erste Hilfe
Obwohl vBulletin weder die Ursache der Schwachstelle noch die Auswirkungen auf die Kunden offenbart, haben die Entwickler in einem Blog (http://bit.ly/14DVzOV) eine Lösung für das Problem beschrieben. Den Administratoren wird darin geraten, die Installationsverzeichnisse „4.X – /install“ und „5.X – /core/install“
zu löschen. Ist das erledigt, lassen sich die Websites über die Sicherheitslücke nicht mehr kapern. Darüber hinaus finden sich im Forum von vBulletin (http://www.vbulletin.org/forum/showthread.php?p=2443431) weitere Tipps und Hinweise von betroffenen Nutzern.
Empfehlung

Sollten sich die beschriebenen Verzeichnisse nicht finden lassen, lautet der Ratschlag, den Zugriff auf upgrade.php entweder zu blocken oder umzuleiten. Das lässt sich entweder per WAF (Web Application Firewall) oder über die Web Server Access-Einstellungen bewerkstelligen. Imperva-Kunden werden darüber hinaus per Update mit einer digitalen Signatur versorgt, die den Zugriff auf den angreifbaren PHP-Code unterbindet.