Über 35.000 vBulletin gehackt: Sicherheitslücke im Installations-System

Stefan Keller, den 14. Oktober 2013
vBulletin
vBulletin – Logo

Die häufig eingesetzte Forensoftware vBulletin leidet an einer Sicherheitslücke, die momentan aktiv ausgenutzt wird. Sie befindet sich im Installationssystem und hat bereits über 35.000 Webseiten auf dem Gewissen. Das Wichtigste vorab: Das Löschen des Ordners „install“ bringt Schutz.

Eine Sicherheitslücke in vBulletin bereitet Administratoren derzeit Kopfzerbrechen. Sie ermöglicht es, ohne Zugang auf den Server, einen komplett privilegierten Administrator zu erstellen, der sich dann mit der ganzen Macht der Administrationsoberfläche an der Webseite zu schaffen machen kann.

Hacken leicht gemacht

Die Ursache der Sicherheitslücke liegt im Installationssystem. Dieses liegt, geschützt nur durch die Kundennummer bei vBulletin Solutions Inc. (vBSI), relativ offen auf den meisten Servern. Laut offiziellen Angaben war es bislang nicht notwendig, den Ordner „install“ nach der Installation oder einem Update zu löschen – geschadet hatte es aber noch nie. Die Crux ist, dass seit der überarbeiteten Installations- und Update-Routine in vBulletin 4 (und 5) die Kundennummer per JavaScript geprüft wird und der erwartete Wert in Form eines Hashs in einem öffentlich sichtbaren Dokument enthalten ist. Man muss also nur noch ein Cookie mit dem ausgelesenen Wert mitsenden und kann dann über das Script „upgrade.php“ einen Administrator anlegen – mit selbst festgelegtem Benutzernamen und Passwort. Dies demonstriert ein Script, das die Sicherheitslücke ausnutzt. Auch eine Anleitung, wie man sich Zugang zu einer Administrationsoberfläche verschaffen kann, liegt im Internet auf Abruf bereit.

Mehrere Tausend Opfer

Wie bei Krebs On Security (engl.) zu lesen ist, sind aktuell über 35.000 Installationen heimgesucht worden – und das nur von einem einzigen Angreifer. All diese Foren haben nun einen zusätzlichen Administrator mit dem Namen „Th3H4ck“ und verbreiten fortan Malware an die Besucher.

Lösungen für das Problem

Die wirksamste und einfachste Lösung, um sich gar nicht erst angreifbar zu machen, besteht darin, den „install“-Ordner nach erfolgter Installation oder erfolgtem Update zu löschen. Diese Lösung ist versionsunabhängig. Die Entwickler haben mit vBulletin 4.2.2 eine Lösung versprochen, die bereits veröffentlicht wurde. Wer bereits vBulletin 5.x einsetzt, muss derzeit den Ordner löschen, da eine Lösung erst mit Erscheinen von 5.1.0 fertiggestellt werden soll – vBulletin 5.1.0 ist aber noch nicht veröffentlicht worden.


Ähnliche Nachrichten