近日,有报道指出vBulletin开发者网站遭遇黑客攻击并且泄露了将近48万vBulletin用户的敏感信息。
在遭遇黑客攻击后,vBulletin官方紧急强制性要求用户重置密码,他们警告用户:攻击者可能利用我们的系统漏洞得到了一些用户ID以及加密后的密码。随即,vBulletin官网提及了一个用于连接5.1.4版本与5.1.9版本的安全补丁。
官方未回应
值得注意的是,即使该漏洞已经被利用并且对成千上万使用vBulletin程序套件的论坛网站造成了威胁,官方却并未就此漏洞给出一个明确的警告。ARS要求vBulletin官方对此作出回应,然而请求至今没有收到答复,因此笔者得到的信息包括来自尚未被明确证实的推断信息。
福昕阅读器官网中枪
事件持续发酵中,就在上周末,一位“coldzer0”告知大众媒体以及课题组,他攻破了vBulletin官方网站并且得到了479895位用户的隐私信息,作为攻陷证据,他将泄漏的数据截屏放在了文章的顶部,并且将数据泄露的视频更新到了yutube和Facebook,他声称:
该漏洞还严重威胁到了福昕阅读器的论坛网站,在写这篇稿子的时候,福昕阅读器的论坛已处于瘫痪状态。
紧接着星期二晚,有人将一份漏洞分析报告贴到了网上,报告中称此漏洞已经存在三年之久,并且黑客可以通过远程执行代码来控制vBulletin的用户论坛网站。
让我们把这些零碎的报道整理一下:这是vBulletin 软件无法推卸的一个0day漏洞,利用这个0day,黑客几乎可以完全控制使用vBulletin软件的论坛,如果真实情况如此,网站的管理员们应当立即停止当前所有操作并且安装补丁,对于可能泄漏账户密码的用户来说,应当立即修改当前密码,并且为防止撞库,用户应当修改其他网站中使用的相同密钥。截止笔者写稿之际,一些使用vBulletin的网站都已经暂停运作,其中包括一些针对性较强网站如Defcon.org。其实早在两年前,类似的安全隐患也曾经在vBulletin中出现过。
至此,vBulletin和福昕软件的官员还未确认漏洞细节,但是小编就此给出安全建议,FreeBuf也将继续追踪事件进度。