2015年11月2日,外媒报道了一起黑客通过0day漏洞攻击vBulletin官网致480,000名用户密码以及其他敏感信息泄露事件,同时该名黑客利用同样的漏洞攻击了vBulletin套件制作的Foxit软件公司论坛。11月3日,vBulletin官方发布了一个高危安全漏洞补丁vBulletin 5(5.1.4~5.1.9),并对其所有用户强制进行了密码重置。
显然,此次vBulletin漏洞已经被利用并且对成千上万使用该程序套件的论坛网站造成了威胁,经知道创宇404安全实验室分析确认该漏洞可直接导致任意代码执行危害巨大,据网络消息称此漏洞已经存在三年之久,黑客可以通过远程执行代码来控制vBulletin的用户论坛网站,利用这个0day,黑客几乎可以完全控制使用vBulletin软件的论坛。
目前相关漏洞已被快速收录到知道创宇旗下Sebug漏洞社区(sebug.net)中,包含漏洞详情、漏洞PoC等(http://www.sebug.net/vuldb/ssvid-89707),同时知道创宇404安全实验室第一时间发表了《unserialize() 实战之 vBulletin 5.x.x 远程代码执行》技术博文,对漏洞原理及利用办法做出了详细解释,原文链接如下:http://blog.knownsec.com/2015/11/unserialize-exploit-with-vbulletin-5-x-x-remote-code-execution/
根据知道创宇安全团队检测,目前全球使用vBulltin套件的网站有 36005个,涉及服务器20407台。全球使用vBulltin套件网站的国家排名前三位的分别是:美国18013个,德国4110个,俄罗斯2281个;中国境内使用vBulltin套件的网站有117个,全球排名第21位。
知道创宇呼吁相关网站管理员应立即停止当前所有操作并且安装补丁(访问 http://www.vbulletin.com/升级至官方最新版本),受知道创宇旗下云防护产品创宇盾、加速乐保护的vBulletin站点无需升级即可防御该漏洞。对于可能泄漏账户密码的用户来说,应当立即修改当前密码,并且为防止撞库,用户应当修改其他网站中使用的相同密钥。