Sicherheitswarnung vBulletin-Foren massiv unter Angriff Bis Version 4.2.2 und 5.1.0

[Research]

Kurze Durchsage:

Laut Heise sind alle vBulletin-Foren, wie Dieses, bis zu den Versionen 4.2.2 und 5.1.0 praktisch schutzlos gegen neue Exploitkits. Wer jüngere Software nutzt ist gefährdet.
Die Lücke ist aus-nutzbar wenn das Installations-Verzeichnisses nicht gelöscht wurde. Oder man schließt den Fernzugriff auf die Update-Punktion. DIese ist übrigens PHP (upgrade.php)
Dies ist seit Ende August bekannt. Der Hersteller warnt.

Dabei wird der Admin-Account in "Th3H4ck" umbenannt. Google spuckt fleißig Ergebnisse aus.

Es wird dabei wohl die Update-Funktion zur Übernahme ausgenutzt. Ich vermute eine umgebogene Adresse um ein Fake-Update einzuspielen.

Quelle: Zehntausende vBulletin-Foren im Visier von Hackern | heise online

Meinung: PCGH nutzt "Powered by vBulletin™ Version 4.1.3 (Deutsch)", ist also angreifbar. Update!
Oder ein Roll Back auf die Versionen vor 4.1.

Mehr spucken auch die anderen Quellen nicht aus.

Edit: Geklaut aus dem Heise Forum, danke an den unfreiwilligen Spender :

1. Fehler:
In der upgrade.php war der Hash der Customerid hinterlegt. Die ID ist
nur dem Kunden bekannt und wird benötigt um ein Upgrade zu starten.
Warum die im HTML-Quelltext als Hash steht ist mir unbekannt und
haben die, wenn ich mich richtig erinnere, mit der neuen Version
einfach gelöscht.
War die ID richtig, bekommt man von dem Script ein Cookie gesetzt mit
dem Hash, den man bereits im Quelltext ohne "Authentifizierung"
gefunden hat. Weiter wird dieser Hash bei jeder Anfrage in den
POST-Anfragen mitgeschickt und überprüft.
Der Schutz mit der Abfrage der Customerid war damit umgangen.

2. Fehler:
Es gibt eine Funktion, die einen Adminuser während der Installation
anlegt. Diese Funktion konnte auch über die upgrade.php genutzt
werden. Diese Funktion hat bei jeden Aufruf über diesen Hack einfach
einen neuen Admin angelegt. Gefixt ist dies mit der Überprüfung, ob
bereits User vorhanden sind und wenn ja, wird kein neuer User
angelegt.

 

[ΔΣΛ]

*Sarkasmus An* Toll, genau das brauchen wir alle gerade *Sarkasmus Aus*, dann dürfen wir uns die nächste Zeit mit Hackern und mit einer neuen Version anfreunden
Hoffe das die PCGH verantwortlichen nicht nur rasch mit Ankündigungen reagieren, sondern besonders mit taten, alles andere wäre grob fahrlässig !
Auf Thilo und ZAM kommen jetzt schwere Tage auf sie zu, der eine muss die neue Version kaufen und anschaffen, und der andere ackern

 

[keinnick]

*Sarkasmus An* Toll, genau das brauchen wir alle gerade *Sarkasmus Aus*, dann dürfen wir uns die nächste Zeit mit Hackern und mit einer neuen Version anfreunden
Hoffe das die PCGH verantwortlichen nicht nur rasch mit Ankündigungen reagieren, sondern besonders mit taten, alles andere wäre grob fahrlässig !
Auf Thilo und ZAM kommen jetzt schwere Tage auf sie zu, der eine muss die neue Version kaufen und anschaffen, und der andere ackern

"Anfällig sind sowohl Version 4 als auch 5 von vBulletin, falls die Betreiber der Seiten die Installations-Verzeichnisse der Software nach erfolgter Installation nicht gelöscht haben."
(...)
"Imperva empfiehlt vBulletin-Nutzern die Verzeichnisse /install/ (bei vBulletin 4.x) oder /core/install (bei vBulletin 5.x) umgehend zu löschen oder wenigstens den Zugriff auf die upgrade.php-Datei von außen einzuschränken."

Problem gelöst.

 

[kühlprofi]

Ist mir schon lange bekannt Solche Exploits kann eigentlich jeder PC-Dummie via google finden und ausführen. Eigentlich doch schon etwas beängstigend und mich verwundert es, wieviele grosse Foren "Update-Faul" sind.

Die bekannten Exploits sind mMn mit Sicherheit nicht die einzig existierenden..

 

[Research]

Es wäre ja nicht einmal ein Update nötig. Nur das Löschen des Installers.

 

[grenn-CB]

Habe das gerade schon im Computerbase Forum gelesen und dachte dann gleich an PCGH da ja hier wahrscheinlich noch nicht die aktuelle Version installiert ist.
Bekommen die Kunden von vBulletin 4.x.x nicht alle 4.x.x als kostenloses Update?

Ich hoffe das einer der Moderatoren/Admins schon uns was dazu sagen kann wnan das Update kommt.

 

[kühlprofi]

Habe das gerade schon im Computerbase Forum gelesen und dachte dann gleich an PCGH da ja hier wahrscheinlich noch nicht die aktuelle Version installiert ist.
Bekommen die Kunden von vBulletin 4.x.x nicht alle 4.x.x als kostenloses Update?

Ich hoffe das einer der Moderatoren/Admins schon uns was dazu sagen kann wnan das Update kommt.

Dann müssten sämtliche Windows Versionen die auf den Markt kommen für User älterer Versionen ja auch immer gratis sein, da immer eine Sicherheitslücke vorhanden ist/war.
Zumal sie ja einen Fix genannt haben, wozu keine neuere Version benötigt wird um genau diese Lücke zu schliessen.

 

[Research]

War bei euch auch gerade das Forum + Account offline?

 

[SpotlightXFX]

bin erst geradeben reingekommen , aber lief alles auf anhieb?

 

[beren2707]

Bei mir war es eine ganze Weile nicht nutzbar, seit knapp einer halben Stunde läufts wieder.
Mal abwarten, eine offizielle Meldung seitens PCGH wird sicherlich nicht lange auf sich warten lassen.

 

[Dynamitarde]

War bei euch auch gerade das Forum + Account offline?

Ja. So zirka bis 15 Uhr

 

[keinnick]

War bei euch auch gerade das Forum + Account offline?

Jap, war vorhin eine ganze Weile offline.

 

[grenn-CB]

War bei euch auch gerade das Forum + Account offline?

Ja von ca. 13Uhr bis 14:30Uhr war das wohl so.

Dann müssten sämtliche Windows Versionen die auf den Markt kommen für User älterer Versionen ja auch immer gratis sein, da immer eine Sicherheitslücke vorhanden ist/war.

Ich hatte mal das so gelesen das man wenn man die 4.0 oder 4.1 Version hat das man dann kostenlos auf 4.2 umsteigen kann, aber natürlich nicht auf die 5.x.x, hatte ich zumindest so verstanden.

 

[kühlprofi]

Ja von ca. 13Uhr bis 14:30Uhr war das wohl so.



Ich hatte mal das so gelesen das man wenn man die 4.0 oder 4.1 Version hat das man dann kostenlos auf 4.2 umsteigen kann, aber natürlich nicht auf die 5.x.x, hatte ich zumindest so verstanden.

Ah ok, ja das macht durchaus Sinn . Danke für die Info!

 

[PCGH_Stephan]

Da in den vergangenen Tagen ab und zu der Eindruck erweckt oder befürchtet wurde, dass das PCGHX-Forum gefährdet ist, sei mir an dieser Stelle ein Zitat von Thilo gegönnt: "Wir haben natürlich unsere Hausaufgaben gemacht."

 

[PCGH_Thilo]

Und die Downtime hatte damit auch nichts zu tun.

Ich kann natürlich nicht versprechen, dass PCGHX NIEMALS Opfer von Hackern wird. Aber diese Sicherheitslücke haben wir direkt nach Bekanntgabe auch geschlossen.

 

[MaxRink]

Irgendeine Lücke ergibt sich immer. Webserver, MySQL-Server, Betriebssystem...

 

[keinnick]

Darf man das als aufforderung verstehen? Irgendeine Lücke ergibt sich immer. Webserver, MySQL-Server, Betriebssystem...

Wo siehst Du da eine Aufforderung?

Ich kann natürlich nicht versprechen, dass PCGHX NIEMALS Opfer von Hackern wird. Aber diese Sicherheitslücke haben wir direkt nach Bekanntgabe auch geschlossen.

 

[MaxRink]

Hab mich verlesen. Im Zug kann ich mich immer so schlecht auf sowas konzentrieren.

 

[grenn-CB]

Gut das es auch hier so schnell die Lücke geschlossen wurde.