0-Day-Lücke in der Forensoftware vBulletin?

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35011
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

0-Day-Lücke in der Forensoftware vBulletin?

Beitrag von doelf » 18 Nov 2013, 18:35

Die Hacker des "Inj3ct0r Team" behaupten, eine kritische 0-Day-Lücke in der kommerziellen Forensoftware vBulletin entdeckt zu haben. Der Angriff, welcher mit den Versionen 4 und 5 funktionieren soll, steht zum Verkauf. Als Beweis wurde offenbar die offizielle Webseite von vBulletin gehackt.

Fest steht: Das "Inj3ct0r Team" hat am 14. November 2013 eine kritische 0-Day-Lücke in vBulletin 4 und 5 über Facebook gemeldet und dazu passend gleich Screenshots von vBulletin.com veröffentlicht, welche die dortige Shell und Datenbank zeigen. Angeblich hatte das Team zuvor bereits Macrumors.com gehackt. Und um das Paket abzurunden, wurde die Sicherheitslücke gleich zum Verkauf angeboten.

Einen Tag später, am 15. November 2013, meldete vBulletin einen Angriff auf seine Webseite. Die Betreiber sprechen von ausgeklügelten Angriffen auf ihr Netzwerk und berichten, dass die Hacker Benutzerkennungen und verschlüsselte Passwörter gestohlen haben. Die Passwörter wurden daher für alle Benutzer zurückgesetzt. Unklar bleibt, wie die Angreifer vBulletin.com übernehmen konnten und ob es tatsächlich eine 0-Day-Lücke in der Software gibt.

Am 17. November 2013 erklärte vBulletins Support-Leiter Wayne Luke auf eine Frage bezüglich der 0-Day-Lücke, dass auf Macrumors.com eine veraltete Version von vBulletin 3 gehackt wurde. Die Versionen 4 und 5 seien sicher, sofern man nach der Installation der Software das Installationsverzeichnis löscht. Dies lässt zwei Deutungen zu: Entweder hatte man bei vBulletin.com die eigenen Sicherheitshinweise ignoriert und das Installationsverzeichnis nicht gelöscht oder aber die Hacker haben eine Sicherheitslücke abseits der Foren-Software genutzt.

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8711
Registriert: 17 Feb 2004, 07:12

Re: 0-Day-Lücke in der Forensoftware vBulletin?

Beitrag von The Grinch » 19 Nov 2013, 12:51

http://www.vbulletin.com/forum/forum/vb ... -vbulletin

Da wollte wohl nur ein besonders schlauer Hacker die 7000$ abgreifen,
aber allen Anschein nach gibt es keinen Exploid!

Antworten