Ha aparecido un supuesto 0day que afecta al software vBulletin en sus versiones 4.x y 5.x y por tanto a millones de foros. Desde la propia vBulletin, la última en sufrir un ataque, se está pidiendo a los usuarios que cambien su contraseña mientras se sigue investigando el ataque y el método utilizado.

VBulletin Logo

 

vBulletin vuelve a saltar a la palestra debido a los ataques que están sufriendo diversas webs y foros basados en este magnífico software. Recientemente hemos observado el hackeo de vbulletin.com y macrumors.com, y los hackers responsables de los ataques atribuyeron el éxito a un nuevo 0day que afectaría a las versiones 4.x y 5.x de vBulletin.

En el caso de macrumors.com que utiliza una versión 3.x de vBulletin, según el propio dueño de la página Arnold Kim, los atacantes tuvieron que utilizar un ataque xss, conseguir la contraseña de un moderador, y a través de un "anuncio" en el foro embeber javascript para que una vez visualizado por un administrador, los atacantes pudieran ejecutar a través de un plugin scripts PHP y por tanto conseguir acceso al servidor.

En el caso de vBulletin, no se ha hecho pública la versión atacada y la propia compañía aún no ha verificado la existencia de este 0day aunque sigue investigando el ataque sufrido. Los supuestos atacantes por su parte siguen ofreciendo el exploit para cualquier comprador interesado. Se confirme finalmente la existencia de este 0day o no, en caso que seáis miembros de algún foro vBulletin no sería mala idea cambiar vuestra contraseña.

Fuente Krebs on Security