Как мы уже предупреждали, на прошлой неделе в сети был опубликован эксплоит для 0-day уязвимости CVE-2019-16759 в форумном движке vBulletin. Этот баг позволяет злоумышленнику выполнять shell-команды на уязвимом сервере. Причем атакующему достаточно использовать простой HTTP POST-запрос и не нужно иметь учетную запись на целевом форуме, то есть проблема относится к неприятному классу pre-authentication уязвимостей.
ИБ-специалисты уже заметили, что баг оперативно взяли на вооружение злоумышленники. И хотя разработчики vBulletin исправили проблему еще на прошлой неделе, обновиться пока успели далеко не все.
Стало известно о первой крупной жертве этой уязвимости: компания Comodo сообщила о компрометации своих форумов. Взлом произошел 29 сентября 2019 года (спустя почти четыре дня после выхода патча), и атакующие смогли получить доступ к информации 245 000 пользователей.
Похоже, что взлом затронул форум, расположенный на forum.itarian.com (ITarian) и работающий под управлением vBulletin, тогда как forums.comodo.com, работающий под управлением Simple Machines Forum, не пострадал. Впрочем, представители Comodo пишут, что хакеры могли проникнуть на оба форума, так как оба "находятся в одном сегменте инфраструктуры компании". Одна из теорий гласит, что преступники взломали ITarian затем использовали украденные учетные данные и проникли на другие форумы компании.
В результате взлома в руки третьих лиц могли попасть логины, адреса электронной почты, имена, хешированные пароли, последние использованные IP-адреса, а в некоторых случаях информация об аккаунтах пользователей в социальных сетях. Издание Bleeping Computer отмечает, что на черном рынке была выставлена на продажу БД, содержащая данные 170 000 пользователей форумов Comodo, причем пароли защищены ненадежным MD5. Продавец базы утверждает, что данные были получены именно 29 сентября.
Теперь всем пользователям форумов, зарегистрированным до 29 сентября текущего года, рекомендуется немедленно понять пароли. Регистрация на пострадавших форумах временно отключена, а представители Comodo приносят пользователям извинения и уверяют, что в настоящее время все проблемы с безопасностью уже были устранены.
ИБ-специалисты уже заметили, что баг оперативно взяли на вооружение злоумышленники. И хотя разработчики vBulletin исправили проблему еще на прошлой неделе, обновиться пока успели далеко не все.
Стало известно о первой крупной жертве этой уязвимости: компания Comodo сообщила о компрометации своих форумов. Взлом произошел 29 сентября 2019 года (спустя почти четыре дня после выхода патча), и атакующие смогли получить доступ к информации 245 000 пользователей.
Похоже, что взлом затронул форум, расположенный на forum.itarian.com (ITarian) и работающий под управлением vBulletin, тогда как forums.comodo.com, работающий под управлением Simple Machines Forum, не пострадал. Впрочем, представители Comodo пишут, что хакеры могли проникнуть на оба форума, так как оба "находятся в одном сегменте инфраструктуры компании". Одна из теорий гласит, что преступники взломали ITarian затем использовали украденные учетные данные и проникли на другие форумы компании.
В результате взлома в руки третьих лиц могли попасть логины, адреса электронной почты, имена, хешированные пароли, последние использованные IP-адреса, а в некоторых случаях информация об аккаунтах пользователей в социальных сетях. Издание Bleeping Computer отмечает, что на черном рынке была выставлена на продажу БД, содержащая данные 170 000 пользователей форумов Comodo, причем пароли защищены ненадежным MD5. Продавец базы утверждает, что данные были получены именно 29 сентября.
Теперь всем пользователям форумов, зарегистрированным до 29 сентября текущего года, рекомендуется немедленно понять пароли. Регистрация на пострадавших форумах временно отключена, а представители Comodo приносят пользователям извинения и уверяют, что в настоящее время все проблемы с безопасностью уже были устранены.
