Image Image Image Image

Über 35.000 vBulletin Foren in wenigen Tagen gehackt

Über 35.000 vBulletin Foren in wenigen Tagen gehackt

Tausende Foren-Betreiber, die auf das CMS von vBulletin als Foren-Software setzen, wurden in den letzten Tagen Opfer von einem weitreichenden Hacker-Angriff. Dabei hatte man seitens der Entwickler von vBulletin im Vorfeld bereits auf Maßnahmen hingewiesen, die Übergriffe größtenteils verhindert hätten.

Die Entwickler hatten Foren-Betreiber, die vBulletin in den Versionen 4.x oder 5.x verwenden empfohlen, nach der Installation der Software auf dem Server das Verzeichnis "/install" bzw. "/core/install" zu löschen, um Angriffen von außen vorzubeugen. Diese Warnung, die unter anderem in beigelegte Dokumentationen der Foren-Software ausgewiesen wird, wurde von zahlreichen Betreibern offenbar übersehen. Auch wenn man hier seitens vBulletin konsequenter auf die Schwachstellen hätte hinweisen können. Denn offiziell war es nicht notwendig, es blieb bei einer Empfehlung. Außerdem liegen die Installationsverzeichnisse recht offen und nur durch die Kundennummer geschützt auf den meisten Servern. Diese wird wiederum seit vBulletin v4 per JavaScript geprüft und der angeforderte Wert als Hashs in einem sichtbaren Dokument übermittelt.

runawayDie Security-Firma Imperva hat die Anzahl der erfolgreichen Angriffe mittlerweile überprüft und herausgefunden, dass über 35.000 Foren gehackt und übernommen wurden. Oftmals nutzten die Hacker hierfür ein spezielles Script, dass das Web nach Foren durchsucht, bei denen die besagten Verzeichnisse nicht gelöscht wurden. Hat das Script ein Forum gefunden, konnte aufgrund der noch vorhandenen Verzeichnisse mit einem recht einfachen Trick die Kundennummer ausgelesen und über die upgrade.php ein neuer Benutzer mit Administrator-Rechten angelegt werden. Über diesen konnten die Angreifer einzelne Einträge bearbeiten, Botschaften hinterlassen, das Forum als Malware-Schleuder verwenden oder gar alle Einträge löschen. In der Google-Suche stellt sich daher aktuell dieses Bild dar.

Laut Imperva hält sich die Anzahl der Angreifer in Grenzen. Oftmals waren es dieselben Personen (Th3H4ck), die systematisch nach angreifbaren Foren schauten und diese übernahmen, zumal diese Zugriff auf ein Botnet hatten. Wer selbst ein vBulletin-Forum betreibt, sollte nun schauen, inwiefern man selbst zum potenziellen Angriffsziel werden könnte. Mit vBulletin 4.2.2. haben die Entwickler bereits eine Lösung veröffentlicht, die diese Lücke schließt. Wer aktuell vBulletin v5 nutzt, sollte manuell das Installationsverzeichnis löschen, da man seitens der Entwickler erst für Version 5.1 einen Fix angekündigt hat, das derzeit aber noch auf sich warten lässt. Was meint ihr, hätte vBulletin konsequenter auf diese Problematik hinweisen sollen, zumal sich das Unternehmen die Foren-Software ordentlich vergüten lässt? Offenkundig reichte es nicht aus, in den Dokumentationen darauf aufmerksam zu machen.


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:

  • Anonym

    Hacker suchen in genau sollchen von den Firmen veröffentlichten Dokumentationen nach den möglichen Exploits…

  • Ricco_ux

    wtf, wofür bezahlen wir verdammt nochmal so viel geld, wenn wir am ende eh immer und immer wieder von irgendwelchen sicherheitsproblemen bei vbulletin hören müssen… unfassbar, kann man nur mit dem kopf schütteln.

  • Greendaftpunk Wolfs Rain

    Von vBulletin hört man nur schlechtes. In meinen Augen hat vBulletin in aller Linie komplett versagt. Ich kann da nur WBB Empfehlen. Die Entwickeln neue Forensoftware und nehmen Sicherheitslucken und Kundenwüsche sehr ernst. Nicht wie vBulletin



← Menü öffnen weblogit.net | Home