Attacco contro vBulletin, forum a rischio

Nel weekend vBulletin ha subito un attacco da malintenzionati che hanno sfruttato una vulnerabilità zero-day per sottrarre le password e altre informazioni personali degli utenti. La prima segnalazione è arrivata dal sito MacRumors che ha confermato il furto dei dati di oltre 860.000 iscritti al suo forum, ma il bug sarebbe stato usato per colpire anche il forum della software house. vBulletin ha consigliato di cambiare le password al più presto.

Secondo il proprietario di MacRumors, Arnold Kim, i cracker hanno eseguito un attacco XSS (Cross Site Scripting). Le impostazioni predefinite del forum consentono ai moderatori di pubblicare annunci in formato HTML. I malintenzionati sono riusciti in qualche modo ad ottenere le credenziali di login del moderatore e hanno inserito codice JavaScript nell’annuncio. Quando l’amministratore ha caricato la pagina, il codice ha installato un plugin in background che ha permesso ai cracker di eseguire script PHP.

Il team Inj3ct0r ha rivendicato la paternità dell’attacco, annunciando anche che l’exploit è stato messo in vendita a 7.000 dollari. Il supporto tecnico di vBulletin ha scoperto che sono stati sottratti gli ID degli utenti e le password memorizzate in forma criptata sui loro server. L’azienda ritiene però che l’exploit ha successo solo contro versioni non aggiornate del software, quindi suggerisce di installare gli aggiornamenti più recenti.

In attesa di una soluzione definitiva al problema, è comunque consigliabile disattivare i forum basati su vBulletin.