近日,有報(bào)道指出vBulletin開發(fā)者網(wǎng)站遭遇黑客攻擊并且泄露了將近48萬vBulletin用戶的敏感信息。
在遭遇黑客攻擊后,vBulletin官方緊急強(qiáng)制性要求用戶重置密碼,他們警告用戶:攻擊者可能利用我們的系統(tǒng)漏洞得到了一些用戶ID以及加密后的密碼。隨即,vBulletin官網(wǎng)提及了一個(gè)用于連接5.1.4版本與5.1.9版本的安全補(bǔ)丁。
官方未回應(yīng)
值得注意的是,即使該漏洞已經(jīng)被利用并且對(duì)成千上萬使用vBulletin程序套件的論壇網(wǎng)站造成了威脅,官方卻并未就此漏洞給出一個(gè)明確的警告。ARS要求vBulletin官方對(duì)此作出回應(yīng),然而請求至今沒有收到答復(fù),因此筆者得到的信息包括來自尚未被明確證實(shí)的推斷信息。
福昕閱讀器官網(wǎng)中槍
事件持續(xù)發(fā)酵中,就在上周末,一位“coldzer0”告知大眾媒體以及課題組,他攻破了vBulletin官方網(wǎng)站并且得到了479895位用戶的隱私信息,作為攻陷證據(jù),他將泄漏的數(shù)據(jù)截屏放在了文章的頂部,并且將數(shù)據(jù)泄露的視頻更新到了yutube和Facebook,他聲稱:
該漏洞還嚴(yán)重威脅到了福昕閱讀器的論壇網(wǎng)站,在寫這篇稿子的時(shí)候,福昕閱讀器的論壇已處于癱瘓狀態(tài)。
緊接著星期二晚,有人將一份漏洞分析報(bào)告貼到了網(wǎng)上,報(bào)告中稱此漏洞已經(jīng)存在三年之久,并且黑客可以通過遠(yuǎn)程執(zhí)行代碼來控制vBulletin的用戶論壇網(wǎng)站。
讓我們把這些零碎的報(bào)道整理一下:這是vBulletin 軟件無法推卸的一個(gè)0day漏洞,利用這個(gè)0day,黑客幾乎可以完全控制使用vBulletin軟件的論壇,如果真實(shí)情況如此,網(wǎng)站的管理員們應(yīng)當(dāng)立即停止當(dāng)前所有操作并且安裝補(bǔ)丁,對(duì)于可能泄漏賬戶密碼的用戶來說,應(yīng)當(dāng)立即修改當(dāng)前密碼,并且為防止撞庫,用戶應(yīng)當(dāng)修改其他網(wǎng)站中使用的相同密鑰。截止筆者寫稿之際,一些使用vBulletin的網(wǎng)站都已經(jīng)暫停運(yùn)作,其中包括一些針對(duì)性較強(qiáng)網(wǎng)站如Defcon.org。其實(shí)早在兩年前,類似的安全隱患也曾經(jīng)在vBulletin中出現(xiàn)過。
至此,vBulletin和福昕軟件的官員還未確認(rèn)漏洞細(xì)節(jié),但是小編就此給出安全建議,F(xiàn)reeBuf也將繼續(xù)追蹤事件進(jìn)度。