Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Botnet gebruikt recente misbruik van vBulletin om andere hackers te blokkeren

Cyber security Envicom todayseptember 26, 2019 15

Background
share close

Er is een botnet gedetecteerd door de kortgeleden vrijgegeven vBulletin exploot om kwetsbare servers te beveiligen, zodat deze niet door andere aanvallers kunnen worden gebruikt. Hierdoor kan het botnet zijn leger van gecompromitteerde servers laten groeien zonder bang te zijn dat andere aanvallers dezelfde server zullen gebruiken.

Op maandag werd een zero day kwetsbaarheid en misbruik van externe code uitvoering voor de vBulletin exploit forum software publiekelijk vrijgegeven. Dit leidde er al snel toe dat aanvallers de exploit gebruikten om kwetsbare vBulletin servers te hacken.

Envicom heeft van Troy Mursch van Bad Packets Report vernomen dat een botnet dit vBulletin exploit gebruikt om te voorkomen dat andere aanvallers het ook gebruiken.

Het doet dit door met de exploit een kwetsbare server te hacken en het vervolgens te gebruiken om het kwetsbare bron code bestand te wijzigen, zodat het een wachtwoord vereist om opdrachten uit te voeren.

Exploit wordt gebruikt door botnet  (Bron: Bad Packets)

Laten we om dit te illustreren kijken naar de onderstaande broncode van de oorspronkelijke kwetsbaarheid in het bestand include / vb5 / frontend / controller / bbcode.php . Door de oorspronkelijke kwetsbaarheid kan elke aanvaller een opdracht op de server uitvoeren.

 function evalCode($code)
 {
     ob_start();
     eval($code);
     $output = ob_get_contents();
     ob_end_clean();
     return $output; 
   } 

Het botnet gebruikt de wat hierboven staat kwetsbaarheid om het bbcode.php-bestand aan te passen, zodat de code nu een wachtwoord vereist om te werken. We hebben het wachtwoord met opzet verwijderd om te voorkomen dat andere dreiging actoren de gewijzigde kwetsbaarheid gebruiken.

 function evalCode($code)
 {
     ob_start();
     if (isset($_REQUEST["epass"]) && $_REQUEST["epass"] == 
          "xxx") { eval($code); }
     $output = ob_get_contents();
     ob_end_clean();
     return $output; 
   } 

Met de wat hierboven staat wijziging werkt dit beveiligingslek nu alleen als de aanvallers het E-Doorgang = [wachtwoord] argument opgeven bij het gebruik van de exploit. Omdat alleen de aanvallers het wachtwoord kennen, zijn ze de enigen die opdrachten op de server kunnen uitvoeren.

Aanvallen vanuit meerdere landen

Mursch vertelde aan Envicom dat het botnet vrij groot is en dat aanvallen vanuit meerdere landen zijn gedetecteerd, waarbij Brazilië, Vietnam en India de drie grootste bronnen zijn.

Pogingen per land exploiteren (bron: slechte pakketten)

Het is niet zeker wat de aanvallers willen om de gecompromitteerde servers te gebruiken, maar Mursch denkt dat het hun botnet verder moet laten groeien voor het uitvoeren van andere aanvallen.

“Over de reden waarom bedreiging actoren dit doen, is het stochastisch dat ze een inventaris van bots opbouwen, terwijl ze extra manieren vinden om de gecompromitteerde hosts te benutten zoals hen te infecteren met DDoS malware en denial-of-service-aanvallen uit te voeren.”

Als u vBulletin 5.5.2, 5.5.3 of 5.5.4 gebruikt, wordt u sterk aangeraden om de officiële vBulletin patches zo snel potentieel te installeren.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *