vBulletin, giallo su una vulnerabilità 0 day

vBulletin, giallo su una vulnerabilità 0 day

Una vulnerabilità avrebbe permesso la compromissione del sito vBulletin e metterebbe a repentaglio tutti i siti web che fanno uso della piattaforma forum, ma la società ancora non ha fatto chiarezza

di pubblicata il , alle 14:41 nel canale Sicurezza
 

Nel corso del fine settimana un individuo identificatosi con il nickname Coldzer0 ha dichiarato su vari forum e social media di aver violato il sito web vBulletin.com ottenendo informazioni personali di 479895 utenti.

A dimostrazione delle dichiarazioni Coldzer0 ha pubblicato alcuni screenshot, un video su YouTube e una serie di dettagli su una pagina Facebook, ma tuti questi elementi ora non sono più reperibili. A coronamento del tutto nel corso della giornata di martedì è emersa un'analisi di un presunto bug vecchio di tre anni che offrirebbe la possibilità di eseguire codice da remoto nei siti web che fanno uso di vBulletin.

Il team di sviluppo che si occupa del pacchetto software vBulletin, piattaforma usata da moltissimi siti web su internet per l'allestimento di forum di discussione, ha rilasciato una patch di sicurezza nella notte di lunedì, poco dopo essere venuti a conoscenza dell'attacco hacker sul sito che ha portato alla sottrazione di password e altre informazioni sensibili che appartengono ai quasi 480 mila sottoscrittori del servizio.

Gli sviluppatori hanno quindi imposto un reset della password per tutti gli utenti e hanno informato della disponibilità di una patch di sicurezza per le versioni dalla 5.1.4 alla 5.1.9 del software vBulletin Connect. Quel che però non è stato ancora esplicitato chiaramente è che l'attacco sarebbe frutto della vulnerabilità critica che metterebbe inoltre a repentaglio la sicurezza anche dei migliaia di siti web che usano la piattaforma vBulletin, almeno fino a quando non viene installata la patch correttiva.

L'esistenza di una vulnerabilità zero-day non è ancora stata confermata dagli sviluppatori di vBulletin, ma fino a quando sulla vicenda non sarà fatta sufficiente chiarezza è consigliabile la massima cautela a tutti coloro i quali fanno uso della piattaforma vBulletin sia in qualità di amministratori, sia in qualità di semplici utenti. Il consiglio è quello di cambiare le credenziali di accesso e di fare lo stesso anche su altri siti e servizi che fanno uso della stessa password.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
mattia.l04 Novembre 2015, 14:48 #1
Ma perchè il forum di hwupgrade è ancora fermo alla versione 3.6.4 di VBullettin?
La versione attuale è la 5, siete un po arretrati, altro che solo una falla di sicurezza
mortimer8604 Novembre 2015, 15:07 #2
Originariamente inviato da: mattia.l
Ma perchè il forum di hwupgrade è ancora fermo alla versione 3.6.4 di VBullettin?
La versione attuale è la 5, siete un po arretrati, altro che solo una falla di sicurezza


Perchè il forum non fa parte del Core Business

Probabilmente sperano che dal 2006 (anno di rilascio della 3.6.0) ad oggi le falle di sicurezza siano state trovate tutte e tappate.
x_Master_x04 Novembre 2015, 15:14 #3
Qual'è il colmo per hwupgrade? Fare un articolo sulla sicurezza del vBulletin quando si usa tuttora una versione del 2006 ( per chi non lo sapesse siamo nel 2015 )
-Maxx-04 Novembre 2015, 15:30 #4
Ma la domanda che sorge spontanea è: perché cambiare password? Se la falla è ancora presente, il sistema rimane sempre violabile.

Quindi che si fa, admin? Smettiamo di usare il forum?
tazok04 Novembre 2015, 15:35 #5
Originariamente inviato da: mattia.l
Ma perchè il forum di hwupgrade è ancora fermo alla versione 3.6.4 di VBullettin?


Zenida04 Novembre 2015, 22:44 #6
Originariamente inviato da: x_Master_x
Qual'è il colmo per hwupgrade? Fare un articolo sulla sicurezza del vBulletin quando si usa tuttora una versione del 2006 ( per chi non lo sapesse siamo nel 2015 )


Che poi per aggiornare bastano 2 click -.-

Mi da così fastidio, perchè ogni tanto LEGGO il forum da TapaTalk... ma appunto LEGGO, perchè non posso rispondere -.- mi da un errore "invalid thread id"
Ovviamente questa cosa succede solo sul forum di HWU
NorysLintas05 Novembre 2015, 08:49 #7
Che il forum sia da aggiornare da anni è fuori dubbio...
che l'aggiornamento sia indolore e fili liscio come l'olio è tutt'altro un paio di maniche XD e che ci vogliano 2 click in questo caso non è del tutto esatto. (penso sia personalizzato, ci siano dei plugin e il numero di utenti e il numero di thread e messaggi, faccia paura agli admin e questo blocca loro nell'aggiornare)


roccia123405 Novembre 2015, 09:07 #8
Originariamente inviato da: NorysLintas
Che il forum sia da aggiornare da anni è fuori dubbio...
che l'aggiornamento sia indolore e fili liscio come l'olio è tutt'altro un paio di maniche XD e che ci vogliano 2 click in questo caso non è del tutto esatto. (penso sia personalizzato, ci siano dei plugin e il numero di utenti e il numero di thread e messaggi, faccia paura agli admin e questo blocca loro nell'aggiornare)


Si ma paura o non paura è il loro lavoro. Ci sono metodi per abbassare il rischio ai minimi termini.
Altrimenti che facciamo? Ci teniamo le infrastrutture del 1800 perchè "abbiamo paura ad aggiornare?".

Originariamente inviato da: Zenida
Che poi per aggiornare bastano 2 click -.-

Mi da così fastidio, perchè ogni tanto LEGGO il forum da TapaTalk... ma appunto LEGGO, perchè non posso rispondere -.- mi da un errore "invalid thread id"
Ovviamente questa cosa succede solo sul forum di HWU


Anche a me... praticamente è inutilizzabile su tapatalk, ed è l'unico forum che conosca che ha problemi simili.
Che poi per un sito di tecnologia chiamato hardware upgrade è il colmo .
Personalmente frequento un forum dedicato alla fotografia analogica (quindi anticaglie nella stragrande maggioranza dei casi) che è più aggiornato di hwupgrade .
tazok05 Novembre 2015, 10:40 #9
Originariamente inviato da: roccia1234
Che poi per un sito di tecnologia chiamato hardware upgrade è il colmo


No, sarebbe stato il colmo se si fosse chiamato "Software Update".

In effetti vBulletin non ha niente a che vedere con l'hardware, velocità a parte (ed il forum è veloce, quindi va bene )
mihos08 Novembre 2015, 13:51 #10
Gli admin si dimenticano ogni volta di noi... quando ci chiesero cosa desideravamo che cambiasse in HWU, ricevettero come risposta "aggiornate il forum". Mai fatto...

Probabilmente da qualche parte hanno una versione beta in sviluppo che non metteranno mai in campo perche' hanno poco tempo. Per loro magari non e' una priorita' per noi si'..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^