Aktif istismar tespit edilen kritik vbulletin güvenlik açığı hedefleme


İki kritik güvenlik açığı-CVE-2025-48827 ve CVE-2025-48828-kamuya açık olarak kullanılan PHP/MySQL forum yazılımı olan Vbulletin’e kamu açıklamasını takiben ve vahşi doğada gözlemlenen sömürüye atanmıştır.

Vbulletin sürümlerini 5.0.0 ila 6.0.3 etkileyen kusurlar, yetkili olmayan saldırganların uzaktan kod yürütme (RCE) elde etmesini sağlayarak binlerce çevrimiçi topluluğu riske atar.

Yansıma API istismarı ve şablon motoru baypas

Güvenlik açıkları, Mimari Gözetim ve PHP 8.1’in yöntem görünürlüğünün işlenmesindeki değişikliklerin bir kombinasyonundan kaynaklanmaktadır.

– Reklamcılık –
Google Haberleri

VbulletIn’in API denetleyicisi mantığı, PHP’nin yansıma API’sını yanlış kullanır ve özellikle çağrılmasına izin verir protected ve hatta private üzerinden yöntemler ReflectionMethod::invoke().

PHP 8.1 veya üstünde çalışırken, bu kusur saldırganların doğrudan erişilememesi amaçlanan dahili yöntemleri doğrudan çağırmasına izin verir.

İlk güvenlik açığı (CVE-2025-48827), kimlik doğrulanmamış kullanıcıların korunan API denetleyici yöntemlerini çağırma yeteneğini içerir ve hazırlanmış istekleri kullanarak son noktalara göre hazırlanmış talepler /ajax/api/ad/replaceAdTemplate.

İkinci (CVE-2025-48828) Şablon motoru zayıflıklarından yararlanır; koşullar.

Bu kod daha sonra, yerleşik güvenlik kontrollerini ve filtrelerini atlayarak bir render isteği tetiklenerek yürütülebilir.

Örnek İstismar yükü:

php

Bir HTTP Post talebiyle gönderilen bu yük, saldırganların sunucudaki keyfi sistem komutlarını web sunucusu kullanıcısı olarak yürütmesini sağlar (genellikle www-data Linux’ta).

Sömürü zaman çizelgesi ve algılama

Güvenlik açıkları ilk olarak 23 Mayıs 2025’te araştırmacı Egidio Romano (EGIX) tarafından açıklandı ve aynı gün yayınlanan kavram (POC) kodu ile açıklandı.

Güvenlik araştırmacıları, Polonya’da savunmasız uç noktayı hedefleyen bir IP adresine kadar izlenen saldırılar da dahil olmak üzere aktif sömürü girişimleri gözlemledi.

Saldırılar, otomatik tarama şablonları yerine orijinal POC kullandı ve hedeflenen sömürüyü gösterdi.

SANS İnternet Fırtına Merkezi ve birden fazla balpot, 25 Mayıs 2025’ten itibaren problar ve sömürü girişimlerini bildirdi.

Kusurlara 27 Mayıs 2025’te resmi olarak CVES atandı ve bilinen sömürülen güvenlik açıkları (KEV) listesine eklendi.

Örnek Saldırı Günlüğü Tablosu

Tarih ve Saat (UTC)Uç nokta erişildiKaynak ipKullanıcı aracısı
2025-05-26 08: 23: 28.193ajax/api/ad/replaceadtemplate195.3.221.137Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140
2025-05-26 08: 23: 28.242ajax/api/ad/replaceadtemplate195.3.221.137Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140
2025-05-26 08: 24: 33.429ajax/api/ad/replaceadtemplate195.3.221.137Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140

Etki, etkilenen versiyonlar ve hafifletme

Güvenlik açıkları, CVSS V3.1 puanları sırasıyla 10.0 ve 9.0 ile kritik olarak derecelendirilmiştir. Özellikle PHP 8.1 veya üstünde çalışırken Vbulletin sürümlerini 5.0.0 ila 5.7.5 ve 6.0.0 ila 6.0.3 ile etkiler.

Başarılı sömürü, saldırganlara sunucu üzerinde tam kontrol verir, bu da potansiyel olarak veri hırsızlığına, bozulmasına veya bağlı sistemlerin daha da uzlaşmasına yol açar.

Azaltma Adımları:

  • Hemen Vbulletin 6.0.4 veya üstüne yükseltin veya etkilenen 6.x sürümleri için Yama Seviye 1’i ve 5.7.5 için Yama Seviyesi 3’ü uygulayın.
  • Qualys QID 732555 gibi araçları kullanarak savunmasız kurulumlar için tarama.
  • Şüpheli erişim için günlükleri izleyin ajax/api/ad/replaceAdTemplate.

Özet Tablo: Etkilenen ve Yamalı Sürümler

Vbulletin sürümüYama seviyesi gerekliDurum
5.0.0 – 5.7.5Yama seviye 3Yamalı
6.0.0 – 6.0.3Yama Seviye 1Yamalı
6.0.4+N/ASavunmasız değil
6.1.1N/ASavunmasız değil

CVE-2025-48827 ve CVE-2025-48828’in atanması, bu vbulletin kusurlarını kritik olarak belirtir ve aktif sömürü doğrulanır.

Saldırganlar, savunmasız forum kurulumları üzerinde tam kontrol sahibi olmak için bu güvenlik açıklarından yararlandıkları için yöneticiler derhal yama ve sistemlerini denetlemeleri istenir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link