Eine Sicherheitslücke in der populären Foren-Software vBulletin hat nun dazu geführt, dass weltweit tausende Webseiten von Angreifern übernommen wurden. Dabei wären Gegenmaßnahmen einfach gewesen.
Der Anbieter der Software hatte die Betreiber entsprechender Online-Foren schon vor einiger Zeit darauf hingewiesen, dass in den Versionen 4.x und 5.x auf den Webservern unbedingt die Verzeichnisse "/install" und "/core/install" gelöscht werden sollten, wenn die Einrichtung von vBulletin abgeschlossen ist. Allerdings hat diese Nachricht wohl viele User nicht erreicht oder sie wurde schlicht ignoriert.
Inzwischen sollen laut einer Überprüfung durch die Sicherheitsfirma Imperva bereits über 35.000 vBulletin-Installationen gekapert worden sein. Eine solche Zahl wurde möglich, weil inzwischen schon verschiedene Tools im Netz kursieren, mit denen die entsprechenden Seiten automatisiert angegriffen werden können. Der Angreifer muss hier nur noch einige Angaben zum Ziel in ein Formular eintragen.
Das Skript dahinter sucht sich dann automatisch den Angriffspunkt und richtet in dem Forum einen neuen Nutzer mit Administrator-Rechten ein. Über diesen Account kann der Angreifer dann nach Belieben im Forum schalten und walten. In den meisten Fällen wurde der Zugang genutzt, um ein ein Defacement zu hinterlassen. Es zeigte sich aber auch, dass zahlreiche Foren inzwischen Malware an ihre Besucher ausliefern.
Bei Imperva geht man allerdings davon aus, dass nicht plötzlich zahlreiche Nutzer begannen, in irgendwelche Foren einzudringen, sondern dass es sich in den meisten Fällen um die gleichen Akteure handelte, die außerdem auf ein Botnetz zurückgreifen konnten. Dieses wurde benötigt, um die anfälligen Foren über die Google-Suche ausfindig zu machen und nicht Gefahr zu laufen, wegen zahlreicher automatisierter Anfragen von der gleichen Adresse gesperrt zu werden.
Qualle: winfuture.de