Ở các phiên bản vBulletin trước 4.2.2 và 5.0.5, chỉ cần xoá tập tin install.php trong thư mục install là có thể truy cập được vào bảng quản trị hệ thống (AdminCP). Lợi dụng khe hở này, tin tặc tấn công vào tập tin install/upgrade.php, lấy ID phần mềm và dễ dàng tạo tài khoản có quyền quản trị. Với tài khoản này, tin tặc lợi dụng hệ thống plugin để thực thi mã lệnh PHP bất kì và cài đặt backdoor theo nhiều cách.

Ngày 8/10/2013, công ty nghiên cứu bảo mật Imperva công bố chi tiết về lỗ hổng trên, và kể từ đó, số lượng website bị hack tăng vọt. Theo các nhà nghiên cứu, chỉ trong vòng một tuần sau khi bị công bố chi tiết, đã có 35.000 website chạy vBulletin bị hack.

Internet Brands Inc., công ty đứng sau vBulletin, có thông báo vắn tắt về một lỗi bảo mật trên blog từ cuối tháng 8/2013 và khuyên người dùng nên xoá thư mục install sau khi cài đặt xong, nhưng không có thêm chi tiết nào. Cả tài khoản Facebook lẫn Twitter của vBulletin đều không đưa tin về lỗ hổng này. Công ty cũng từ chối bình luận liệu lỗ hổng mà họ viết trên blog cũng là lỗi được Imperva công bố.

Tin tặc đa phần sử dụng các công cụ tự động để tấn công, sau đó chiếm máy chủ để sử dụng vào mục đích xấu, chẳng hạn như phát tán thư rác. Nếu diễn đàn của bạn bị hack, hãy khắc phục theo hướng dẫn tại đây (tiếng Anh), trong đó bước đầu tiên là xoá thư mục install.

Trong một diễn biến liên quan, vào tháng 7 diễn đàn UbuntuForums.org, đang có hơn 1,8 triệu thành viên, cũng bị hack. Tuy nhiên, theo thông báo chính thức từ Canonical, nguyên nhân nằm trong cách cài đặt vBulletin và có một tài khoản cá nhân bị lộ.

vBulletin là phần mềm diễn đàn phổ biến nhất thế giới và rất được ưa chuộng tại Việt Nam. Kể từ phiên bản 4, vBulletin được xem như là một hệ quản trị nội dung (CMS). Số website sử dụng vBulletin làm phần mềm CMS chỉ đứng sau các CMS "gạo cội" là WordPress, Drupal và Joomla!. Hiện tại vBulletin đang được sử dụng bởi Zynga, Electronic Arts, Sony Pictures, NASA, Valve Corporation và nhiều công ty lớn khác.

Kể từ khi Jelsoft bị Internet Brands thâu tóm vào năm 2007, vBulletin liên tục gặp nhiều vấn đề nghiêm trọng trong chiến lược phát triển. Hiện tại phiên bản 5 đã ra mắt chính thức nhưng lại thiếu nhiều tính năng vốn có trong bản 4 như CMS, blog. Đối thủ của vBulletin là XenForo, do một số nhà phát triển nòng cốt cũ của vBulletin, đang chiếm dần lấy thị phần. Internet Brands đã từng đệ đơn kiện XenForo nhưng đến đầu năm 2013 thì rút đơn sau khi hai bên đạt được một số thoả thuận kín.




Bình luận

  • TTCN (0)