Компрометации злоумышленника подверглись работники и клиенты секс-форумов EscortForumIt[.]xxx и Hookers[.]nl — итальянский и голландский ресурсы (в этих странах проституция является законной).
Оба форума работали под управлением устаревших версий vBulletin, и хакер подтвердил журналистам издания ZDNet, что использовал для атак свежую уязвимость CVE-2019-16759, обнаруженную и исправленную в форумном движке в конце сентября.
Теперь хакер продает украденные данные на общедоступном хакерском форуме, наряду с информацией, похищенной с других форумов на базе vBulletin. Сообщается, что в дампы вошли имена пользователей, IP-адреса, адреса электронной почты и хэши паролей (33 000 записей с итальянского и 300 0000 записей с голландского форума). После продажи похищенная информация, скорее всего, будет использована для шантажа, как уже бывало раньше (например, с «сайтом для измен» Ashley Madison в 2015 году).
Ранее этот же хакер скомпрометировал официальные форумы Comodo, а также слил в сеть информацию, похищенную у Национального налогового управления Болгарии.
АКБ напоминает: в конце сентября в интернет анонимно выложили детали 0-day уязвимости в форумном движке vBulletin? Bad Packets довольно быстро обнаружили ботнет, который эксплуатирует уязвимость для защиты уязвимых серверов. Таким образом ботнет блокирует другим вредоносным программам доступ к серверам и наращивает собственную армию скомпрометированных серверов, не опасаясь конкуренции. Ботнет, взламывая уязвимый сервер с помощью эксплоита, использует его для изменения уязвимого файла исходного кода таким образом, чтобы требовался пароль для выполнения команд. Поскольку только злоумышленники знают пароль, они будут единственными, кто сможет выполнять команды на сервере.
Хотя vBulletin является коммерческим продуктом, на сегодняшний день это самый популярный форумный движок, имеющий большую долю рынка, чем решения с открытым исходным кодом. Порядка 0,1% всех сайтов используют форумы vBulletin. Если вам кажется это маленькой цифрой, эксперты АКБ подсчитали за вас: vBulletin используют почти 172 миллиона сайтов.
Читайте также на АКБ:
