Vbulletin (VBB) là một phần mềm mã nguồn mở dùng chuyên dụng dành cho các diễn đàn, các trang cộng đồng. Ưu điểm của nó là đẹp, dễ sử dụng. Chính vì thế lượng website sử dụng Vbulletin là rất lớn. Đặc biệt ở Việt Nam, phần lớn các diễn đàn đều sử dụng Vbulletin. Và nó thu hút rất nhiều sự chú ý của giới bảo mật. Chính vì vậy số lượng lỗ hổng được tìm thấy là rất lớn.

Vbulletin không miễn phí, nó được phát triển và phân phối bởi công ty Vbulletin với giá rất cao (249$ tại thời điểm viết bài). Chính vì thế có rất nhiều nhóm đã NULL (crack) mã nguồn này và chia sẻ rộng rãi trên mạng. Và xét về độ uy tín thì có lẽ DGT chính là nhóm nổi bật nhất. Trong mã nguồn đã NULL của họ luôn có một file validator.php chuyên dùng để kiểm tra lại tất cả các file trong bộ mã nguồn. File này có nhiệm vụ so sánh mã MD5 của từng file và báo lại cho bạn biết nếu có một file nào đó đã bị sửa đối (có thể là do bị cài mã độc), những file không thuộc bộ mã nguồn và những file đã bị xóa bằng cách liệt kê ra tất cả các file và thư mục cùng với trạng thái của nó. Tuy nhiên file này có thể được truy xuất bởi bất kì ai nên nó đã tạo ra một lỗ hổng bảo mật lớn.

Với từ khóa: intitle:”DGT Release Checker” inurl:”validator.php” bạn có thể tìm được khá nhiều site có lỗ hổng này.

Capture

Chọn thử một kết quả, ta có trang như sau:

Validator trên một website
Validator trên một website

Sau khi bấm Validate và chờ đợi, ta có kết quả tương tự như sau:

Khai thác lỗ hổng validator
Khai thác lỗ hổng validator

Như bạn thấy, toàn bộ danh sách file và thư mục đều đã hiện ra, điều này dẫn đến:

  • Lộ các đường dẫn đã ẩn, như admincp, modcp
  • Lộ các danh sách plugins, themes đã cài. Trong trường hợp không khai thác được gì thêm. Attacker có thể tìm lỗ hổng của những gói này và tiếp tục tấn công.
  • Lộ các file backup. Đây là vấn đề lớn nhất. Mọi dữ liệu đã backup bao gồm cả mã nguồn, file config và database đều sẽ bị lộ. Attacker download nó về và Game Over. Các đuôi của các file này thường là .zip .gz .7z .sql .rar, v.v.
  • Lộ các file upload. Cái này tuy không nghiêm trọng vì thông thường bạn sẽ đẩy file upload.zip chứa mã nguồn lên, giải nén rồi mới edit, điều này không có ý nghĩa. Tuy nhiên nếu bạn edit các thông số như file config.php trước rồi mới upload lên thì điều này thực sự là thảm họa vì attacker sẽ có mọi thông tin kết nối Database của bạn. Điều này thường xảy ra khi bạn di chuyển diễn đàn đến một hosting khác.
  • Lộ shell: một ngày đẹp trời diễn đàn của bạn bị tấn công, attacker găm keylog và để lại một con shell trên đó. Một ngày khác lại có thêm một attacker khác tấn công. Nhưng lần này những file nhạy cảm đã bị xóa. Tuy nhiên tên này lại tìm thấy một con shell do attacker trước sử dụng. Game over. Ai biết được lần này diễn đàn của bạn có bị phá hay không. Các đuôi nổi bật: .cgi .pl .py, v.v.

Tóm lại là tạo điều kiện cho các kiểu tấn công khác.

Cách khắc phục rất đơn giản. Bạn chỉ việc xóa file validator.php đi là xong.

Đào Xuân Hưng – AdminVietnam.org