Sin importar su uso, cualquier implementación de software puede presentar serios errores de seguridad. Un investigador en análisis de vulnerabilidades que por el momento permanece anónimo ha revelado los detalles acerca de una vulnerabilidad día cero en vBulletin, el software para la creación de foros en Internet más utilizado actualmente.
El problema es que al parecer el encargado de publicar esta información tomó esta decisión de forma unilateral y arbitraria, por lo que la comunidad de la ciberseguridad teme que esto pueda generar una cadena de intentos de explotación de esta falla en múltiples foros de Internet, comprometiendo la información de los usuarios afectados.
Después de analizar el código publicado de forma anónima, los expertos en análisis de vulnerabilidades concluyeron que, de ser explotada, esta vulnerabilidad día cero permitiría a un actor de amenazas ejecutar comandos de shell en el servidor donde se ejecuta la implementación de vBulletin, además no es necesario que el hacker tenga cuenta de usuario en el foro objetivo.
En el mundo de la ciberseguridad, esto se conoce como una vulnerabilidad de ejecución remota de código previa a la autenticación, una severa falla de seguridad que podría afectar por completo cualquier plataforma en línea. Dos firmas especializadas ya han analizado el código y comprobado que realmente funciona.
El experto anónimo decidió publicar los detalles sobre esta falla a través de Full Disclosure, una lista de correo electrónico de acceso público para discutir informar sobre fallas de seguridad, vulnerabilidades, entre otros temas. Cuando una compañía no logra corregir una vulnerabilidad dentro de un lapso de tiempo determinado, es común que los investigadores revelen los detalles sobre la explotación de estas fallas, aunque se deben cumplir algunos requisitos primero.
No obstante, aún no se ha determinado si el investigador reportó la falla de seguridad a vBulletin o si es que los expertos en análisis de vulnerabilidades de la compañía no lograron resolver los inconvenientes de forma adecuada y en el tiempo establecido; al final, el hecho es que el experto anónimo decidió publicar el código.
MH Sub I, LLC, compañía encargada de comercializar este software, no se ha pronunciado al respecto de este incidente. La postura hermética de la compañía hace pensar a los expertos en análisis de vulnerabilidades que esto podría tratarse de una táctica planeada por la compañía, publicando esta vulnerabilidad día cero para generar caos en implementaciones similares, lo que afectaría a millones de usuarios.
A pesar de ser un desarrollo comercial, este es el paquete de software para la creación de foros web más utilizados actualmente, superando a otras implementaciones similares como XenForo, phpMM, Simple Machines Forum, entre otras.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) cerca del 0.1% de todos los sitios web del mundo tienen un foro de vBulletin y, aunque parezca una cifra muy pequeña, esta vulnerabilidad podría afectar a millones de usuarios.
La razón principal para estar preocupados es la misma naturaleza de los foros en línea. Si bien millones de sitios web no cuentan con capacidad de almacenar información de sus usuarios, los foros en línea pueden ser una muy buena fuente de datos, por lo que el alcance de un incidente de estas características no debe tomarse a la ligera.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
