Ada Kerentanan di CMS vBulletin, Ribuan Web Bisa Terancam
Foto: ZDNet
Cyberthreat.id – Seorang peneliti keamanan anonim telah menerbitkan rincian kerentanan zero-day pada vBulletin, perangkat lunak sistem pengelolaan konten (content management system/CMS) internet paling populer saat ini. CMS berbayar ini biasa dipakai untuk membangun situs web dan forum-forum internet.
Peneliti mengkhawatirkan jika kerentanan tidak ditambal segera dapat memicu gelombang peretasan forum di internet. Dampak lain, peretas bisa mengambil alih instalasi forum dan mencuri informasi pengguna dalam jumlah besar.
Menurut analisis kode yang dipublikasikan, kerentanan itu memungkinkan penyerang untuk mengeksekusi perintah shell pada server yang menjalankan instalasi vBulletin. Penyerang tidak perlu memiliki akun di forum yang ditargetkan.
Dalam istilah infosec, inilah yang oleh para pakar keamanan disebut kerentanan "eksekusi kode jauh pra-otentikasi", salah satu jenis kelemahan keamanan terburuk yang dapat memengaruhi platform berbasis web.
Rincian tentang kerentanan tersebut telah dipublikasikan di Full Disclosure, milis yang bisa diakses publik.
Tidak jarang bagi peneliti keamanan untuk merilis rincian tentang kelemahan keamanan yang belum ditambal ketika vendor gagal untuk menambal kerentanan yang telah dilaporkan secara pribadi.
“Namun, tidak jelas apakah peneliti anonim tersebut melaporkan kerentanan kepada tim vBulletin atau tidak,” tulis ZDNet, Rabu (25 September 2019).
Jika tim vBulletin gagal untuk mengatasi masalah tersebut secara tepat waktu, mendorong peneliti untuk mengekspose ke publik sebagai pilihan terakhir.
MH Sub I, LLC, perusahaan yang mengkomersialkan perangkat lunak forum vBulletin, belum membalas permintaan komentar dari ZDNet.
Memang, kecenderungan peneliti anonim ini di satu sisi melukai reputasi perusahaan dan membahayakan pelanggannya.
Peneliti menerbitkan detail tentang kerentanan tersebut dari layanan email anonim, tanpa mengungkapkan alamat email sebenarnya, tulis ZDNet.
Meski produk komersial, vBulletin adalah paket perangkat lunak forum web paling populer saat ini, dengan pangsa pasar yang lebih besar daripada solusi open-source seperti phpBB, XenForo, Simple Machines Forum, MyBB, dan lainnya.
Menurut W3Techs, sekitar 0,1 persen dari semua situs internet menjalankan forum vBulletin. Persentasenya terlihat kecil, tetapi sebenarnya berdampak miliaran pengguna internet.
“Ini karena, pada dasarnya, forum dirancang untuk mengumpulkan informasi pengguna tentang pengguna terdaftar,” tulis ZDNet.
Meski miliaran situs internet tidak menyimpan informasi apa pun tentang pengguna, segelintir forum online dapat dengan mudah menyimpan data pada sebagian besar pengguna internet.
“Oleh karena itu, pangsa pasar 0,1 persen sebenarnya cukup signifikan, ketika kami memperhitungkan berapa banyak pengguna yang bisa terdaftar di forum ini,” ZDNet menambahkan.
Google dorks mengungkapkan bahwa ada puluhan ribu forum vBulletin yang berjalan di internet, sebagai instalasi yang di-host sendiri, atau berjalan di infrastruktur hosting vBulletin.
Di situs webnya, vBulletin memajang beberapa nama besar sebagai pelanggan, seperti Steam, EA, Zynga, NASA, Sony, BodyBuilding.com, Houston Texans, dan Denver Broncos.
Satu-satunya kabar baik adalah kerentanan zero-day ini hanya pada versi forum vBulletin 5.x. Forum yang menjalankan versi sebelumnya aman jika menjalankan tambalan keamanan terbaru.
Zerodium, sebuah perusahaan yang membeli eksploitasi perangkat lunak berbasis web untuk dijual kembali ke lembaga penegak hukum, mendaftar kerentanan eksekusi kode jarak jauh vBulletin dalam program akuisisi eksploitinya.
Banyak forum dark web, seperti yang menjajakan layanan kriminal, malware, atau gambar pelecehan anak, sering dijalankan di forum vBulletin. Dan, jenis eksploitasi yang dijual itu dapat memberi akses lembaga penegak hukum ke forum ilegal ini.
