vBulletin, une solution de gestion de forums, est sous le coup d’une grave faille de sécurité. La mise à jour est déjà disponible, mais l’entreprise n’a finalement que très peu communiqué. Ses propres forums ont été attaqués et tous les utilisateurs ont eu obligation de changer leur mot de passe.
La solution vBulletin se retrouve régulièrement sur la Toile. Il s’agit de l’un des logiciels les plus courants pour mettre en place un forum ou, plus globalement, un espace d’échanges communautaires. La société qui l’édite se nomme Jelsoft Entreprises et il est écrit en PHP, avec une base MySQL. C’est l’un des grands concurrents d’une autre solution très connue, IPB (utilisé par exemple par le forum de Next INpact), ainsi que de phpBB.
Une mise à jour de sécurité et une réinitialisation des mots de passe
La journée de lundi a été particulièrement éprouvante pour l’entreprise, qui a dû faire face à un problème majeur de sécurité. En l’espace de quelques heures, elle a publié un patch de sécurité concernant les versions 5.1.4 à 5.1.9. Aucune indication supplémentaire de l’éditeur, autre qu’une chaude recommandation de l’installer aussi rapidement que possible. Parallèlement, vBulletin provoquait un renouvellement obligatoire des mots de passe pour les inscrits à ses propres forums, soit environ 480 000 personnes.
Un message a été publié lundi soir vers 22h pour expliquer aux utilisateurs qu’une attaque « sophistiquée » avait été détectée contre ses infrastructures. Selon l’enquête de l’éditeur, l’attaquant a très bien pu accéder aux logins et aux mots de passe, bien que ces derniers soient stockés sous forme chiffrée, le renouvellement apparaissait comme la seule solution sûre. Il était également recommandé de bien choisir un mot de passe qui n'avait jamais été utilisé ailleurs (un conseil qu’il faut bien trop souvent rappeler).
Il manquait cependant un lien entre les deux annonces. Il était curieux que vBulletin avertisse d’un côté d’une attaque sophistiquée et de l’autre qu’une mise à jour de sécurité soit proposée avec un caractère urgent. On pouvait évidemment se douter qu’une faille avait été exploitée et que le correctif en était le résultat. Ce qui impliquait que les versions « patchées » de vBulletin étaient affectées par une faille critique 0-day, d’où la recommandation urgente d’installation. Mais l’éditeur ne relie pas les pointillés entre eux.
Une faille découverte il y a déjà trois ans
Plusieurs autres éléments sont venus s’ajouter depuis dans la petite équation. Dans un premier temps, un utilisateur du nom de « Coldzer0 » a indiqué dans les forums de The Admin Zone avoir récupéré une base de données comprenant précisément 479 895 logins et leurs mots de passe associés. En d’autres termes, il indiquait être l’auteur du piratage de vBulletin. Ses différents messages comprenant initialement une vidéo YouTube ainsi que des informations supplémentaires sur une page Facebook. Cependant, comme le signalent nos confrères d’Ars Technica, ces éléments ont été supprimés depuis.
Dans un second temps, une autre personne, « cutz » a publié un message énigmatique sur Twitter la nuit dernière. Indiquant simplement que la faille (sans préciser laquelle) étant désormais corrigée, il (ou elle) pouvait en publier les détails. Dans ces derniers, on trouve une référence directe à Coldzer0, qui aurait cherché à vendre une faille RCE (Remote Code Execution) 0-day affectant vBulletin 5. Cutz indiquait également avoir vu la vidéo de Coldzer0 dans laquelle on le voyait pirater plusieurs forums vBulletin. Les renseignements suivants sont a priori des précisions sur la faille qui aurait été principalement exploitée pour réaliser ces opérations, une brèche qui aurait été découverte il y a maintenant trois ans.
L'identité du pirate est a priori connue
Seulement voilà, s’il s’agit bien de « ce » Coldzer0, alors son identité est connue. C’est le site Databreaches.net qui donne l’information : son nom serait Mohamed Osama, et il disposerait d’un site personnel. Il s’y présente comme un analyste de logiciels malveillants, un chercheur en sécurité et un spécialiste de la rétroingénierie. Il possèderait même un compte LinkedIn et travaillerait pour la société Orbit Shield, basée à Dubai.
Et il s’agirait bien du « vrai » Coldzer0, Databreaches possédant des captures d’écran d’un statut Facebook depuis supprimé, celui-là même dont il était question précédemment. On pouvait y voir des captures montrent plusieurs fichiers issus du piratage de vBulletin. Notez en outre que 0day Today dispose dans son canal YouTube d’une vidéo présentée comme la copie de celle que Coldzer0 avait initialement publiée. Dans l’absolu, et en dépit du nom de l’auteur dans la vidéo, il est difficile d’affirmer qu’il s’agit bien de la même. Dans tous les cas, Coldzer0 et/ou Mohamed Osama n'ont pour le moment fait aucune déclaration.
Signalons enfin que vBulletin n’a pas été le seul à être piraté par l’intermédiaire de cette fameuse faille. Selon Coldzer0, les forums de Foxit Software ont également été attaqués avec succès, provoquant la récupération des données de 260 000 comptes, sur les 537 000 environ que possède l’éditeur. Mais il faut rappeler ici que si la faille a bien trois ans, alors Foxit et vBulletin ne sont peut-être que la partie émergée de l’iceberg. Et Coldzer0 devrait rapidement être retrouvé.
En attendant, tous les sites utilisant la solution vBulletin sont invités à mettre à jour le logiciel au plus vite. Les forums hébergées dans l’offre Cloud Sites de l’entreprise ont déjà été corrigés.
