vBulletin, forum sotto attacco

Gli sviluppatori del software per gruppi di discussione ammettono di aver subito una breccia, con i dati degli utenti finiti in mano a ignoti cyber-criminali. Già disponibili le patch, forzata la creazione di nuove password per gli account

Roma – Grave problemi di sicurezza vBulletin, popolare piattaforma per la gestione dei forum telematici che si è trovata a dover gestire una breccia nei suoi server oltre che nel codice del CMS vero e proprio: qualcuno ha avuto accesso ai dati degli utenti, ammettono gli sviluppatori, mentre i client hanno già a disposizione gli aggiornamenti necessari a chiudere la vulnerabilità.

Il team di vBulletin dice di aver scoperto “un attacco sofisticato” sul suo network e sul servizio di hosting vBulletin Cloud, un attacco che ha sfruttato una vulnerabilità – forse un problema zero-day – presente all’interno delle versioni 5.1.4, 5.1.5, 5.1.6, 5.1.7, 5.1.8 e 5.1.9 del CMS.

L’attacco ha permesso a ignoti criminali di accedere agli identificativi e alle password criptate degli utenti, dicono ancora gli sviluppatori, e per tale ragione vBulletin ha forzato il reset della password su tutti gli account con la conseguente necessità di doverne impostare un’altra – possibilmente diversa da quella precedente, consiglia la società – per accedere di nuovo al servizio.

Il bug è stato chiuso sul servizio di hosting gestito direttamente da vBulletin (vBulletin Cloud), mentre per i clienti che hanno installato una versione vulnerabile del CMS su server esterni (vBulletin Connect) sono disponibili le patch con cui aggiornare il codice vulnerabile.

Chi c’è dietro la breccia in vBulletin? Un certo Coldzer0, o anche “Mohamed Osama” come si fa chiamare su Facebook, si è addossato la responsabilità dell’attacco e del furto di dati, per di più pubblicando un video dimostrativo su YouTube riguardante la breccia. L’exploit è stato infine messo in vendita sul servizio Inj3ct0r .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Funz scrive:
    Apple e Tesla
    Elon Musk, con poca finezza invero, ha fatto notare che gli ingegneri che non ce la fanno in Tesla vengono assunti da Apple...
  • prova123 scrive:
    Apple, in macchina con Steve Jobs
    Nel senso che anzichè il santino di San Cristoforo le macchine di Cupertino avranno questo accessorio:[img]http://www.melamorsicata.it/mela/wp-content/uploads/2008/11/santino-steve-jobs.jpg[/img]Occhio che Apple si è fatta sempre vanto di non avere grande esperienza nel campo della sicurezza ... :D
Chiudi i commenti