Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

vBulletin victime d’une faille de sécurité critique, de nombreux forums à mettre à jour

Un vrai roman

vBulletin victime d'une faille de sécurité critique, de nombreux forums à mettre à jour

Le 04 novembre 2015 à 15h50

vBulletin, une solution de gestion de forums, est sous le coup d’une grave faille de sécurité. La mise à jour est déjà disponible, mais l’entreprise n’a finalement que très peu communiqué. Ses propres forums ont été attaqués et tous les utilisateurs ont eu obligation de changer leur mot de passe.

La solution vBulletin se retrouve régulièrement sur la Toile. Il s’agit de l’un des logiciels les plus courants pour mettre en place un forum ou, plus globalement, un espace d’échanges communautaires. La société qui l’édite se nomme Jelsoft Entreprises et il est écrit en PHP, avec une base MySQL. C’est l’un des grands concurrents d’une autre solution très connue, IPB (utilisé par exemple par le forum de Next INpact), ainsi que de phpBB.

Une mise à jour de sécurité et une réinitialisation des mots de passe

La journée de lundi a été particulièrement éprouvante pour l’entreprise, qui a dû faire face à un problème majeur de sécurité. En l’espace de quelques heures, elle a publié un patch de sécurité concernant les versions 5.1.4 à 5.1.9. Aucune indication supplémentaire de l’éditeur, autre qu’une chaude recommandation de l’installer aussi rapidement que possible. Parallèlement, vBulletin provoquait un renouvellement obligatoire des mots de passe pour les inscrits à ses propres forums, soit environ 480 000 personnes.

Un message a été publié lundi soir vers 22 h pour expliquer aux utilisateurs qu’une attaque « sophistiquée » avait été détectée contre ses infrastructures. Selon l’enquête de l’éditeur, l’attaquant a très bien pu accéder aux logins et aux mots de passe, bien que ces derniers soient stockés sous forme chiffrée, le renouvellement apparaissait comme la seule solution sûre. Il était également recommandé de bien choisir un mot de passe qui n'avait jamais été utilisé ailleurs (un conseil qu’il faut bien trop souvent rappeler).

Il manquait cependant un lien entre les deux annonces. Il était curieux que vBulletin avertisse d’un côté d’une attaque sophistiquée et de l’autre qu’une mise à jour de sécurité soit proposée avec un caractère urgent. On pouvait évidemment se douter qu’une faille avait été exploitée et que le correctif en était le résultat. Ce qui impliquait que les versions « patchées » de vBulletin étaient affectées par une faille critique 0-day, d’où la recommandation urgente d’installation. Mais l’éditeur ne relie pas les pointillés entre eux.

Une faille découverte il y a déjà trois ans

Plusieurs autres éléments sont venus s’ajouter depuis dans la petite équation. Dans un premier temps, un utilisateur du nom de « Coldzer0 » a indiqué dans les forums de The Admin Zone avoir récupéré une base de données comprenant précisément 479 895 logins et leurs mots de passe associés. En d’autres termes, il indiquait être l’auteur du piratage de vBulletin. Ses différents messages comprenant initialement une vidéo YouTube ainsi que des informations supplémentaires sur une page Facebook. Cependant, comme le signalent nos confrères d’Ars Technica, ces éléments ont été supprimés depuis.

Dans un second temps, une autre personne, « cutz » a publié un message énigmatique sur Twitter la nuit dernière. Indiquant simplement que la faille (sans préciser laquelle) étant désormais corrigée, il (ou elle) pouvait en publier les détails. Dans ces derniers, on trouve une référence directe à Coldzer0, qui aurait cherché à vendre une faille RCE (Remote Code Execution) 0-day affectant vBulletin 5. Cutz indiquait également avoir vu la vidéo de Coldzer0 dans laquelle on le voyait pirater plusieurs forums vBulletin. Les renseignements suivants sont a priori des précisions sur la faille qui aurait été principalement exploitée pour réaliser ces opérations, une brèche qui aurait été découverte il y a maintenant trois ans.

L'identité du pirate est a priori connue

Seulement voilà, s’il s’agit bien de « ce » Coldzer0, alors son identité est connue. C’est le site Databreaches.net qui donne l’information : son nom serait Mohamed Osama, et il disposerait d’un site personnel. Il s’y présente comme un analyste de logiciels malveillants, un chercheur en sécurité et un spécialiste de la rétroingénierie. Il possèderait même un compte LinkedIn et travaillerait pour la société Orbit Shield, basée à Dubai.

Et il s’agirait bien du « vrai » Coldzer0, Databreaches possédant des captures d’écran d’un statut Facebook depuis supprimé, celui-là même dont il était question précédemment. On pouvait y voir des captures montrent plusieurs fichiers issus du piratage de vBulletin. Notez en outre que 0day Today dispose dans son canal YouTube d’une vidéo présentée comme la copie de celle que Coldzer0 avait initialement publiée. Dans l’absolu, et en dépit du nom de l’auteur dans la vidéo, il est difficile d’affirmer qu’il s’agit bien de la même. Dans tous les cas, Coldzer0 et/ou Mohamed Osama n'ont pour le moment fait aucune déclaration.

Signalons enfin que vBulletin n’a pas été le seul à être piraté par l’intermédiaire de cette fameuse faille. Selon Coldzer0, les forums de Foxit Software ont également été attaqués avec succès, provoquant la récupération des données de 260 000 comptes, sur les 537 000 environ que possède l’éditeur. Mais il faut rappeler ici que si la faille a bien trois ans, alors Foxit et vBulletin ne sont peut-être que la partie émergée de l’iceberg. Et Coldzer0 devrait rapidement être retrouvé.

En attendant, tous les sites utilisant la solution vBulletin sont invités à mettre à jour le logiciel au plus vite. Les forums hébergées dans l’offre Cloud Sites de l’entreprise ont déjà été corrigés.

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est juste la version 5 qui est touchée où les précédentes aussi ?

votre avatar

Encore une ?



Va falloir que je rechange de mot de passe sur plusieurs fofos/sites.



En tout cas ce genre de nouvelles à répétitions nous incite vraiment à ne pas utiliser le même mot de passe partout. Ça peut être une mauvaise expérience mais une leçon très formatrice. <img data-src=" />

votre avatar

Depuis le temps que ces différents systèmes existent, n’y a-t-il pas eu des concurrents utilisant des technos plus “modernes” qui sont apparus ?

votre avatar

Gamekult et son forum Moldave vont enfin être mis à jour ! :nerd:



Maintenant je vais lire l’article. <img data-src=" />

votre avatar







Dv a écrit :



C’est juste la version 5 qui est touchée où les précédentes aussi ?







Y a que deux messages sur le forum de vBulletin :





  1. Security Patch Release for vBulletin 5 Connect (Versions 5.1.4, through 5.1.9)

  2. If you are running a version prior to 5.1.4, we encourage you to do a full upgrade to 5.1.9.





    Donc la faille c’est sur les versions à partir de la 5.1.4.

    Et si c’est antérieur à 5.1.4, on te conseille d’installer la 5.1.9 pour profiter pleinement de la faille <img data-src=" />


votre avatar







ErGo_404 a écrit :



Depuis

le temps que ces différents systèmes existent, n’y a-t-il pas eu des

concurrents utilisant des technos plus “modernes” qui sont apparus ?





&nbsp;T’entends quoi par des technos plus modernes ?



Quand je vois leur Recommended Requirements, je vois des choses du genre PHP 5.5.x or greater, OpCode Cach, etc.

Ils ont l’air d’être au top.

Je vois pas comment on peut faire mieux que du PHP et du MySQL.


votre avatar







Amabaka a écrit :



T’entends quoi par des technos plus modernes ?



Quand je vois leur Recommended Requirements, je vois des choses du genre PHP 5.5.x or greater, OpCode Cach, etc.

Ils ont l’air d’être au top.

Je vois pas comment on peut faire mieux que du PHP et du MySQL.







Puis c’est bien connu, plus c’est moderne, plus c’est sekioure et a fait ses preuves.


votre avatar

Voir le forum HFR qui tourne sous une solution “mesdiscussions” certes moche, mais efficace. Par contre, c’est pas donné …



Sinon, quid de SMF ?

votre avatar

J’avais en tête que PHP était sous-optimal, bourré de failles et surtout pas très propre à écrire. Mais c’était peut être des on-dits.

Quand à MySQL à vrai dire je n’en sais rien, j’ai aussi entendu dire que ce n’était pas terrible pour les grosses bases mais ce n’est pas mon expérience qui parle.

votre avatar

Au bout d’un moment, oui. Un vieux machin qui se traine des tonnes de code de compatibilité ou qui est parti sur de mauvaises bases et qui n’a jamais subi de refactoring sérieux a plus de chances d’être bourré de failles qu’un langage moderne pensé dès le début pour l’efficacité et la sécurité.



“Faire ses preuves” n’a aucun sens en informatique ou la moindre mise à jour peut te casser complètement une fonctionnalité ou rajouter des failles.

votre avatar



Dans un second temps, une autre personne, «&nbsp;cutz&nbsp;» a publié un&nbsp;message énigmatique sur Twitter la nuit dernière. Indiquant simplement que la faille (sans préciser laquelle) étant désormais corrigée, il (ou elle)



Le mot personne est&nbsp; féminin, pas besoin d’écrire (ou elle), puisque le il est déjà malvenu.

votre avatar

Ces on-dits ne sont pas infondés, mais ce n’est pas totalement vrai non plus.



Après avoir utilisé ce langage pendant quelques temps, il est remonté dans mon estime.

Alors oui, le langage n’aide pas, mais les failles viennent des développeurs, pareil pour le “pas très propre”. Faut aussi prendre en compte qu’en tant que “langage du web” haut niveau et accessible, il a souvent été manipulé par des gens qui n’ont pas une formation de développeur.

Et il y a de bons frameworks PHP qui permettent de bien gérer sécurité et propreté (architecture de l’appli).

Pour les performances, il y a des accelerators qui font du bon boulot en optimisant avec du cache.



Et puis surtout, c’est tellement utilisé que c’est très facile à déployer. En général, c’est du plug-and-play, et ça c’est important pour des forum software et autres CMS.



Cela dit, je suis d’accord avec toi, PHP a bien évolué avec les versions mais on ne peut pas se refaire complètement. Il doit rester au maximum rétrocompatible et traine ça comme un boulet.

votre avatar

Je suis sur une V4, ca devrait aller alors…&nbsp;<img data-src=" />

votre avatar







ErGo_404 a écrit :



Depuis le temps que ces différents systèmes existent, n’y a-t-il pas eu des concurrents utilisant des technos plus “modernes” qui sont apparus ?





Il y a bien nodebb mais il est peut être pas aussi aboutit que vbulletin.

&nbsp;



ErGo_404 a écrit :



J’avais en tête que PHP était sous-optimal, bourré de failles et surtout pas très propre à écrire. Mais c’était peut être des on-dits.

Quand à MySQL à vrai dire je n’en sais rien, j’ai aussi entendu dire que ce n’était pas terrible pour les grosses bases mais ce n’est pas mon expérience qui parle.





S’il y a du code moche en php c’est pas la faute de php mais plus des devs. Ils est possible d’écrire du code propre avec php mais c’est vrai qu’il reste trop permissif parfois.

Pour MySQL par contre ca reste une très bonne base de donnée, tu peux utiliser des fork comme percona ou mariadb mais fondamentalement ca reste du MySQL et niveau performance en big data ca tient parfaitement la route. Si tu as besoin de plus en général tu vas quitter le modèle relationnel et passer sur le noSQL qui te convient mais là encore c’est pas MySQL le problème mais le besoin .


votre avatar

Ok, merci !

votre avatar







Gilbert_Gosseyn a écrit :



Voir le forum HFR qui tourne sous une solution “mesdiscussions” certes moche, mais efficace. Par contre, c’est pas donné …



Sinon, quid de SMF ?



Pas donné, ca dépend.

Si tu prends un forum sur le serveur md.net, ca reste plus que raisonnable : il y a une 10zaine d’années c’était 50€ par an, je ne sais aps si ca a augmenté depuis.


votre avatar

C’est moche dans le sens où tu as une liberté totale pour la modification des couleurs du forum.

En plus le système de drapeaux <img data-src=" />



C’est l’un de forums où je vais le plus.

votre avatar







ErGo_404 a écrit :



et surtout pas très propre à écrire.







C’est pas que c’est pas très propre à écrire, aucun langage ne l’est au fond. Le problème c’est que tu as intérêt à être très propre quand tu l’écris, sinon c’est vite le bordel. Comme tout les languages non typés en fait.


votre avatar

Il y a quand même des langages plus ou moins élégants pour chaque type de problème rencontrés.

Le Python permet de faire des choses très puissantes en une seule ligne. Parfois ça complique beaucoup la lecture, mais parfois ça la rend aussi plus fluide et plus proche d’un langage naturel.

Mais après on est bien d’accord, un développeur dégueulasse arrivera à salir n’importe quel langage :)

votre avatar

Ca a augmenté :/.

votre avatar

Premier forum ou je me suis inscrit, bien abvant la bascule sur l’actuel (HFR) ^^. Et oui les drapeaux sont géniaux :p.

votre avatar







Gilbert_Gosseyn a écrit :



Ca a augmenté :/.





C’est à combien maintenant?


votre avatar

Aucune udée, ça fait un petit moment que je ne suis plus ça, mais me semblait que c’était 100€/an.





Edit &gt; Hic … J’étais très loin du compte … :http://www.mesdiscussions.net/offres/



[:matleflou]

votre avatar

Bah python, parfait exemple. J’aime bien ce langage, effectivement bien balèze au niveau syntaxique.

Mais alors le fait de pouvoir par exemple créer un champs dans un objet à la volée depuis l’exterieur, ça à l’air sympa comme ça. Ca me fait juste froid dans le dos d’imaginer maintenir un gros projet utilisant ce genre de machin si le code est pas tiré au cordeau et documenté à la perfection. Et puis aucun IDE peut venir à ton secours. Faut toujours avoir un oeil sur la doc/le code. Ca peut devenir très vite le bordel, chose moins flagrante avec des langages moins permissifs.

votre avatar







Amabaka a écrit :



Je vois pas comment on peut faire mieux que du PHP et du MySQL.







ça c’est velu <img data-src=" />



vBulletin victime d’une faille de sécurité critique, de nombreux forums à mettre à jour

  • Une mise à jour de sécurité et une réinitialisation des mots de passe

  • Une faille découverte il y a déjà trois ans

  • L'identité du pirate est a priori connue

Fermer