vbulletin Hack, wie ist es hier?

[Batze]

Wollte mal anfragen.

Also das VB wurde ja in erschreckender weiße gehackt, kein Wunder übrigends, nach der übernahme?
Vor Version 4, also bei den alten Entwicklern war alles noch OK, danach nur noch mist, aber ihr benutzt ja 4.1.3, deshalb die Frage.

Wie sieht es hier also aus?
Immerhin ist mein Login hier gekoppelt mit meinem allgemeinen PcG Login!!

Gibt es da mal Infos von Euch!

 

[Markus_Wollny]

Hallo,

Entgegen der ersten Behauptungen des Hackers, der sich für den VBulletin.com-Hack verantwortlich gezeigt hat, scheint es keine aktuelle 0-day-Lücke in vBulletin selbst zu geben. Der Hack bei vBulletin.com erfolgte über eine unzureichend gesicherte Installation einer Beta-Software der VBulletin-Entwickler, auf der gleichen Maschine waren allerdings auch Datenbank-Backups der Produktivforen von vBulletin.com gespeichert, so dass sich der Angreifer darüber Zugangsdaten verschaffen konnte.

Wir sind davon nicht betroffen. Die vielfach kolportierte Sicherheitslücke in der Software vBulletin 4.x+ wurde bei uns umgehend nach Bekanntwerden geschlossen (das ist schon einige Wochen her), zudem haben wir bereits vor mehr als einem Jahr weitere Sicherheitsmaßnahmen ergriffen, die auch einem authentifizierten Administrator die Installation von Plugins oder Veränderung von Themes nicht ohne weiteres gestatten - das ist allerdings in jedem Fall Grundvoraussetzung für die Ausweitung der Privilegien des Angreifers bis zur Übernahme des Servers.

Zudem werden sowohl in vBulletin selbst als auch in unserer zentralen Nutzerdatenbank keine Klartextpasswörter gespeichert, sondern nur gesaltete Passwort-Hashes. Im Falle eines Einbruchs wären die so gespeicherten Daten von eingeschränktem Wert für den Angreifer, an die Passwörter wäre so nicht zu kommen, allenfalls E-Mail-Adressen könnten interessant sein. Es besteht allerdings aktuell wie gesagt kein Grund zur Annahme, dass es aufgrund der Vorfälle bei vBulletin.com eine erhöhte Gefahr für einen Einbruch bei uns geben könnte.

Unsere eigenen Admin-Passwörter für die installierten Foren sind zudem selbstverständlich nicht identisch mit denen, die wir z.B. auf vbulletin.com nutzen. Dies war offenbar der Eintrittsweg bei einem größeren VBulletin-Forum in Verbindung mit dem VBulletin.com-Hack - der Admin hatte dort wie bei seinem Forum dasselbe Passwort verwendet.

Wir empfehlen unabhängig von solchen Vorfällen allen Nutzern die Verwendung eines Passwort-Managers (z.B. Lastpass, kann z.B. auch 2-Factor-Authentifizierung mit Google Authenticator oder YubiKey, Einschränkung auf Login aus bestimmten Regionen etc,) und raten dringend davon ab, das gleiche Passwort bei mehreren Anbietern zu nutzen.

Viele Grüße

Markus

 

[Batze]

Ah ha, also war es eine Beta wo der Typ, wer auch immer da rein gesprungen ist?
Wer es glaubt wird Seelig.

Nach der Übernahme, verkauf von vB weiß jeder das vB nicht mehr das ist was es mal war.

Und der Hack erfolgte nicht auf eine beta Version. Das mal als Info.

Aber Danke für deine Interpretation der Aufklärung, Danke.

Wenn ihr die Sicherheitslücke intern geschlossen habt, dann GZ.

Mehr wollte ich nicht wissen.

 

[Markus_Wollny]

Und der Hack erfolgte nicht auf eine beta Version. Das mal als Info.

Das geht allerdings aus einem offiziellen Statement hervor:

Given our analysis of the evidence provided by the Inject0r team, we do not believe that they have uncovered a 0-day vulnerability in vBulletin.

These hackers were able to compromise an insecure system that was used for testing vBulletin mobile applications.

Quelle: Regarding claims of New 0-Day Exploits in vBulletin. - vBulletin Community Forum

 

[Batze]

Ajo, wer glaubt vB nach der übernahme denn noch, lol.
Das es eben nicht mehr vB ist was es mal war weiß doch jeder der sich mit Foren Software ein wenig Auskennt, und ich gehöre ein wenig dazu.

Mal ganz ehrlich.

Aber danke.