MyBB, পূর্বে MyBulletinBoard নামে পরিচিত একটি বিনামূল্যের এবং ওপেন সোর্স ফোরাম সফ্টওয়্যার যা PHP এবং My SQL এর উপর ভিত্তি করে। সম্প্রতি এটি 1.8.20 এবং তার আগের সংস্করণে একটি সমালোচনামূলক সঞ্চিত XSS (ক্রস-সাইট স্ক্রিপ্টিং) এবং RCE (রিমোট-কোড এক্সিকিউশন) এর জন্য ঝুঁকিপূর্ণ পাওয়া গেছে। এই কারণে ফোরামে শুধুমাত্র একটি ব্যবহারকারীর অ্যাকাউন্ট ধারণকারী কোনো অপরাধী প্রশাসকের কাছে একটি ক্ষতিকারক ব্যক্তিগত বার্তা পাঠিয়ে বা একটি দূষিত পোস্ট তৈরি করে যেকোনো বোর্ড হাইজ্যাক করতে পারে৷
কারণে দুর্বলতা
নিম্নোক্ত দুর্বলতাগুলি যা মাইবিবি-তে প্রধান অপরাধী ছিল:
পোস্ট এবং ব্যক্তিগত বার্তাগুলিতে পার্সিং ত্রুটি
প্রথমটি হল অনুপযুক্ত পার্সিং ত্রুটি যা জাভাস্ক্রিপ্ট সনাক্ত করে না। সুতরাং, যখন লক্ষ্যযুক্ত ফোরামে একজন খারাপ অভিনেতা একজন প্রশাসককে দূষিত জাভাস্ক্রিপ্ট কোড সম্বলিত একটি ব্যক্তিগত বার্তা পাঠায়, তখন এটি নিরাপত্তাকে বাইপাস করে। আরও, এই দুর্বলতার জন্য মেইল খোলার জন্য অ্যাডমিনিস্ট্রেটরের আর কিছুই প্রয়োজন নেই। বোর্ডের সম্পূর্ণ নিয়ন্ত্রণ পেতে হ্যাকারের জন্য অন্য কোনো পদক্ষেপের প্রয়োজন নেই। আক্রমণকারী PM খুললেই, সে সমস্ত ব্যবহারকারীর অ্যাকাউন্ট, ব্যক্তিগত থ্রেড এবং বোর্ডের ডাটাবেসে সংরক্ষিত বার্তাগুলিতে সম্পূর্ণ অ্যাক্সেস পায়৷
রিমোট কোড এক্সিকিউশন দুর্বলতা
মাইবিবি ফোরামের দ্বিতীয় দুর্বলতা হল একটি সংরক্ষিত রিমোট কোড এক্সিকিউশন (RCE)। যাইহোক, এটি শুধুমাত্র প্রশাসক অনুমতি সহ একজন ব্যক্তির দ্বারা শোষিত হতে পারে। কিন্তু ব্যক্তিগত বার্তাগুলিতে পার্সিং ত্রুটির ফলে হ্যাকারকে ওয়েবসাইটটির রিমোট কন্ট্রোল নিতে দেয় এবং ক্ষতিকারক PHP কোডগুলি ডেটাবেসে সংরক্ষণ করে৷
আপনার ওয়েবসাইট কি হ্যাক হয়েছে? Astra এর PHP ম্যালওয়্যার স্ক্যানার এখনই চেক করুন
প্রযুক্তিগত বিবরণ
'পার্সিং' শব্দটির অর্থ স্ট্রিং বিশ্লেষণ। মূলত, পার্সিং হল ব্যবহারকারীর ইনপুট স্যানিটাইজ করা এবং তাদের mycodes-এ রূপান্তর করা অথবা bbcodes . তাছাড়া, bbcodes হল পোস্টে ছবি, লিঙ্ক এবং ভিডিও এম্বেড করার একটি ফোরাম নির্দিষ্ট উপায়।
পার্সিং সমস্ত HTML ট্যাগ এবং ডবল উদ্ধৃতি বাদ দিয়ে শুরু হয়। এবং তারপরে bbcode কে iframe-এ রূপান্তর করা যায়।
কিন্তু একটি ভিন্ন ধাপে bbcodes HTML মার্কআপে রূপান্তরিত হওয়ার কারণে, [url] bbcode HTML মার্কআপ এবং ডবল কোটে রূপান্তর করে iframe-এর src কে দূষিত করে। এবং এই ফলাফল রেন্ডার করা হয়।
দুর্বলতা না থাকলে, অন্যান্য bbcodes মধ্যে bbcodes ইনজেকশন করা সম্ভব হত না। এটি একটি onload
এর দিকে নিয়ে যায় ইভেন্ট হ্যান্ডলারকে <iframe>
এ ইনজেক্ট করা হচ্ছে ট্যাগ আইফ্রেমের মধ্যে পৃষ্ঠাটি লোড হওয়ার সাথে সাথে এই ইভেন্ট হ্যান্ডলারটি ট্রিগার করে, তাই ক্ষতিকারক জাভাস্ক্রিপ্ট কোড ট্রিগার করার জন্য কোনও ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন হয় না৷
আপনার ওয়েবসাইট কি হ্যাক হয়েছে? Astra এর PHP ম্যালওয়্যার স্ক্যানার এখনই চেক করুন
সর্বশেষ সংস্করণে আপডেট করুন
MyBB সংস্করণ 1.8.21-এ দুর্বলতা প্যাচ করেছে। এই সংস্করণে আপডেট করা হল তাৎক্ষণিক পদক্ষেপ যা আপনি নিতে পারেন। এছাড়াও, আপনি যাতে এই আক্রমণের শিকার না হন তা নিশ্চিত করতে; একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ইনস্টল করুন। একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল একটি অবিচ্ছিন্ন পর্যবেক্ষণ সিস্টেম এবং আপনার ওয়েবসাইটে একটি অতিরিক্ত সুরক্ষা প্রদান করে৷
অ্যাস্ট্রা ফায়ারওয়াল হল এমন একটি ফায়ারওয়াল যা একটি ওয়েবসাইটকে XSS, SQLi, CSRF, খারাপ বট, OWASP শীর্ষ 10 এবং 100+ অন্যান্য সাইবার আক্রমণ থেকে রক্ষা করে। এখানে একটি Astra ড্যাশবোর্ড দেখতে কেমন লাগে-
এখন একটি Astra ডেমো পান!