MyBB পূর্বে MyBulletinBoard নামে পরিচিত একটি বিনামূল্যের এবং Open source forum software যা PHP এবং My SQL এর উপর ভিত্তি করে। সম্প্রতি এটি তার আগের সংস্করণে একটি সমালোচনামূলক সংরক্ষিত XSS (Cross-site scripting) এবং RCE (Remote-code execution) এর জন্য ঝুঁকিপূর্ণ । এই কারণে Forum-এ শুধুমাত্র একটি ব্যবহারকারীর Account ধারণকারী যেকোন অপরাধী administrator-কে একটি ক্ষতিকর প্রাইভেট ম্যাসেজ পাঠিয়ে বা একটি ক্ষতিকর Post তৈরি করে যেকোনো Board hijack করতে পারে।
MyBB-এ দুর্বলতা
MyBB-তে নিম্নোক্ত দুর্বলতাগুলি প্রধান ছিল:
Post এবং personal message Parsing ত্রুটি৷
প্রথমটি হল অনুপযুক্ত Parsing ত্রুটি যা JavaScript সনাক্ত করে না। সুতরাং, যখন লক্ষ্যযুক্ত ফোরাম-এ একজন খারাপ অভিনেতা একজন administrator-কে ক্ষতিকর JavaScript code সহ একটি প্রাইভেট ম্যাসেজ পাঠায়, তখন এটি security-কে bypass করে। আরও, এই দুর্বলতার জন্য administrator-এর আর কিছুই প্রয়োজন নেই। Board-এর সম্পূর্ণ নিয়ন্ত্রণ পেতে হ্যাকার-এর অন্য কোনো পদক্ষেপ নেয়ার প্রয়োজন নেই। আক্রমণকারী PM খুললেই, বোর্ড-এর database-এ সংরক্ষিত সমস্ত ব্যবহারকারীর Account, private thread এবং ম্যাসেজ-গুলিতে সম্পূর্ণ এক্সেস পায়।
Remote code execution দুর্বলতা
Forum MyBB-র দ্বিতীয় দুর্বলতা হল একটি সংরক্ষিত Remote code execution (RCE). যাইহোক, এটি শুধুমাত্র administrator অনুমতি নিয়ে একজন ব্যক্তির দ্বারা absorbed হতে পারে। কিন্তু private message-গুলির Parsing ত্রুটির কারণে একজন হ্যাকার-কে Website-এর Remote control নিতে দেয় এবং ডাটাবেজ-এ ক্ষতিকারক PHP code সংরক্ষণ করে।
আপনার website hack হয়েছে? এখনে Astra এর PHP Malware scanner দিয়ে পরীক্ষা করুন।
Technical details
‘Parsing ‘ শব্দের অর্থ String parsing। মূলত, Parsing হল ব্যবহারকারীর Input Sanitize করা এবং তাদের মধ্যে রূপান্তর করা Mycode বা bbcodes. তাছাড়া, bbcodes হল একটি ফোরাম নির্দিষ্ট উপায় যা পোস্ট-এ ছবি, লিংক এবং video Embed করার জন্য ব্যবহার করা হয়।
Parsing সমস্ত HTML tag এবং Double quotes বাদ দিয়ে শুরু হয় এবং তারপর bbcode কে Iframe-এ রূপান্তর করতে যায়।
কিন্তু bbcodes একটি ভিন্ন ধাপে HTML markup-এ রূপান্তরিত হওয়ার কারণে, [url] bbcode HTML markup এবংDouble coat-এ রূপান্তর করে iframe এর src কে ক্ষতিকর করে এবং এই ফলাফল Renderকরা হয়।
দুর্বলতা না থাকলে, অন্যান্য bbcodes মধ্যে bbcodes Injection করা সম্ভব হত না। তারপর একটি onload
event handler inject করা হচ্ছে <iframe>
tag. এই event handle-টি iframe-এর মধ্যে পেইজ-টি লোড হওয়ার সাথে সাথেই trigger করে। এইভাবে ক্ষতিকারক JavaScript code trigger করার জন্য কোনও ব্যবহারকারীর interaction-এর প্রয়োজন হয় না।
আপনার Website hack হয়েছে? এখন Astra এর PHP Malware scanner দিয়ে পরীক্ষা করুন
Latest Version-এ Update করুন
MyBB Version1.8.21-এ দুর্বলতা patch করেছে। এই Version-এ Update করা হল তাৎক্ষণিক পদক্ষেপ যা আপনি নিতে পারেন। এছাড়াও, আপনি যাতে এই আক্রমণের শিকার না হন তা নিশ্চিত করতে; একটি Web Application Firewall Install করুন। Web Application Firewall একটি অবিচ্ছিন্ন পর্যবেক্ষণ system এবং আপনার website-এ একটি অতিরিক্ত সুরক্ষা প্রদান করে।
Astra Firewall এমন একটি Firewall যা একটি website-কে XSS, SQLi, CSRF, bad bot, OWASP শীর্ষ 10 এবং 100+ অন্যান্য সাইবার আক্রমণ থেকে রক্ষা করে। একটি Astra Dashboard দেখতে কেমন তা এখানে-