Хакеры эксплуатируют уязвимость нулевого дня в Joomla!

image

Теги: zero-day, уязвимости, Joomla

До выхода исправления хакеры успешно использовали уязвимость в течение двух дней.

Сегодня стало известно о выходе исправления к критической уязвимости в одной из самых популярных и распространенных систем управления контентом – Joomla!

Уязвимость существует из-за недостаточной обработки входных данных, во время записи в базу информации о браузере пользователя. Удаленный пользователь может с помощью специально сформированного заголовка HTTP User-Agent внедрить и выполнить произвольный PHP код на целевой системе с привилегиями web-сервера.

Успешная эксплуатация уязвимости позволит злоумышленнику получить полный контроль над уязвимым сайтом.

Согласно информации Sucuri, злоумышленники приступили к активной эксплуатации уязвимости еще 12 декабря этого года. В журналах web-сервера на скомпрометированных сайта присутствовали следующие данные:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

До настоящего времени все атаки на сайты осуществлялись со следующих IP адресов:

74.3.170.33
146.0.72.83
194.28.174.106

Уязвимость распространяется на версии Joomla! 1.5 по 3.4.5 включительно. Производитель уже успел выпустить исправление безопасности. Новая версия 3.4.6 доступна на сайте вендора.

В качестве временного решения можно использовать подручные средства для блокирования эксплуатации уязвимости путем замены потенциально опасных данных в заголовке HTTP User-Agent. Пример конфигурации для web-сервера Apache:

RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]

В настоящий момент нет данных о количестве сайтов, которые были скомпрометированы вследствие эксплуатации этой бреши.


или введите имя

CAPTCHA
Олег
15-12-2015 22:26:41
Еще используемые Ip 197.231.221.211 5.9.36.66 185.17.184.228 Только что в логах нашел
0 |
читатель
15-12-2015 23:13:59
Больше, буквально с часик назад пару адресов в логах засек, с юзерагентом в составе JDatabaseDriverMysqli Хотя, если они уже начали ломаные ресурсы эксплуатировать, сейчас их лавина уже может быть. Жалко позно до новостей дошёл, а так - автооткат средствами хостинга, обновление и запрет в .htaccess из текста новости. Кстати на старые версии у них страница критических патчей с добавлением заплатки на текущее: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
0 |