Разработчики свободной системы управления web-контентом Joomla
опубликовали экстренное обновление 3.4.6, в котором устранена
критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно
эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (
патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.
По
данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.
Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.
2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: ..
{s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2: {i:0;O:9:/x22SimplePie/x22:5:..
{s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..
В качестве временного решения можно использовать подручные средства для блокирования эксплуатации уязвимости путем замены потенциально опасных данных в заголовке HTTP User-Agent. Пример конфигурации для web-сервера Apache:
RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]
В настоящий момент нет данных о количестве сайтов, которые были скомпрометированы вследствие эксплуатации этой бреши.
источникКомпьютерная помощь рекомендует всем владельцам персональных и корпоративных сайтов незамедлительно произвести необходимые обновления CMS Joomla через штатные средства обновления, в панели управления Joomla. Или, если речь идёт о "старых" версиях, воспользоваться ссылкой для закачки файлов обновлений: патчи, для применения их в ручном режиме, с заменой оригинальных файлов в структуре CMS Joomla. В случае если обновление Вашего сайта вызывает какие-либо сложности, Вы всегда можете обратиться в нашу компьютерную помощь, для выполнения необходимых действий по устранению данной уязвимости. Кроме прочего, обращаем Ваше внимание на необходимость просмотра логов сайта, с поиском признаков попыток эксплуатации уязвимости из текста данной новости. В случае обнаружения характерных записей в логах, рекомендуем проверить список пользователей на сайте, на предмет появления новых администраторов сайта, а так же, при возможности, произвести откат файлов сайта на дату ранее 12 декабря 2015г., до начала обнаружения и эксплуатации рассмотренной уязвимости.
Добавить комментарий
Комментарии
RSS лента комментариев этой записи