Новая критическая уязвимость в Joomla использована для совершения массовой атаки
По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.
Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.
2015 Dec 12 16:49:07 clienyhidden.access.log Src IP: 74.3.170.33 / CAN / Alberta 74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: .. {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2: {i:0;O:9:/x22SimplePie/x22:5:.. {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..
Источник: http://www.opennet.ru/opennews/art.shtml?num=43521
|
0 | Tweet | Нравится |
|