WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Các lỗi Joomla gần đây đang bị hacker quét và khai thác
Chỉ 24 giờ sau khi Joomla phát hành phiên bản Joomla CMS 3.6.4 vá hai lỗ hổng an ninh nghiêm trọng, tin tặc đã bắt đầu chọc phá vào các hệ thống chưa được vá và tiến hành các đợt quét ồ ạt trong nửa ngày sau đó.
Hai lỗ hổng bị hacker khai thác là CVE-2016-8870 và CVE-2016-8869. Lỗi đầu tiên cho phép tin tặc tấn công từ xa tạo tài khoản trên các trang Joomla. Lỗi thứ hai cho phép tin tặc leo thang đặc quyền lên cấp quản trị.
Đội phát triển cùng một kỹ sư của Joomla là Davide Tampellini, là những người phát hiện ra lỗ hổng thứ hai, từ chối đưa ra các thông tin kỹ thuật về lỗ hổng này. Nhiều nhà nghiên cứu đã thực hiện dịch ngược bản phát hành 3.6.4 và trích xuất các thông tin sửa đổi, loại trừ phương pháp khai thác, tạo ra các đoạn mã khai thác và phát hành trực tuyến.
Các đợt quét ồ ạt xuất phát từ Romania và Latvia
Sucuri cũng tạo ra mã khai thác proof-of-concept, được nhúng trong sản phẩm tường lửa của hãng.
Là tổ chức phát hiện thấy nguy cơ khai thác hai lỗ hổng này, Sucuri cho hay khoảng 24 giờ sau khi Joomla phát hành phiên bản 3.6.4, ba địa chỉ IP từ Romania đang chọc phá các trang Joomla lớn nhất trên thế giới.
Tin tặc đã cố gắng khai thác hai lỗi này bằng cách tạo ra một tài khoản người dùng có tên "db_cfg" và mật khẩu là "fsugmze3".
12 giờ sau đó, ba địa chỉ IP đã chuyển từ việc chỉ quét một cách rụt rè sang quét và khai thác một cách ồ ạt bất kỳ trang Joomla nào mà chúng có thể xác định.
Ngay sau đó, một hacker khác sử dụng địa chỉ IP Latvian cũng bắt đầu quét ồ ạt, tạo tài khoản người dùng có tên ngẫu nhiên trên những website bị ảnh hưởng với địa chỉ email là "[email protected]".
82.76.195.141
82.77.15.204
81.196.107.174
185.129.148.216
Sucuri khuyến cáo các quản trị website tìm kiếm bản ghi truy cập cho các địa chỉ IP ở trên. Tin tặc thường sẽ tìm cách truy cập vào URL sau: "/index.php/component/users/?task=user.register"
Sucuri cho hay các trang web Joomla chưa được vá rất có thể đang bị ảnh hưởng
"Chúng tôi tin rằng bất kỳ trang web Joomla! Nào chưa được cập nhật đều có thể bị ảnh hưởng", Daniel Cid, Sucuri cho hay.
"Nếu bạn chưa cập nhật web Joomla của mình, bạn có khả năng đã bị ảnh hưởng", Cid cho biết thêm. "Các trang Joomla trên mạng của chúng tôi đều bị tấn công (và chặn bởi tường lửa Sucuri Firewall) và tôi cho là khá nhiều trang web bị ảnh hưởng theo cách như vậy."
Sự việc tương tự đã xảy ra vào năm ngoái, khi dự án Joomla vá lỗ hổng zero-day CVE-2015-8562 trong phiên bản 3.4.6, ra mắt vào giữa tháng 12/2015. Đến cuối năm 2015, hacker đã tiến hành trung bình khoảng 16.600 lượt quét mỗi ngày, với nỗ lực khai thác lỗ hổng.
Joomla phát hành phiên bản mới vá 2 lỗ hổng nghiêm trọng
Hai lỗ hổng bị hacker khai thác là CVE-2016-8870 và CVE-2016-8869. Lỗi đầu tiên cho phép tin tặc tấn công từ xa tạo tài khoản trên các trang Joomla. Lỗi thứ hai cho phép tin tặc leo thang đặc quyền lên cấp quản trị.
Đội phát triển cùng một kỹ sư của Joomla là Davide Tampellini, là những người phát hiện ra lỗ hổng thứ hai, từ chối đưa ra các thông tin kỹ thuật về lỗ hổng này. Nhiều nhà nghiên cứu đã thực hiện dịch ngược bản phát hành 3.6.4 và trích xuất các thông tin sửa đổi, loại trừ phương pháp khai thác, tạo ra các đoạn mã khai thác và phát hành trực tuyến.
Các đợt quét ồ ạt xuất phát từ Romania và Latvia
Sucuri cũng tạo ra mã khai thác proof-of-concept, được nhúng trong sản phẩm tường lửa của hãng.
Là tổ chức phát hiện thấy nguy cơ khai thác hai lỗ hổng này, Sucuri cho hay khoảng 24 giờ sau khi Joomla phát hành phiên bản 3.6.4, ba địa chỉ IP từ Romania đang chọc phá các trang Joomla lớn nhất trên thế giới.
Tin tặc đã cố gắng khai thác hai lỗi này bằng cách tạo ra một tài khoản người dùng có tên "db_cfg" và mật khẩu là "fsugmze3".
12 giờ sau đó, ba địa chỉ IP đã chuyển từ việc chỉ quét một cách rụt rè sang quét và khai thác một cách ồ ạt bất kỳ trang Joomla nào mà chúng có thể xác định.
Ngay sau đó, một hacker khác sử dụng địa chỉ IP Latvian cũng bắt đầu quét ồ ạt, tạo tài khoản người dùng có tên ngẫu nhiên trên những website bị ảnh hưởng với địa chỉ email là "[email protected]".
82.76.195.141
82.77.15.204
81.196.107.174
185.129.148.216
Sucuri khuyến cáo các quản trị website tìm kiếm bản ghi truy cập cho các địa chỉ IP ở trên. Tin tặc thường sẽ tìm cách truy cập vào URL sau: "/index.php/component/users/?task=user.register"
Sucuri cho hay các trang web Joomla chưa được vá rất có thể đang bị ảnh hưởng
"Chúng tôi tin rằng bất kỳ trang web Joomla! Nào chưa được cập nhật đều có thể bị ảnh hưởng", Daniel Cid, Sucuri cho hay.
"Nếu bạn chưa cập nhật web Joomla của mình, bạn có khả năng đã bị ảnh hưởng", Cid cho biết thêm. "Các trang Joomla trên mạng của chúng tôi đều bị tấn công (và chặn bởi tường lửa Sucuri Firewall) và tôi cho là khá nhiều trang web bị ảnh hưởng theo cách như vậy."
Sự việc tương tự đã xảy ra vào năm ngoái, khi dự án Joomla vá lỗ hổng zero-day CVE-2015-8562 trong phiên bản 3.4.6, ra mắt vào giữa tháng 12/2015. Đến cuối năm 2015, hacker đã tiến hành trung bình khoảng 16.600 lượt quét mỗi ngày, với nỗ lực khai thác lỗ hổng.
Nguồn: Softpedia
Tin liên quan:
Joomla phát hành phiên bản mới vá 2 lỗ hổng nghiêm trọng