WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng thực thi lệnh từ xa zero-day nghiêm trọng trên Joomla
Joomla phát hành phiên bản Joomla mới vá lỗ hổng nghiêm trọng cho phép thực thi lệnh từ xa, ảnh hưởng đến các phiên bản từ 1.5-3.4.
Đây là một lỗ hổng nghiêm trọng có thể dễ dàng khai thác và đã bị khai thác trên thực tế. Nếu bạn đang sử dụng Joomla thì cần cập nhật ngay lập tức.
Nếu bạn đang sử dụng các phiên bản mới (không được hỗ trợ) như 1.5x và 2.5x, bạn cần áp dụng các bản cập nhật nóng tại đây.
Mã khai thác zero-day trên thực tế
Đáng lưu ý là lỗ hổng này đã bị khai thác trên thực tế cách đây 2 ngày trước khi bản vá được cập nhật.
Sucuri phát hiện lần khai thác đầu tiên nhắm vào lỗ hổng này ngày 12/12:
2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1” 403 5322 “http://google.com/” “}__test|O:21:x22JDatabaseDriverMysqlix22:3: ..
{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0: .. {}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a :1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..
{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysq lx22:0:{}s:8:x22feed_urlx22;s:60:..
Hãng thay đổi đoạn dữ liệu nhằm tránh việc mã khai thác bị dùng sai mục đích nhưng kẻ tấn công lại chèn một đối tượng (object injection) thông qua tác nhân người dùng (user agent) HTTP để thực thi toàn bộ lệnh từ xa.
Sucuri phát hiện rất nhiều mã khai thác từ cùng địa chỉ IP “74.3.170.33” vào ngày 12/12, kéo theo hàng trăm lượt khai thác từ địa chỉ IP 146.0.72.83 và 194.28.174.106 trong ngày 13/12
Ngày 14/12, đợt sóng tấn công mạnh hơn bao giờ hết. Về cơ bản, mọi site và honeypot đều bị tấn công. Điều này có nghĩa rằng tất cả các site Joomla đều có khả năng là mục tiêu tấn công
Hãy bảo vệ site của bạn:
Nếu bạn là một người dùng Joomla thì cần kiểm tra nhật ký hệ thống ngay lập tức. Kiểm tra các truy vấn từ địa chỉ 146.0.72.83 hoặc 74.3.170.33 hoặc 194.28.174.106 vì đây là những địa chỉ đầu tiên khai thác lỗ hổng. Sucuri khuyến cáo người dùng nên tìm kiếm các chuỗi ký tự như “JDatabaseDriverMysqli” hoặc “O:” trên User Agent vì chúng thường được sử dụng trong mã khai thác. Nếu tìm thấy thì có thể site của bạn đã bị tấn công và cần phải xử lý ngay lập tức.
Khuyến cáo:
Đối với các phiên bản Joomla 3.x, cần cập nhật lên 3.4.6 ngay lập tức. Các bản vá tạm thời cho Joomla 1.5.x và 2.5.x sẽ được cập nhật sớm. Bất cứ ai sử dụng những phiên bản cũ cần phải biết và cập nhật càng sớm càng tốt.
Nguồn: Sucuri
Đây là một lỗ hổng nghiêm trọng có thể dễ dàng khai thác và đã bị khai thác trên thực tế. Nếu bạn đang sử dụng Joomla thì cần cập nhật ngay lập tức.
Nếu bạn đang sử dụng các phiên bản mới (không được hỗ trợ) như 1.5x và 2.5x, bạn cần áp dụng các bản cập nhật nóng tại đây.
Mã khai thác zero-day trên thực tế
Đáng lưu ý là lỗ hổng này đã bị khai thác trên thực tế cách đây 2 ngày trước khi bản vá được cập nhật.
Sucuri phát hiện lần khai thác đầu tiên nhắm vào lỗ hổng này ngày 12/12:
2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1” 403 5322 “http://google.com/” “}__test|O:21:x22JDatabaseDriverMysqlix22:3: ..
{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0: .. {}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a :1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..
{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysq lx22:0:{}s:8:x22feed_urlx22;s:60:..
Hãng thay đổi đoạn dữ liệu nhằm tránh việc mã khai thác bị dùng sai mục đích nhưng kẻ tấn công lại chèn một đối tượng (object injection) thông qua tác nhân người dùng (user agent) HTTP để thực thi toàn bộ lệnh từ xa.
Sucuri phát hiện rất nhiều mã khai thác từ cùng địa chỉ IP “74.3.170.33” vào ngày 12/12, kéo theo hàng trăm lượt khai thác từ địa chỉ IP 146.0.72.83 và 194.28.174.106 trong ngày 13/12
Ngày 14/12, đợt sóng tấn công mạnh hơn bao giờ hết. Về cơ bản, mọi site và honeypot đều bị tấn công. Điều này có nghĩa rằng tất cả các site Joomla đều có khả năng là mục tiêu tấn công
Hãy bảo vệ site của bạn:
Nếu bạn là một người dùng Joomla thì cần kiểm tra nhật ký hệ thống ngay lập tức. Kiểm tra các truy vấn từ địa chỉ 146.0.72.83 hoặc 74.3.170.33 hoặc 194.28.174.106 vì đây là những địa chỉ đầu tiên khai thác lỗ hổng. Sucuri khuyến cáo người dùng nên tìm kiếm các chuỗi ký tự như “JDatabaseDriverMysqli” hoặc “O:” trên User Agent vì chúng thường được sử dụng trong mã khai thác. Nếu tìm thấy thì có thể site của bạn đã bị tấn công và cần phải xử lý ngay lập tức.
Khuyến cáo:
Đối với các phiên bản Joomla 3.x, cần cập nhật lên 3.4.6 ngay lập tức. Các bản vá tạm thời cho Joomla 1.5.x và 2.5.x sẽ được cập nhật sớm. Bất cứ ai sử dụng những phiên bản cũ cần phải biết và cập nhật càng sớm càng tốt.
Nguồn: Sucuri
Chỉnh sửa lần cuối bởi người điều hành: