13 декабря 2015 найдена серьезная 0-day уязвимость Joomla "[20151201] - Core - Remote Code Execution Vulnerability" (CVE-2015-8562), 14 декабря она уже была исправлена. Уязвимости подвержены версии Joomla от 1.5.0 до 3.4.5. Тип уязвимости Remote Code Execution (возможность несанкционированного запуска кода через сетевое соединение). Несмотря на быстрый выход патча, далеко не все администраторы успели устранить уязвимость, и компании, занимающиеся защитой веб-серверов (как например Sucuri), отмечают повышение количества связанных с уязвимостью атак. Цитата:
"Сегодня (14 декабря 2015 года), волна атак разрастается, так что практически каждый наш сайт и сайты-приманки (honeypot) подвергаются попыткам взлома. Это означает, что любой сайт на основе Joomla может быть потенциальной целью для очередной атаки."
[Описание уязвимости]
Ошибка находится в файле libraries\joomla\session\session.php. Информация браузера неправильно фильтруется, вследствие чего при записи значений сессии в базу данных есть возможность удаленно запустить код (эксплуатация уязвимости типа Remote Code Execution).
Исследователи уязвимости советуют администраторам Joomla просмотреть логи в поиске IP-адресов 146.0.72.83, 74.3.170.33 или 194.28.174.106, поскольку именно эти адреса использовались при осуществлении первых нападений. Sucuri также рекомендует искать в логах события, которые используют "JDatabaseDriverMysqli" и "O:" в качестве агента пользователя (user agent). На системах, у которых обнаружены эти записи в логах, потенциально могут считаться скомпроментированными, так что требуется тщательная проверка сервера. Пример записи в логе Joomla:
2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.XX.XX / CAN / Alberta
74.3.XX.XX [12/Dec/2015:16:49:40 -0500] GET /contact/ HTTP/1.1
403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..
{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;
a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:
0:{}s:8:x22feed_urlx22;s:60:..
Joomla 1.5 вышла в январе 2008, так что баг просуществовал почти 8 лет. Версия 3.4 была выпущена в 2014 году. Еще не ясно точно, что происходит с уязвимыми системами, которые эксплуатируются.
Разработчик советует сделать обновление Joomla до версии 3.4.6. Но что делать, тем, у кого старая версия Joomla, например 1.5?
К счастью, есть неофициальные патчи для старых версий Joomla [1, 2]. Все что нужно - это скачать архив с исправленным файлом session.php, и заменить его на своем сервере.
[Ссылки]
1. Security hotfixes for Joomla EOL versions site:docs.joomla.org. 2. 151218CVE-2015-8562-fix.zip - неофициальные патчи для версий Joomla 1.5 и 2.5 (скачано с [1]). |