В минувший понедельник, 14 декабря 2015 года, разработчики CMS Joomla выпустили патч, исправляющий критическую 0day уязвимость. Специалисты компании Sucuri предупреждают, что было уже поздно: 12 декабря хакеры узнали о баге и начали его эксплуатировать.

0day уязвимость в популярной CMS застрагивает версии Joomla от 1.5 до 3.4. Проблема получила статус критической, официальный патч был представлен для наиболее свежих версий Joomla, а для старых и неподдерживаемых веток 1.5.x и 2.5.x были выпущены неофициальные хотфиксы.

К сожалению, специалисты Sucuri сообщили, что информация об уязвимости распространилась в сети за два дня до выхода патча. Первый эксплоит, созданный для работы с данным багом, обнаружили 12 декабря, в прошедшею субботу:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

Эксперты Sucuri пишут, что они модифицировали пейлоуд, чтобы он не принес вреда, но атакующие производят object injection посредством HTTP user agent, что приводит к исполнению удаленных команд.

По состоянию на сегодня, 15 декабря 2015 года, все сайты, работающие на базе Joomla, представляют интерес для хакеров. Специалисты Sucuri фиксируют значительный рост атак: хакеры активно прощупывают ресурсы, в поисках данной уязвимости.

Всем администраторам сайтов настоятельно рекомендуется обновиться или установить хотфиксы. Кроме того, эксперты Sucuri рекомендуют отслеживать запросы, приходящие с адресов: 146.0.72.83, 74.3.170.33 или 194.28.174.106, так как большой процент атак производится при их участии. Также рекомендуется поискать в логах “JDatabaseDriverMysqli” или “O:” в User Agent, проверив, не был ли уже применен эксплоит.

Фото: infyways.com



2 комментария

  1. ScorpioT1000

    16.12.2015 at 06:52

    В настоящем коде был использован $_POST[111], содержимое которого: http://pastebin.com/e25zxcn6

    Переменная $__shell содержит в себе код для генерации файла: http://pasted.co/4edde763

    Внутри него с помощью preg_replace генерируется код WSO (https://github.com/orbweb/PHP-SHELL-WSO)
    Сам код: http://pasted.co/82529a35

    Судя по коду, можно подвести следующий итог:

    Ищет все директории с правами на запись.

    Создает в них файлы WSO (http://pasted.co/82529a35) с именами:
    одно из sort, conf, utf8, cp1251, backup, cache, reverse, bin, cgi, memcache, sql
    + знак «-»
    + substr(md5(time()), 0, mt_rand(2, 3))
    + «.php»

    Модифицирует заголовки
    ‘/includes/framework.php’,
    ‘/includes/defines.php’,
    ‘/index.php’
    добавляя туда WSO.

    Выводит web-ссылки на них в текст ответа.

    Выводит configuration.php в текст ответа, так что доступы к базе и другая информация скомпрометирована.

  2. ScorpioT1000

    16.12.2015 at 07:04

    Пример WSO исходя из кода: http://imgur.com/r5tjSSO

Оставить мнение