The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.12.2015 23:27  Новая критическая уязвимость в Joomla использована для совершения массовой атаки

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.

По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.


   2015 Dec 12 16:49:07 clienyhidden.access.log
   Src IP: 74.3.170.33 / CAN / Alberta
   74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: ..
   {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2:   {i:0;O:9:/x22SimplePie/x22:5:..
   {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..


  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: Критическая уязвимость в системе управления контентом Joomla (22.10.2015)
  3. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  4. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  5. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  6. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, VecH, 23:51, 14/12/2015 [ответить] [смотреть все]    [к модератору]
  • +18 +/
    Новость прочитал на одном дыхании как какой то боевик
    хорошо что ничего с Joomla меня не связывает, хотя это была одна из первых CMS с которой я знакомился
     
  • 1.4, Ilya Indigo, 00:04, 15/12/2015 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    И как это в 1.5.26 исправить?
     
     
  • 2.8, Аноним, 00:14, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +2 +/
    https github com PhilETaylor Joomla1 5 999 commit 95741d8a2bbb92ea3c8aeaa5427f... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Аноним, 00:22, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ух ты Судя по всему починив дыру с HTTP_USER_AGENT они тут же посадили точно та... весь текст скрыт [показать]
     
     
  • 4.12, freehck, 00:52, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вряд ли Десятью строчками выше у них стоит filter_var, с параметрами намекающим... весь текст скрыт [показать]
     
  • 4.19, Аноним, 03:27, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Зато сколько бесполезных - по части whitespace Погромисты на пхп - такие по... весь текст скрыт [показать]
     
  • 3.15, Ilya Indigo, 01:24, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Благодарю.
     
  • 2.28, Аноним, 09:15, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –16 +/
    обновится до последней версии или закрыть доступ из вне а лучше перенести сайт ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, 123, 09:47, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    да-да, где на файлы кидают 777.
     
  • 1.5, Аноним, 00:06, 15/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    whois 146 0 72 83 address Tussen de Bogen 6, 1013 JB Amsterdam, The Neth... весь текст скрыт [показать]
     
     
  • 2.65, Michael Shigorin, 21:10, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    > whois

    whob :) (lft)

     
  • 1.6, th3m3, 00:07, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Я для прикола пишу в кодах сайтов, что это Joomla. Потом столько весёлых действий в логах ;)

    И ведь находятся индивидуумы, которые ещё этим говнокодов на php пользуются.

     
     
  • 2.7, joomlasenior, 00:11, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    чем же прикажете пользоваться кроме как не им?
     
     
  • 3.16, Аноним, 01:28, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Я уж совсем не программист, но свои визитки-хелловорлды делал на друпале, т к чу... весь текст скрыт [показать]
     
  • 3.29, Аноним, 09:17, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –14 +/
    на bitrix
     
     
  • 4.61, Аноним, 18:57, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    блин, более бессмысленного гогна чем этот твой битрикс походу вообще не существу... весь текст скрыт [показать]
     
     
  • 5.64, ., 20:09, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ты просто пессимист! Нет предела совершенству! :)))
     
  • 3.66, Michael Shigorin, 21:13, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да почти чем угодно -- жумла по характеру дыр в ней и головах разработчиков сопо... весь текст скрыт [показать]
     
  • 1.9, dlazerka, 00:20, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую, без прослойки, которая подставляет+чистит данные?

    Я думал уже давно все делают через шаблоны, типа "INSERT INTO test({foo}, {bar})"
    а потом дальше в коде говоришь возьми вот этот шаблон, и подставь туда вместо {foo} вот это значени, вместо {bar} вот это.
    В JDBC это по-моему с рождения было. А сегодня декабрь 2015-го.

     
     
  • 2.18, Аноним, 03:17, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    кто-кто, похапешники
     
     
  • 3.20, dlazerka, 03:51, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну я сам писал на пехапе года 3, 8 лет назад Но уже тогда использовал какую-то ... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 09:27, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > Тяжёлый недуг -- PHP рук.

    Ненене, PHP не в клозетах, а в головах.

     
  • 3.26, АнонимУася, 08:03, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    ППЦ, на чем можешь написать ты что нибудь серьезное А по делу - различных орм, ... весь текст скрыт [показать]
     
     
  • 4.49, dlazerka, 11:41, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Согласен Хотя язык всё же виноват, за то что он привлекает уродов халявщиков ... весь текст скрыт [показать]
     
  • 3.31, Аноним, 09:21, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    https docs joomla org Inserting,_Updating_and_Removing_data_using_JDatabase вс... весь текст скрыт [показать]
     
  • 2.21, Отражение луны, 04:41, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Кто-то в 2015 году использует ненужные тормозные прослойки Мои соболезнования ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, 10й Брейтовский переулок, 06:03, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    "PHP головного мозга" детектит.
     
  • 3.36, dlazerka, 10:23, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А вы как эскейпите SQL параметры ... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 10:40, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Никак. Нормальные люди юзают подготовленные выражения.
     
     
  • 5.39, angra, 10:48, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Титеретик Был бы у тебя практический опыт, ты бы знал, что они не работают для ... весь текст скрыт [показать]
     
     
  • 6.44, dlazerka, 11:25, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не могу говорить за предыдущего участника, но я вот практик, и что-то не помню т... весь текст скрыт [показать]
     
     
  • 7.48, angra, 11:34, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Самый простой пример - имена полей и таблиц в большинстве БД не попадают под воз... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 11:54, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Добавлять поля в таблицы в realtime это уже не от php а от mysql наверное :)
     
     
  • 9.54, dlazerka, 12:05, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Он имеет ввиду не добавлять, а выбирать SELECT someDynamicColumn , if someC... весь текст скрыт [показать]
     
  • 8.53, dlazerka, 12:02, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Точно, спасибо Хорошо, что в PaaS, с которым я сейчас работаю, такое невозможно... весь текст скрыт [показать]
     
  • 5.45, dlazerka, 11:27, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну так а я о чём PreparedStatement и есть прослойка А вы называете её тормозну... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 11:55, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Не совсем так, это прослойка немного другого уровня которая в части применений ... весь текст скрыт [показать]
     
  • 4.42, Andrew, 11:19, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А вы как эскейпите SQL параметры?

    Query Parameters Binding?

     
     
  • 5.46, dlazerka, 11:29, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну так а я о чём См мой первый коммент с которого началась ветка INSERT INTO ... весь текст скрыт [показать]
     
  • 2.40, angra, 10:55, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми приходится стал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, dlazerka, 11:23, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, я читал код JDBC, именно на предмет экранирования Да и что там читать, Ctrl... весь текст скрыт [показать]
     
     
  • 4.47, angra, 11:29, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Загугли значение ORM, ну или сразу глянь в https en wikipedia org wiki Object-... весь текст скрыт [показать]
     
     
  • 5.52, Аноним, 11:57, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    DDL и DML в одну кучу не надо валить ... весь текст скрыт [показать]
     
  • 5.57, жабабыдлокодер, 14:20, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Нормальные, человеческие ORM-ы, вроде JPA и Hibernate, сидят уже поверх JDBC.
     
  • 1.11, Иван Ер0хин, 00:44, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.
     
     
  • 2.62, Аноним, 19:31, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Программисты тут ни при чём Приходит заказчик, у тебя-умного сайт можно сделать... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, Michael Shigorin, 21:17, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Значит, ему сейчас не нужен сайт Серьёзно Потому что потеряет он на нём спер... весь текст скрыт [показать]
     
  • 1.13, Аноним, 00:56, 15/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Большинству, не нужны супер мега написанные движки вручную на php, которые соотв... весь текст скрыт [показать]
     
     
  • 2.69, Michael Shigorin, 21:18, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Вот такие дебилы, не побоюсь этого слова, и строят скорорушащиеся дома Чтоб они... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Корабельная крыса, 01:02, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Suhosin ?
     
     
  • 2.58, Nicknnn, 15:15, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Помер?
     
  • 1.17, Аноним, 01:54, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Спасибо, что просветили.
     
  • 1.23, Аноним, 06:49, 15/12/2015 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Похапе-хейтеры в курсе, что Википедия и, если не ошибаюсь, Фейсбук с Вконтактом ... весь текст скрыт [показать]
     
     
  • 2.25, Аноним, 07:46, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и счит... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 09:18, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Пусть тогда ненавидят еще и питон за дырки в moinmoin, руби за дырки в гитхабе, ... весь текст скрыт [показать]
     
  • 2.41, Аноним, 11:15, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    да, фейсбук и контакт изначально использовали пхп, и сейчас жалеют об этом Дело... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 19:35, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Поверь, те, кто одновременно с фейсбуком начали писать социальную сеть на С C ,... весь текст скрыт [показать]
     
  • 1.27, Аноним, 08:51, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Без предустановленных дыр тут ничего не взлетает..
     
  • 1.35, CHERTS, 09:50, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Для 2.5.28 патчик
    http://pastebin.com/90RnzreF
     
  • 1.56, Аноним, 13:22, 15/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Пропатчил движки подведомственных сайтов Однако на парочке серверов в логах обн... весь текст скрыт [показать]
     
     
  • 2.59, Игорь, 16:25, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    А я вчера все обновил, но сегодня в логах появилось такое чудо.
     
     
  • 3.60, Аноним, 16:46, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вот те раз... Это уже не радует. :(
     
  • 3.70, brandy, 21:19, 15/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На другом сайте советуют в htaccess так же докинуть RewriteCond HTTP_USER_AGE... весь текст скрыт [показать]
     
     
  • 4.71, Владимир, 23:32, 15/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а что за сайт, такое рекомендует?
     
     
  • 5.73, Аноним, 05:52, 16/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    http://habrahabr.ru/company/pt/blog/273213/
     
  • 2.74, Аноним, 05:55, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Аналогично, нашел в логах упомянутые строки Поднял старую копию из бэкапа, свер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, Ilya Indigo, 10:46, 16/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А вы БД сверяли ... весь текст скрыт [показать]
     
     
  • 4.78, Аноним, 12:08, 16/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нет, т к это проблематично делаются регулярные изменения в магазине Но новых... весь текст скрыт [показать]
     
  • 1.67, brandy, 21:14, 15/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Чёрт, поздно прочитал новость, просмотр логов дал инфу о сегодняшнем посещении такого Юзер-Агента в 8 вечера с ip из Украины и ближе к 9 вечера с ip из Канады.
    А вчера, позавчера, позапоза... - всё чисто. Увидел бы вовремя, раньше бы поужинал.

    Ушел откатываться на точки автобэкапов хостинга и обновляться...

     
  • 1.72, Atla, 05:13, 16/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Судя по всему, эта уязвимость эксплуатировалась годами, просто выявлена была после массовой, автоматической, попытки эксплуатации.
    У меня в логах есть подобная запись от 15.12 и на этом всё: ничего не изменено, не удалено и не добавлено. Смысл уязвимости: remote code execution, так что копать нужно ОС сервера на наличие "гостей" а не бэкапы joomla откатывать :).
     
     
  • 2.75, тоже Аноним, 08:48, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Если у вас на сервере пользователь, от которого работает сайт, может подсадить ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.82, Atla, 22:24, 16/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, всё верно И это уже проблемы хостера если используется хостинг В любом из ... весь текст скрыт [показать]
     
  • 1.77, йцукен, 10:55, 16/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Дал url на эту статью веб мастеру. После не долгого прочтения было – “Та ну нах… Мы за файрволом.”
    Вопрос – “Как «стимулировать» веб мастера пропатчить jooml’у?”
     
     
  • 2.79, Аноним, 15:14, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Ответ - пригласить для веб мастера помощника и дать возможность поработать в дво... весь текст скрыт [показать] [показать ветку]
     
  • 2.81, Аноним, 19:16, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Попробуйте деньгами И пообещайте оплатить время, которое если потребуется для... весь текст скрыт [показать] [показать ветку]
     
  • 2.83, Atla, 22:30, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Объяснить мастеру что файервол тут никак не поможет, потому как joomla разрешена в правилах файервола, уязвимость в ней же и "гости" потом могут под её же процесс замаскироваться и спокойно работать. Если веб-мастер этого не понимает - то....а вообще, что взять с веб-мастера? :))


     
  • 1.80, Аноним, 16:25, 16/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    юзайте yii2
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor