The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

14.12.2015 23:27  Новая критическая уязвимость в Joomla использована для совершения массовой атаки

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.

По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.


   2015 Dec 12 16:49:07 clienyhidden.access.log
   Src IP: 74.3.170.33 / CAN / Alberta
   74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: ..
   {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2:   {i:0;O:9:/x22SimplePie/x22:5:..
   {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..


  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: Критическая уязвимость в системе управления контентом Joomla (22.10.2015)
  3. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  4. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  5. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  6. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, VecH, 23:51, 14/12/2015 [ответить] [смотреть все]
  • +18 +/
    Новость прочитал на одном дыхании как какой то боевик
    хорошо что ничего с Joomla меня не связывает, хотя это была одна из первых CMS с которой я знакомился
     
  • 1.4, Ilya Indigo, 00:04, 15/12/2015 [ответить] [смотреть все]
  • –2 +/
    И как это в 1.5.26 исправить?
     
     
  • 2.8, Аноним, 00:14, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    https github com PhilETaylor Joomla1 5 999 commit 95741d8a2bbb92ea3c8aeaa5427f... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Аноним, 00:22, 15/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ух ты Судя по всему починив дыру с HTTP_USER_AGENT они тут же посадили точно та... весь текст скрыт [показать]
     
     
  • 4.12, freehck, 00:52, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Вряд ли Десятью строчками выше у них стоит filter_var, с параметрами намекающим... весь текст скрыт [показать]
     
  • 4.19, Аноним, 03:27, 15/12/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Зато сколько бесполезных - по части whitespace Погромисты на пхп - такие по... весь текст скрыт [показать]
     
  • 3.15, Ilya Indigo, 01:24, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Благодарю.
     
  • 2.28, Аноним, 09:15, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –16 +/
    обновится до последней версии или закрыть доступ из вне а лучше перенести сайт ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, 123, 09:47, 15/12/2015 [^] [ответить] [смотреть все]  
  • +9 +/
    да-да, где на файлы кидают 777.
     
  • 1.5, Аноним, 00:06, 15/12/2015 [ответить] [смотреть все]  
  • +2 +/
    whois 146 0 72 83 address Tussen de Bogen 6, 1013 JB Amsterdam, The Neth... весь текст скрыт [показать]
     
     
  • 2.65, Michael Shigorin, 21:10, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > whois

    whob :) (lft)

     
  • 1.6, th3m3, 00:07, 15/12/2015 [ответить] [смотреть все]  
  • +2 +/
    Я для прикола пишу в кодах сайтов, что это Joomla. Потом столько весёлых действий в логах ;)

    И ведь находятся индивидуумы, которые ещё этим говнокодов на php пользуются.

     
     
  • 2.7, joomlasenior, 00:11, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    чем же прикажете пользоваться кроме как не им?
     
     
  • 3.16, Аноним, 01:28, 15/12/2015 [^] [ответить] [смотреть все]  
  • –4 +/
    Я уж совсем не программист, но свои визитки-хелловорлды делал на друпале, т к чу... весь текст скрыт [показать]
     
  • 3.29, Аноним, 09:17, 15/12/2015 [^] [ответить] [смотреть все]  
  • –14 +/
    на bitrix
     
     
  • 4.61, Аноним, 18:57, 15/12/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    блин, более бессмысленного гогна чем этот твой битрикс походу вообще не существу... весь текст скрыт [показать]
     
     
  • 5.64, ., 20:09, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты просто пессимист! Нет предела совершенству! :)))
     
  • 3.66, Michael Shigorin, 21:13, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Да почти чем угодно -- жумла по характеру дыр в ней и головах разработчиков сопо... весь текст скрыт [показать]
     
  • 1.9, dlazerka, 00:20, 15/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую, без прослойки, которая подставляет+чистит данные?

    Я думал уже давно все делают через шаблоны, типа "INSERT INTO test({foo}, {bar})"
    а потом дальше в коде говоришь возьми вот этот шаблон, и подставь туда вместо {foo} вот это значени, вместо {bar} вот это.
    В JDBC это по-моему с рождения было. А сегодня декабрь 2015-го.

     
     
  • 2.18, Аноним, 03:17, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    кто-кто, похапешники
     
     
  • 3.20, dlazerka, 03:51, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну я сам писал на пехапе года 3, 8 лет назад Но уже тогда использовал какую-то ... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 09:27, 15/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    > Тяжёлый недуг -- PHP рук.

    Ненене, PHP не в клозетах, а в головах.

     
  • 3.26, АнонимУася, 08:03, 15/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    ППЦ, на чем можешь написать ты что нибудь серьезное А по делу - различных орм, ... весь текст скрыт [показать]
     
     
  • 4.49, dlazerka, 11:41, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Согласен Хотя язык всё же виноват, за то что он привлекает уродов халявщиков ... весь текст скрыт [показать]
     
  • 3.31, Аноним, 09:21, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    https docs joomla org Inserting,_Updating_and_Removing_data_using_JDatabase вс... весь текст скрыт [показать]
     
  • 2.21, Отражение луны, 04:41, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Кто-то в 2015 году использует ненужные тормозные прослойки Мои соболезнования ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, 10й Брейтовский переулок, 06:03, 15/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    "PHP головного мозга" детектит.
     
  • 3.36, dlazerka, 10:23, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    А вы как эскейпите SQL параметры ... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 10:40, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Никак. Нормальные люди юзают подготовленные выражения.
     
     
  • 5.39, angra, 10:48, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Титеретик Был бы у тебя практический опыт, ты бы знал, что они не работают для ... весь текст скрыт [показать]
     
     
  • 6.44, dlazerka, 11:25, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Не могу говорить за предыдущего участника, но я вот практик, и что-то не помню т... весь текст скрыт [показать]
     
     
  • 7.48, angra, 11:34, 15/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Самый простой пример - имена полей и таблиц в большинстве БД не попадают под воз... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 11:54, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Добавлять поля в таблицы в realtime это уже не от php а от mysql наверное :)
     
     
  • 9.54, dlazerka, 12:05, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Он имеет ввиду не добавлять, а выбирать SELECT someDynamicColumn , if someC... весь текст скрыт [показать]
     
  • 8.53, dlazerka, 12:02, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Точно, спасибо Хорошо, что в PaaS, с которым я сейчас работаю, такое невозможно... весь текст скрыт [показать]
     
  • 5.45, dlazerka, 11:27, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну так а я о чём PreparedStatement и есть прослойка А вы называете её тормозну... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 11:55, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Не совсем так, это прослойка немного другого уровня которая в части применений ... весь текст скрыт [показать]
     
  • 4.42, Andrew, 11:19, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    > А вы как эскейпите SQL параметры?

    Query Parameters Binding?

     
     
  • 5.46, dlazerka, 11:29, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну так а я о чём См мой первый коммент с которого началась ветка INSERT INTO ... весь текст скрыт [показать]
     
  • 2.40, angra, 10:55, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми приходится стал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, dlazerka, 11:23, 15/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, я читал код JDBC, именно на предмет экранирования Да и что там читать, Ctrl... весь текст скрыт [показать]
     
     
  • 4.47, angra, 11:29, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Загугли значение ORM, ну или сразу глянь в https en wikipedia org wiki Object-... весь текст скрыт [показать]
     
     
  • 5.52, Аноним, 11:57, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    DDL и DML в одну кучу не надо валить ... весь текст скрыт [показать]
     
  • 5.57, жабабыдлокодер, 14:20, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Нормальные, человеческие ORM-ы, вроде JPA и Hibernate, сидят уже поверх JDBC.
     
  • 1.11, Иван Ер0хин, 00:44, 15/12/2015 [ответить] [смотреть все]  
  • +4 +/
    Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.
     
     
  • 2.62, Аноним, 19:31, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Программисты тут ни при чём Приходит заказчик, у тебя-умного сайт можно сделать... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, Michael Shigorin, 21:17, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Значит, ему сейчас не нужен сайт Серьёзно Потому что потеряет он на нём спер... весь текст скрыт [показать]
     
  • 1.13, Аноним, 00:56, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Большинству, не нужны супер мега написанные движки вручную на php, которые соотв... весь текст скрыт [показать]
     
     
  • 2.69, Michael Shigorin, 21:18, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Вот такие дебилы, не побоюсь этого слова, и строят скорорушащиеся дома Чтоб они... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Корабельная крыса, 01:02, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Suhosin ?
     
     
  • 2.58, Nicknnn, 15:15, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Помер?
     
  • 1.17, Аноним, 01:54, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Спасибо, что просветили.
     
  • 1.23, Аноним, 06:49, 15/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Похапе-хейтеры в курсе, что Википедия и, если не ошибаюсь, Фейсбук с Вконтактом ... весь текст скрыт [показать]
     
     
  • 2.25, Аноним, 07:46, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и счит... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 09:18, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Пусть тогда ненавидят еще и питон за дырки в moinmoin, руби за дырки в гитхабе, ... весь текст скрыт [показать]
     
  • 2.41, Аноним, 11:15, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    да, фейсбук и контакт изначально использовали пхп, и сейчас жалеют об этом Дело... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 19:35, 15/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Поверь, те, кто одновременно с фейсбуком начали писать социальную сеть на С C ,... весь текст скрыт [показать]
     
  • 1.27, Аноним, 08:51, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Без предустановленных дыр тут ничего не взлетает..
     
  • 1.35, CHERTS, 09:50, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Для 2.5.28 патчик
    http://pastebin.com/90RnzreF
     
  • 1.56, Аноним, 13:22, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Пропатчил движки подведомственных сайтов Однако на парочке серверов в логах обн... весь текст скрыт [показать]
     
     
  • 2.59, Игорь, 16:25, 15/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А я вчера все обновил, но сегодня в логах появилось такое чудо.
     
     
  • 3.60, Аноним, 16:46, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Вот те раз... Это уже не радует. :(
     
  • 3.70, brandy, 21:19, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    На другом сайте советуют в htaccess так же докинуть RewriteCond HTTP_USER_AGE... весь текст скрыт [показать]
     
     
  • 4.71, Владимир, 23:32, 15/12/2015 [^] [ответить] [смотреть все]  
  • +/
    а что за сайт, такое рекомендует?
     
     
  • 5.73, Аноним, 05:52, 16/12/2015 [^] [ответить] [смотреть все]  
  • +/
    http://habrahabr.ru/company/pt/blog/273213/
     
  • 2.74, Аноним, 05:55, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Аналогично, нашел в логах упомянутые строки Поднял старую копию из бэкапа, свер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, Ilya Indigo, 10:46, 16/12/2015 [^] [ответить] [смотреть все]  
  • +/
    А вы БД сверяли ... весь текст скрыт [показать]
     
     
  • 4.78, Аноним, 12:08, 16/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Нет, т к это проблематично делаются регулярные изменения в магазине Но новых... весь текст скрыт [показать]
     
  • 1.67, brandy, 21:14, 15/12/2015 [ответить] [смотреть все]  
  • +/
    Чёрт, поздно прочитал новость, просмотр логов дал инфу о сегодняшнем посещении такого Юзер-Агента в 8 вечера с ip из Украины и ближе к 9 вечера с ip из Канады.
    А вчера, позавчера, позапоза... - всё чисто. Увидел бы вовремя, раньше бы поужинал.

    Ушел откатываться на точки автобэкапов хостинга и обновляться...

     
  • 1.72, Atla, 05:13, 16/12/2015 [ответить] [смотреть все]  
  • +/
    Судя по всему, эта уязвимость эксплуатировалась годами, просто выявлена была после массовой, автоматической, попытки эксплуатации.
    У меня в логах есть подобная запись от 15.12 и на этом всё: ничего не изменено, не удалено и не добавлено. Смысл уязвимости: remote code execution, так что копать нужно ОС сервера на наличие "гостей" а не бэкапы joomla откатывать :).
     
     
  • 2.75, тоже Аноним, 08:48, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Если у вас на сервере пользователь, от которого работает сайт, может подсадить ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.82, Atla, 22:24, 16/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Да, всё верно И это уже проблемы хостера если используется хостинг В любом из ... весь текст скрыт [показать]
     
  • 1.77, йцукен, 10:55, 16/12/2015 [ответить] [смотреть все]  
  • +/
    Дал url на эту статью веб мастеру. После не долгого прочтения было – “Та ну нах… Мы за файрволом.”
    Вопрос – “Как «стимулировать» веб мастера пропатчить jooml’у?”
     
     
  • 2.79, Аноним, 15:14, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ответ - пригласить для веб мастера помощника и дать возможность поработать в дво... весь текст скрыт [показать] [показать ветку]
     
  • 2.81, Аноним, 19:16, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Попробуйте деньгами И пообещайте оплатить время, которое если потребуется для... весь текст скрыт [показать] [показать ветку]
     
  • 2.83, Atla, 22:30, 16/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Объяснить мастеру что файервол тут никак не поможет, потому как joomla разрешена в правилах файервола, уязвимость в ней же и "гости" потом могут под её же процесс замаскироваться и спокойно работать. Если веб-мастер этого не понимает - то....а вообще, что взять с веб-мастера? :))


     
  • 1.80, Аноним, 16:25, 16/12/2015 [ответить] [смотреть все]  
  • +/
    юзайте yii2
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor