Из-за реальности угрозы, связанной с уязвимостью нулевого дня в Joomla, администраторам сайтов настоятельно рекомендуется произвести обновление в кратчайшие сроки. Соответствующий патч вышел вчера, в понедельник, однако данная брешь, по свидетельству Sucuri, уже эксплуатируется в дикой природе как минимум два дня.

Новая 0-day актуальна для всех версий Joomla, с 1.5 по 3.4; экстренные патчи были выпущены даже для версий CMS с истекшим сроком службы (2.5 и ниже).

«Атакующие внедряют объект через пользовательский HTTP-агент, что приводит к полнофункциональному выполнению удаленной команды», — пишет Дэниел Сид (Daniel Cid) в информационном бюллетене Sucuri.

По словам Сида, атаки начались с IP-адреса 74[.]3[.]170[.]33 в субботу; на следующий день появились еще два источника: 146[.]0[.]72[.]83 и 194[.]28[.]174[.]106. «Сегодня (14 декабря) атак стало больше, ими охвачены практически все наши сайты и ловушки, — констатирует эксперт. — Это означает, что атака вероятна и на любом другом сайте, использующем Joomla».

Sucuri рекомендует фильтровать указанные IP-адреса, отыскивая в логах события, использующие строки JDatabaseDriverMysqli и O: в юзер-агенте. «Если они там есть, можно считать Joomla-сайт скомпрометированным и переходить к фазе смягчения/ликвидации последствий», — советует Сид.

Это уже второй случай, когда раскрытую и быстро запатченную уязвимость в Joomla злоумышленники тут же берут на вооружение. Полтора месяца назад исследователи обнаружили в этой CMS-платформе SQLi-баг, который начал применяться в атаках за считаные часы. Один инцидент, зафиксированный на тот момент Sucuri, был вполне безобидным: это был поиск страницы, предупреждающей об ошибке разбора SQL-кода. Второй вариант скана оказался несколько более опасным — он использовал запросы на запись о сессии admin user в таблице базы данных CMS.

Категории: Главное, Уязвимости