Ссылаясь на данные Symantec, репортер SecurityWeek указывает на актуальность угрозы эксплойта новейшей уязвимости в Joomla, закрытой в середине декабря. По всей видимости, злоумышленники надеются, что важный патч пока не везде установлен, так как с момента оглашения бреши ИБ-эксперты фиксируют в среднем 16,6 тыс. попыток эксплуатации в сутки.

Уязвимость CVE-2015-8562, присутствовавшая во всех версиях популярной CMS-платформы, с 1.5 по 3.4, была устранена с выходом релиза 3.4.6 и хотфиксов для версий 1.5 и 2.5. Некоторые более долговременные исправления были также реализованы в Joomla 3.4.7. Тем не менее первые попытки эксплойта были обнаружены еще до выхода патчей.

Как отмечено в бюллетене Joomla, данная брешь связана с несовершенством фильтрации информации о браузерных сессиях при сохранении соответствующих значений в базе данных. Эксплуатация CVE-2015-8562 позволяла удаленно выполнить код и могла быть использована для компрометации Joomla-сервера с целью кражи информации, модификации сайтов, загрузки вредоносных файлов или предоставления доступа другим злоумышленникам, например дидосерам. В ходе наблюдаемой Symantec кампании атакующие использовали взломанные серверы для размещения редиректов на эксплойт-паки.

По свидетельству Symantec, инициаторы текущих атак активно сканируют Интернет в поисках уязвимых Joomla-серверов, вызывая функцию phpinfo() или eval(chr()) и анализируя ответы. Этот же метод, по данным экспертов, использовался в недавних атаках на 0-day в vBulletin. Определив уязвимый сервер, злоумышленники устанавливают на нем бэкдор.

Категории: Главное, Уязвимости